本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# iam-policy-no-statements-with-full-access
<a name="iam-policy-no-statements-with-full-access"></a>

檢查您建立的 AWS Identity and Access Management (IAM) 政策是否授予對個別 AWS 資源所有動作的許可。如果任何客戶受管 IAM 政策允許完整存取至少 1 個 AWS 服務，則表示規則為「NON\$1COMPLIANT」。

**內容**：遵循最低權限原則，建議在授予 服務許可 AWS 時限制 IAM 政策中的允許動作。此方法有助於確保您只透過指定所需的確切動作來授予必要的許可，避免對服務使用不受限制的萬用字元，例如 `ec2:*`。

在某些情況下，您可能想要允許具有類似字首的多個動作，例如 [DescribeFlowLogs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeFlowLogs.html) 和 [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html)。在這些情況下，您可以將尾碼萬用字元新增至通用字首 （例如 `ec2:Describe*`)。分組相關動作有助於避免達到 [IAM 政策大小限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html)。

如果您使用字首動作搭配尾碼萬用字元 （例如，)，此規則將傳回 COMPLIANT`ec2:Describe*`。只有在您使用不受限制的萬用字元 （例如 ) 時，此規則才會傳回 NON\$1COMPLIANT`ec2:*`。

**注意**  
此規則僅評估客戶管理政策。此規則不會評估內嵌政策或 AWS 受管政策。如需差異的詳細資訊，請參閱《*IAM 使用者指南*》中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。



**識別符：**IAM\$1POLICY\$1NO\$1STATEMENTS\$1WITH\$1FULL\$1ACCESS

**資源類型：**AWS::IAM::Policy

觸發類型： Configuration changes (組態變更)****

**AWS 區域：**除亞太區域 （紐西蘭）、亞太區域 （泰國）、中東 （阿拉伯聯合大公國）、亞太區域 （海德拉巴）、亞太區域 （馬來西亞）、亞太區域 （墨爾本）、墨西哥 （中部）、以色列 （特拉維夫）、亞太區域 （台北）、加拿大西部 （卡加利）、歐洲 （西班牙）、歐洲 （蘇黎世） 區域以外所有支援的 AWS 區域

**參數：**

excludePermissionBoundaryPolicy (選用)類型：布林值  
布林值標記，用於排除用作許可界限的 IAM 政策評估。如果設定為 'true'，則規則將不會在評估中包含許可界限。否則，當值設為 'false' 時，系統會評估範圍中的所有 IAM 政策。預設值為 'false'。

## AWS CloudFormation 範本
<a name="w2aac20c16c17b7d925c27"></a>

若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則，請參閱 [使用 AWS CloudFormation 範本建立 AWS Config 受管規則](aws-config-managed-rules-cloudformation-templates.md)。