Prisma Cloud:为什么 AWS 在更新“iam:CreateServiceLinkedRole”的权限时会出现警告

Prisma Cloud:为什么 AWS 在更新“iam:CreateServiceLinkedRole”的权限时会出现警告

3050
Created On 07/21/23 15:30 PM - Last Modified 01/07/25 02:10 AM


Question


为什么 AWS 在更新“iam:CreateServiceLinkedRole”的权限时显示警告?

完整警告信息:

"using the iam.createservicelinkedrole action with wildcards (*) on the resource may allow the creation of unwanted service linked roles. We recommend that you specify resource ARNs instead."

GUI 路径:AWS --> IAM --> 策略 --> 编辑策略

Environment


  • Prisma Cloud
  • AWS

Answer


警告消息是由于 iam:CreateServiceLinkedRole 权限允许用户或角色创建服务相关角色,这是一种由 AWS 服务创建并用于与其他 AWS 服务集成的 IAM角色。虽然此权限本身并不危险,但它确实使用户或角色能够创建可用于授予 AWS 服务权限的角色。如果服务相关角色配置错误,可能会导致意外访问或其他安全风险。

但是,使用服务相关角色的 AWS 服务通常会提供有关这些角色所需权限的文档,因此,确保创建的角色具有针对特定服务和用例的适当权限非常重要。与 IAM 中的任何权限一样,授予 iam:CreateServiceLinkedRole 时应谨慎,并且仅授予出于合法业务目的需要该权限的受信任用户或角色。此外,建议遵循最小特权原则,仅授予执行所需操作所需的最小权限。

Additional Information


AWS IAM 护栏
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bqWECAY&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language