Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Alias peran terlalu permisif
<a name="audit-chk-iot-role-alias-permissive"></a>

AWS IoT alias peran menyediakan mekanisme untuk perangkat yang terhubung untuk mengautentikasi AWS IoT menggunakan sertifikat X.509 dan kemudian mendapatkan AWS kredensil berumur pendek dari peran IAM yang terkait dengan alias peran. AWS IoT Izin untuk kredensyal ini harus dicakup menggunakan kebijakan akses dengan variabel konteks otentikasi. Jika kebijakan Anda tidak dikonfigurasi dengan benar, Anda dapat membiarkan diri Anda terkena eskalasi serangan hak istimewa. Pemeriksaan audit ini memastikan bahwa kredensyal sementara yang disediakan oleh alias AWS IoT peran tidak terlalu permisif. 

Pemeriksaan ini dipicu jika salah satu kondisi berikut ditemukan:
+ Kebijakan ini memberikan izin administratif untuk layanan apa pun yang digunakan dalam satu tahun terakhir oleh alias peran ini (misalnya, “iot: \$1”, “dynamodb: \$1”, “iam: \$1”, dan seterusnya).
+ Kebijakan ini menyediakan akses luas ke tindakan metadata, akses ke AWS IoT tindakan terbatas, atau akses luas ke tindakan bidang AWS IoT data.
+ Kebijakan ini menyediakan akses ke layanan audit keamanan seperti “iam”, “cloudtrail”, “guardduty”, “inspector”, atau “trustedadvisor”.

Pemeriksaan ini muncul seperti `IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK` pada CLI dan API.

Tingkat keparahan: **Kritis**

## Detail
<a name="audit-chk-iot-role-alias-permissive-details"></a>

Alasan berikut kode dikembalikan ketika pemeriksaan ini menemukan kebijakan IoT yang tidak sesuai:
+ ALLOWS\$1BROAD\$1ACCESS\$1TO\$1USED\$1SERVICES
+ ALLOWS\$1ACCESS\$1TO\$1SECURITY\$1AUDITING\$1SERVICES
+ ALLOWS\$1BROAD\$1ACCESS\$1TO\$1IOT\$1THING\$1ADMIN\$1READ\$1ACTIONS
+ ALLOWS\$1ACCESS\$1TO\$1IOT\$1NON\$1THING\$1ADMIN\$1ACTIONS
+ ALLOWS\$1ACCESS\$1TO\$1IOT\$1THING\$1ADMIN\$1WRITE\$1ACTIONS
+ ALLOWS\$1BROAD\$1ACCESS\$1TO\$1IOT\$1DATA\$1PLANE\$1ACTIONS

## Mengapa itu penting
<a name="audit-chk-iot-role-alias-permissive-why-it-matters"></a>

Dengan membatasi izin untuk yang diperlukan perangkat untuk melakukan operasi normalnya, Anda mengurangi risiko ke akun Anda jika perangkat dikompromikan.

## Bagaimana cara memperbaikinya
<a name="audit-chk-iot-role-alias-permissive-how-to-fix"></a>

Ikuti langkah-langkah ini untuk memperbaiki kebijakan yang tidak patuh yang melekat pada hal-hal, grup benda, atau entitas lain:

1. Ikuti langkah-langkah dalam [Mengotorisasi panggilan langsung ke AWS layanan menggunakan penyedia AWS IoT Core kredensi](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) untuk menerapkan kebijakan yang lebih ketat ke alias peran Anda.

Anda dapat menggunakan tindakan mitigasi untuk:
+ Terapkan tindakan `PUBLISH_FINDINGS_TO_SNS` mitigasi jika Anda ingin menerapkan tindakan kustom sebagai respons terhadap pesan Amazon SNS. 

Untuk informasi selengkapnya, lihat [Tindakan mitigasi](dd-mitigation-actions.md).