# 角色別名過度寬鬆
<a name="audit-chk-iot-role-alias-permissive"></a>

AWS IoT 角色別名提供一種機制，讓連網裝置使用 X.509 憑證來對 AWS IoT 進行驗證，然後從與 AWS IoT 角色別名相關聯的 IAM 角色取得短期 AWS 憑證。必須搭配驗證內容變數使用存取政策來限定這些憑證的許可。如果您的政策配置不正確，您可能會讓自己受到權限提升的攻擊。此稽核檢查可確保 AWS IoT 角色別名所提供的暫時憑證不會過於寬鬆。

如果找到下列其中一種情況，就會觸發此檢查：
+ 政策將管理許可提供給角色別名 (例如，"iot:\$1"、"dynamodb:\$1"、"iam:\$1" 等等) 在過去一年中所使用的任何服務。
+ 政策可讓您廣泛存取物件中繼資料動作、存取受限制的 AWS IoT 動作，或廣泛存取 AWS IoT 資料平面動作。
+ 政策可讓您存取安全稽核服務，例如 "iam"、"cloudtrail"、"guardduty"、"inspector" 或 "trustedadvisor"。

此檢查會以 `IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK` 出現在 CLI 和 API 中。

嚴重性：**關鍵**

## 詳細資訊
<a name="audit-chk-iot-role-alias-permissive-details"></a>

當此檢查發現不合規的 IoT 政策時，將會傳回下列原因代碼：
+ ALLOWS\$1BROAD\$1ACCESS\$1TO\$1USED\$1SERVICES
+ ALLOWS\$1ACCESS\$1TO\$1SECURITY\$1AUDITING\$1SERVICES
+ ALLOWS\$1BROAD\$1ACCESS\$1TO\$1IOT\$1THING\$1ADMIN\$1READ\$1ACTIONS
+ ALLOWS\$1ACCESS\$1TO\$1IOT\$1NON\$1THING\$1ADMIN\$1ACTIONS
+ ALLOWS\$1ACCESS\$1TO\$1IOT\$1THING\$1ADMIN\$1WRITE\$1ACTIONS
+ ALLOWS\$1BROAD\$1ACCESS\$1TO\$1IOT\$1DATA\$1PLANE\$1ACTIONS

## 為什麼它很重要
<a name="audit-chk-iot-role-alias-permissive-why-it-matters"></a>

藉由將許可限制為裝置執行正常作業所需的許可，您可以降低裝置遭到入侵時的帳戶風險。

## 如何修正它
<a name="audit-chk-iot-role-alias-permissive-how-to-fix"></a>

遵循以下步驟以修正任何附加到物件、物件群組或其他實體不合規的政策：

1. 請遵循[AWS IoT Core憑證提供者使用授權直接呼叫 AWS 服務](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)中的步驟，將更嚴格的政策套用至您的角色別名。

您可以使用緩解動作：
+ 如果您要實作自訂動作以回應 Amazon SNS 訊息，請套用 `PUBLISH_FINDINGS_TO_SNS` 緩解行動。

如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。