文章/答案/技术大牛

发布

社区首页 >问答首页 >如何根据其规则修复checkov失败项？

问如何根据其规则修复checkov失败项？
EN

Stack Overflow用户

提问于 2021-05-07 03:30:00

回答 1查看 603关注 0票数 1

当为Terraform资源扫描运行checkov时，此操作失败

Check: CKV_AWS_111: "Ensure IAM policies does not allow write access without constraints"
    FAILED for resource: aws_iam_policy_document.foo
    File: /data.tf:7-18

    data "aws_iam_policy_document" "foo" {
      statement {
        effect = "Allow"
        actions = [
          "cloudwatch:Describe*",
          "cloudwatch:Get*",
          "cloudwatch:List*",
          "sns:Subscribe",
        ]
        resources = ["*"]
      }
    }

从官方文件中，找到了它的introduction page。

页面上有一个Fix - Buildtime，但是如何将它引用到我的案例中呢？

从页面上的Resource Exposure中，我没有在"Resource Exposure" actions列表中找到任何名称为cloudwatch或sns，为什么失败了？

如果在不添加# checkov:skip=CKV_AWS_111: XXXX的情况下修复它，如何调整data块？

amazon-web-services

security

terraform

amazon-iam

policy

回答 1

Stack Overflow用户

回答已采纳

发布于 2021-11-08 19:08:47

虽然，这个问题是在2021年5月提出的，我希望你已经找到了答案，但我仍然会发布解决方案，以便未来的孩子们知道如何解决这个问题。

你不应该对资源使用外卡，现在它对所有资源都是开放的。

data "aws_iam_policy_document" "foo" {
  statement {
    effect = "Allow"
    actions = [
      "cloudwatch:Describe*",
      "cloudwatch:Get*",
      "cloudwatch:List*",
      "sns:Subscribe",
    ]
    resources = ["resource-arn"]
  }
}

如果您将资源的通配符更改为使用此策略的资源的arns列表，则checkov将不再显示此错误。

票数 1

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/67428658

复制

相似问题

问如何根据其规则修复checkov失败项？
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何根据其规则修复checkov失败项？EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何根据其规则修复checkov失败项？
EN