

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# iam-policy-no-statements-with-full-access
<a name="iam-policy-no-statements-with-full-access"></a>

Verifica se as políticas de AWS Identity and Access Management (IAM) criadas por você concedem permissões para todas as ações em AWS recursos individuais. A regra é NON\$1COMPLIANT se alguma política de IAM gerenciada pelo cliente permitir acesso total a pelo menos um serviço. AWS 

**Contexto**: seguindo o princípio de privilégio mínimo, é recomendável limitar as ações permitidas em suas políticas do IAM ao conceder permissões aos serviços da AWS . Essa abordagem ajuda a garantir que você conceda somente as permissões necessárias especificando as ações exatas necessárias, evitando o uso de curingas irrestritos para um serviço, como `ec2:*`.

Em alguns casos, talvez você queira permitir várias ações com um prefixo semelhante, como [DescribeFlowLogs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeFlowLogs.html)e. [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html) Nesses casos autorizados, você pode adicionar um curinga com sufixo ao prefixo comum (por exemplo, `ec2:Describe*`). O agrupamento de ações relacionadas pode ajudar a evitar atingir os limites de [tamanho da política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html).

Essa regra retornará COMPLIANT se você usar ações prefixadas com um caractere curinga com sufixo (por exemplo, `ec2:Describe*`). Essa regra retornará NON\$1COMPLIANT somente se você usar curingas irrestritos (por exemplo, `ec2:*`).

**nota**  
Essa regra avalia somente as políticas gerenciadas pelo cliente. Essa regra NÃO avalia políticas embutidas ou políticas AWS gerenciadas. Para obter mais informações sobre a diferença, consulte [Políticas gerenciadas e em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) no *Guia do Usuário do IAM*.


**Identificador:** IAM\$1POLICY\$1NO\$1STATEMENTS\$1WITH\$1FULL\$1ACCESS

**Tipos de recursos:** AWS::IAM::Policy

**Tipo de trigger:** alterações da configuração

**Região da AWS:** Todas as AWS regiões suportadas, exceto Ásia-Pacífico (Nova Zelândia), Ásia-Pacífico (Tailândia), Oriente Médio (EAU), Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Malásia), Ásia-Pacífico (Melbourne), México (Central), Israel (Tel Aviv), Ásia-Pacífico (Taipei), Oeste do Canadá (Calgary), Europa (Espanha), Europa (Zurique)) Região

**Parâmetros:**

excludePermissionBoundaryPolítica (opcional)Tipo: booliano  
Sinalizador booliano para excluir a avaliação das políticas do IAM usadas como limites de permissões. Se definida como "verdadeira", a regra não incluirá limites de permissões na avaliação. Caso contrário, todas as políticas do IAM no escopo serão avaliadas quando o valor estiver definido como "falso". O valor padrão é "falso".

## AWS CloudFormation modelo
<a name="w2aac20c16c17b7d925c27"></a>

Para criar regras AWS Config gerenciadas com AWS CloudFormation modelos, consulte[Criação de regras AWS Config gerenciadas com AWS CloudFormation modelos](aws-config-managed-rules-cloudformation-templates.md).