Cloud Custodian — политики AWS IAM — извлечение KMS Blanket Allow

Question

Cloud Custodian — политики AWS IAM — извлечение KMS Blanket Allow

Я новичок в Cloud Custodian и AWS, и я пытаюсь извлечь все политики AWS IAM, которые имеют полное разрешение на расшифровку KMS. Синтаксис фильтра и форматирование просто не имеют для меня смысла. Любые советы о том, как построить фильтры, чтобы найти все эти политики?

0

aws-iam-policy cloudcustodian

Источник

user722024 23 янв '23 в 15:38

1 ответ

Другие вопросы по тегам aws-iam-policy cloudcustodian

mandypea 26 май '23 в 15:27 2023-05-26 15:27 · Answer 1 · 2023-05-26 15:27

Вот политика Cloud Custodian, написанная на YAML, которая находит все политики AWS IAM с полным разрешением расшифровки KMS:

      policies:
  - name: extract-iam-policies-with-kms-decryption
    resource: iam-policy
    filters:
      - type: value
        key: PolicyDocument.Statement
        value_type: policy
        op: in
        value:
          - Effect: Allow
            Action: kms:Decrypt
            Resource: "*"

Эта политика используетiam-policyтип ресурса для настройки политик AWS IAM. Затем он применяет фильтр, чтобы проверить,PolicyDocument.Statementсодержит оператор с эффектом «Разрешить», действие «kms:Decrypt» и значение ресурса «*». Это соответствует условию полного разрешения расшифровки KMS.