Prisma Cloud: ¿Por qué AWS muestra una advertencia al actualizar los permisos para "iam:CreateServiceLinkedRole"?

¿Por qué AWS muestra una advertencia al actualizar los permisos para "iam:CreateServiceLinkedRole"?

Mensaje de advertencia completo:

"using the iam.createservicelinkedrole action with wildcards (*) on the resource may allow the creation of unwanted service linked roles. We recommend that you specify resource ARNs instead."

Ruta de la GUI: AWS --> IAM --> Políticas --> Editar política

• Nube Prisma
• AWS

El mensaje de advertencia se debe a que el permiso iam:CreateServiceLinkedRole permite a un usuario o función crear un función vinculado a un servicio, que es un tipo de función de IAM que crean y utilizan los servicios de AWS para integrarse con otros servicios de AWS. Si bien este permiso no es inherentemente riesgoso, le otorga al usuario o función la capacidad de crear roles que se pueden usar para otorgar permisos a los servicios de AWS. Si el función vinculado a un servicio está mal configurado, podría generar un acceso no deseado u otros riesgos de seguridad.

Sin embargo, los servicios de AWS que utilizan roles vinculados a servicios suelen proporcionar documentación sobre los permisos que requieren esos roles, por lo que es importante asegurarse de que los roles se creen con los permisos adecuados para el servicio y el caso de uso específicos. Al igual que con cualquier permiso en IAM, la concesión de iam:CreateServiceLinkedRole debe realizarse con cuidado y solo a usuarios o roles de confianza que lo requieran para fines comercial legítimos. Además, se recomienda seguir el principio del mínimo privilegio, otorgando solo los permisos mínimos necesarios para realizar las acciones requeridas.