IAM用户admin权限检查
规则详情
参数 |
说明 |
---|---|
规则名称 |
iam-user-check-non-admin-group |
规则展示名 |
IAM用户admin权限检查 |
规则描述 |
根用户以外的IAM用户加入admin用户组,视为“不合规”。 |
标签 |
iam |
规则触发方式 |
配置变更 |
规则评估的资源类型 |
iam.users |
规则参数 |
无 |
应用场景
“admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。
修复项指导
进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。
检测逻辑
- IAM用户为根用户,视为“合规”。
- IAM用户为“停用”状态,视为“合规”。
- 根用户以外的“启用”状态的IAM用户加入admin用户组,视为“不合规”。
- 根用户以外的“启用”状态的IAM用户未加入admin用户组,视为“合规”。