更新时间:2024-10-15 GMT+08:00
分享

IAM策略中不授权KMS的禁止的action

规则详情

表1 规则详情

参数

说明

规则名称

iam-customer-policy-blocked-kms-actions

规则展示名

IAM策略中不授权KMS的禁止的action

规则描述

IAM策略中授权KMS的任一阻拦action,视为“不合规”。

标签

iam、access-analyzer-verified

规则触发方式

配置变更

规则评估的资源类型

iam.roles、iam.policies

规则参数

blockedActionsPatterns:KMS的阻拦action列表,数组类型。

应用场景

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。

修复项指导

用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略

检测逻辑

  • IAM策略或权限未授予指定的KMS操作权限,视为“合规”。
  • IAM策略或权限授予指定的KMS操作权限,视为“不合规”。

相关文档