# 角色别名允许访问未使用的服务
<a name="audit-chk-role-alias-unused-svcs"></a>

AWS IoT 角色别名提供了一种机制，让连接的设备使用 X.509 证书对 AWS IoT 进行身份验证，然后从与 AWS IoT 角色别名关联的 IAM 角色获取短期 AWS 凭证。必须使用带有身份验证上下文变量的访问策略缩小这些凭证的权限范围。如果您的策略配置不当，您可能会使自己暴露在权限升级攻击中。此审计检查确保 AWS IoT 角色别名提供的临时凭证不会过于宽松。

如果角色别名有权访问过去一年未用于 AWS IoT 设备的服务，则会触发此检查。例如，如果您的 IAM 角色链接到过去一年中仅使用了 AWS IoT 的角色别名，但附加到角色的策略也授予了对 `"iam:getRole"` 和 `"dynamodb:PutItem"` 的权限，则审计报告问题。

此检查在 CLI 和 API 中显示为 `IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK`。

**严重性：**中

## Details
<a name="audit-chk-role-alias-unused-svcs-details"></a>

此检查发现不合规的 AWS IoT 策略时，会返回以下原因代码：
+ ALLOWS\_ACCESS\_TO\_UNUSED\_SERVICES

## 为什么这非常重要
<a name="audit-chk-role-alias-unused-svcs-why-it-matters"></a>

通过将权限限制为设备执行其正常操作所需的服务，您可以降低设备受到威胁时账户的风险。

## 如何修复
<a name="audit-chk-role-alias-unused-svcs-how-to-fix"></a>

按照以下步骤来修复附加到事物、事物组或其它实体的任何不合规策略：

1. 按照[使用 AWS IoT Core 凭证提供商授予直接调用 AWS 服务的权限](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)中的步骤对您的角色别名应用限制更严的策略。

您可以使用缓解操作实现以下目的：
+ 如果要实现自定义操作以响应 Amazon SNS 消息，请应用 `PUBLISH_FINDINGS_TO_SNS` 缓解操作。

有关更多信息，请参阅 [缓解操作](dd-mitigation-actions.md)。