# 角色別名允許存取未使用的服務
<a name="audit-chk-role-alias-unused-svcs"></a>

AWS IoT 角色別名提供一種機制，讓連網裝置使用 X.509 憑證來對 AWS IoT 進行驗證，然後從與 AWS IoT 角色別名相關聯的 IAM 角色取得短期 AWS 憑證。必須搭配驗證內容變數使用存取政策來限定這些憑證的許可。如果您的政策配置不正確，您可能會讓自己受到權限提升的攻擊。此稽核檢查可確保 AWS IoT 角色別名所提供的暫時憑證不會過於寬鬆。

如果角色別名可存取去年尚未用於 AWS IoT 裝置的服務，則會觸發此檢查。例如，稽核會報告您具有的 IAM 角色是否連結至過去一年僅使用 AWS IoT 的角色別名，但附加至角色的政策也會授與 `"iam:getRole"` 和 `"dynamodb:PutItem"` 的許可。

此檢查會以 `IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK` 出現在 CLI 和 API 中。

嚴重性：**中**

## 詳細資訊
<a name="audit-chk-role-alias-unused-svcs-details"></a>

當此檢查發現不合規的 AWS IoT 政策時，將會傳回下列原因代碼：
+ ALLOWS\$1ACCESS\$1TO\$1UNUSED\$1SERVICES

## 為什麼它很重要
<a name="audit-chk-role-alias-unused-svcs-why-it-matters"></a>

藉由將許可限制為裝置執行正常作業所需的那些服務，您可以降低裝置遭到入侵時的帳戶風險。

## 如何修正它
<a name="audit-chk-role-alias-unused-svcs-how-to-fix"></a>

遵循以下步驟以修正任何附加到物件、物件群組或其他實體不合規的政策：

1. 請遵循[AWS IoT Core憑證提供者使用授權直接呼叫 AWS 服務](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)中的步驟，將更嚴格的政策套用至您的角色別名。

您可以使用緩解動作：
+ 如果您要實作自訂動作以回應 Amazon SNS 訊息，請套用 `PUBLISH_FINDINGS_TO_SNS` 緩解行動。

如需更多詳細資訊，請參閱 [緩解動作](dd-mitigation-actions.md)。