Prisma Cloud : pourquoi AWS émet un avertissement lors de la mise à jour des autorisations pour « iam:CreateServiceLinkedRole »

Pourquoi AWS affiche un avertissement lors de la mise à jour des autorisations pour « iam:CreateServiceLinkedRole » ?

Message d'avertissement complet :

"using the iam.createservicelinkedrole action with wildcards (*) on the resource may allow the creation of unwanted service linked roles. We recommend that you specify resource ARNs instead."

Chemin de l'interface graphique : AWS --> IAM --> Politiques --> Modifier la politique

• Nuage de prisme
• AWS

Le message d'avertissement est dû au fait que l'autorisation iam:CreateServiceLinkedRole permet à un utilisateur ou à un rôle de créer un rôle lié au service, qui est un type de rôle IAM créé et utilisé par les services AWS pour s'intégrer à d'autres services AWS. Bien que cette autorisation ne soit pas intrinsèquement risquée, elle donne à l' utilisateur ou au rôle la possibilité de créer des rôles qui peuvent être utilisés pour accorder des autorisations aux services AWS. Si le rôle lié au service est mal configuré, cela peut potentiellement entraîner un accès involontaire ou d'autres risques de sécurité.

Cependant, les services AWS qui utilisent des rôles liés à un service fournissent généralement une documentation sur les autorisations requises par ces rôles. Il est donc important de s'assurer que les rôles sont créés avec les autorisations appropriées pour le service et le cas d'utilisation spécifiques. Comme pour toute autorisation dans IAM, l'octroi de iam:CreateServiceLinkedRole doit être effectué avec soin et uniquement aux utilisateurs ou rôles de confiance qui en ont besoin à des fins métier, entreprise, professionnel légitimes. En outre, il est recommandé de suivre le principe du moindre privilège, en accordant uniquement les autorisations minimales nécessaires pour effectuer les actions requises.