Prisma Cloud: Warum AWS beim Aktualisieren der Berechtigungen für „iam:CreateServiceLinkedRole“ eine Warnung ausgibt

Warum zeigt AWS beim Aktualisieren der Berechtigungen für „iam:CreateServiceLinkedRole“ eine Warnung an?

Vollständige Warnmeldung:

"using the iam.createservicelinkedrole action with wildcards (*) on the resource may allow the creation of unwanted service linked roles. We recommend that you specify resource ARNs instead."

GUI-Pfad: AWS --> IAM --> Richtlinien --> Richtlinie bearbeiten

• Prisma Cloud
• AWS

Die Warnmeldung ist darauf zurückzuführen, dass die Berechtigung iam:CreateServiceLinkedRole einem Benutzer oder einer Rolle das Erstellen einer serviceverknüpften Rolle ermöglicht. Dabei handelt es sich um eine Art IAM- Rolle , die von AWS-Services erstellt und verwendet wird, um sie in andere AWS-Services zu integrieren. Obwohl diese Berechtigung nicht von Natur aus riskant ist, ermöglicht sie dem Benutzer oder der Rolle das Erstellen von Rollen, mit denen Berechtigungen für AWS-Services erteilt werden können. Wenn die serviceverknüpfte Rolle falsch konfiguriert ist, kann dies möglicherweise zu unbeabsichtigtem Zugriff oder anderen Sicherheitsrisiken führen.

AWS-Services, die serviceverknüpfte Rollen verwenden, bieten jedoch in der Regel eine Dokumentation zu den Berechtigungen, die diese Rollen benötigen. Daher ist es wichtig, sicherzustellen, dass die Rollen mit den entsprechenden Berechtigungen für den jeweiligen Service und Anwendungsfall erstellt werden. Wie bei jeder Berechtigung in IAM sollte die Erteilung von iam:CreateServiceLinkedRole sorgfältig und nur an vertrauenswürdige Benutzer oder Rollen erfolgen, die sie für legitime Geschäft benötigen. Darüber hinaus wird empfohlen, dem Prinzip der geringsten Privilegien zu folgen und nur die Mindestberechtigungen zu erteilen, die zum Ausführen der erforderlichen Aktionen erforderlich sind.