Prisma Cloud: 「iam:CreateServiceLinkedRole」の権限を更新する際に AWS が警告を表示する理由

「iam:CreateServiceLinkedRole」の権限を更新しているときに AWS が警告を表示するのはなぜですか?

完全な警告メッセージ:

"using the iam.createservicelinkedrole action with wildcards (*) on the resource may allow the creation of unwanted service linked roles. We recommend that you specify resource ARNs instead."

GUI パス: AWS --> IAM --> ポリシー --> ポリシーの編集

• プリズマクラウド
• アマゾン

警告メッセージは、iam:CreateServiceLinkedRole 権限により、ユーザーまたはロールがサービスにリンクされたロールを作成できることが原因で発生します。サービスにリンクされたロールは、AWS サービスによって作成され、他の AWS サービスと統合するために使用される IAMロールの一種です。この権限は本質的にリスクはありませんが、ユーザーまたはロールに、 AWS サービスに権限を付与するために使用できるロールを作成する権限を与えます。サービスにリンクされたロールが誤って構成されている場合、意図しないアクセスやその他のセキュリティリスクにつながる可能性があります。

ただし、サービスにリンクされたロールを使用する AWS サービスでは通常、それらのロールに必要なアクセス許可に関するドキュメントが提供されているため、特定のサービスとユースケースに適したアクセス許可でロールが作成されていることを確認することが重要です。IAM のあらゆるアクセス許可と同様に、iam:CreateServiceLinkedRole の付与は慎重に行い、正当なビジネス目的でそれを必要とする信頼できるユーザーまたはロールにのみ行う必要があります。さらに、最小権限の原則に従い、必要なアクションを実行するために必要な最小限のアクセス許可のみを付与することをお勧めします。