Bewährte Methoden für Richtlinien Melden Sie sich an für ein AWS-Konto Erstellen eines Benutzers mit Administratorzugriff Verwenden der Konsole Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer Schreibgeschützter Zugriff auf AWS Config Voller Zugriff auf AWS Config Steuern des Zugriffs auf Regeln AWS Config Steuern des Zugriffs auf aggregierte Daten

Beispiele für identitätsbasierte Richtlinien für AWS Config

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Config -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Config, einschließlich des Formats von ARNs für jeden der Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Config in der Service Authorization Reference.

Themen

Bewährte Methoden für Richtlinien
Melden Sie sich an für ein AWS-Konto
Erstellen eines Benutzers mit Administratorzugriff
Verwenden der Konsole
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Schreibgeschützter Zugriff auf AWS Config
Voller Zugriff auf AWS Config
Steuern des Zugriffs auf Regeln AWS Config
Steuern des Zugriffs auf aggregierte Daten

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand AWS Config Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

Um sich für eine anzumelden AWS-Konto

Öffnen Sie https://portal.aws.amazon.com/billing/die Anmeldung.
Folgen Sie den Online-Anweisungen.

Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.

Wenn Sie sich für eine anmelden AWS-Konto, Root-Benutzer des AWS-Kontoswird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu https://aws.amazon.com/gehst und Mein Konto auswählst.

Erstellen eines Benutzers mit Administratorzugriff

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

Sichern Sie Ihre Root-Benutzer des AWS-Kontos

Melden Sie sich AWS Management Consoleals Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

Anweisungen finden Sie unter Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole) im IAM-Benutzerhandbuch.

Erstellen eines Benutzers mit Administratorzugriff

Aktivieren Sie das IAM Identity Center.

Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.
Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter Benutzerzugriff mit der Standardeinstellung konfigurieren.AWS IAM Identity Center

Anmelden als Administratorbenutzer

Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie im AWS-Anmeldung Benutzerhandbuch unter Anmeldung beim AWS Access-Portal.

Weiteren Benutzern Zugriff zuweisen

Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.
Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.

Verwenden der AWS Config -Konsole

Um auf die AWS Config Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Config Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die AWS Config Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Config AWSConfigUserAccess AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.

Sie müssen Benutzern Berechtigungen für die Interaktion mit ihnen erteilen AWS Config. Verwenden Sie für Benutzer, die vollen Zugriff auf benötigen AWS Config, die Richtlinie Vollzugriff auf AWS Config verwaltet.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Schreibgeschützter Zugriff auf AWS Config

Das folgende Beispiel zeigt eine AWS verwaltete Richtlinie, AWSConfigUserAccess die nur Lesezugriff auf gewährt. AWS Config


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "config:Get*",
        "config:Describe*",
        "config:Deliver*",
        "config:List*",
        "config:Select*",
        "tag:GetResources",
        "tag:GetTagKeys",
        "cloudtrail:DescribeTrails",
        "cloudtrail:GetTrailStatus",
        "cloudtrail:LookupEvents"
      ],
      "Resource": "*"
    }
  ]
}

In den Richtlinienanweisungen gibt das Element Effect an, ob die Aktionen zugelassen oder verweigert werden. Das Element Action listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das Resource Element listet die AWS Ressourcen auf, auf denen der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf AWS Config Aktionen steuern, ist das Resource Element immer auf gesetzt*, ein Platzhalter, der „alle Ressourcen“ bedeutet.

Die Werte im Action Element entsprechen denen, die von den APIs Diensten unterstützt werden. Den Aktionen ist ein vorangestelltconfig:, um darauf hinzuweisen, dass sie sich auf AWS Config Aktionen beziehen. Sie können das Platzhalterzeichen * im Element Action beispielsweise wie folgt verwenden:

"Action": ["config:*ConfigurationRecorder"]

Dies erlaubt alle AWS Config Aktionen, die mit "ConfigurationRecorder" (StartConfigurationRecorder,StopConfigurationRecorder) enden.
"Action": ["config:*"]

Dies erlaubt alle AWS Config Aktionen, aber keine Aktionen für andere AWS Dienste.
"Action": ["*"]

Dies ermöglicht alle AWS Aktionen. Diese Berechtigung ist für einen Benutzer geeignet, der als AWS Administrator für Ihr Konto fungiert.

Die Richtlinie für den schreibgeschützten Zugriff erteilt Benutzern keine Berechtigung für die Aktionen (z. B. StartConfigurationRecorder, StopConfigurationRecorder und DeleteConfigurationRecorder). Benutzer mit dieser Richtlinie dürfen den Configuration Recorder weder starten noch beenden oder löschen. Eine Liste der AWS Config Aktionen finden Sie in der AWS Config API-Referenz.

Voller Zugriff auf AWS Config

Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt AWS Config. Sie gewährt Benutzern die Berechtigung, alle AWS Config Aktionen auszuführen. Darüber hinaus können Benutzer Dateien in Amazon-S3-Buckets verwalten und Amazon-SNS-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.

Wichtig

Diese Richtlinie gewährt umfassende Berechtigungen. Bevor Sie Vollzugriff gewähren, sollten Sie gegebenenfalls mit einem Mindestsatz von Berechtigungen beginnen und zusätzliche Berechtigungen nach Bedarf gewähren. Diese Methode ist besser, als anfangs zu weit gefasste Berechtigungen zu gewähren und dann später zu versuchen, sie zu begrenzen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:AddPermission",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:GetTopicAttributes",
                "sns:ListPlatformApplications",
                "sns:ListTopics",
                "sns:SetTopicAttributes"
            ],
            "Resource": "*"   
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketNotification",
                "s3:GetBucketPolicy",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketVersioning",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions",
                "s3:PutBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:PutRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreatePolicy",
                "iam:CreatePolicyVersion",
                "iam:DeletePolicyVersion",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "config.amazonaws.com",
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "config:*",
                "tag:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListDocuments",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
        
    ]
}

Unterstützte Berechtigungen auf Ressourcenebene für AWS Config Regel-API-Aktionen

Berechtigungen auf Ressourcenebene beziehen sich auf die Fähigkeit, anzugeben, auf welchen Ressourcen Benutzer Aktionen ausführen dürfen. AWS Config unterstützt Berechtigungen auf Ressourcenebene für bestimmte AWS Config Regel-API-Aktionen. Das bedeutet, dass Sie für bestimmte AWS Config Regelaktionen die Bedingungen steuern können, unter denen Benutzer diese Aktionen verwenden dürfen. Diese Bedingungen können Aktionen sein, die erfüllt sein müssen, oder bestimmte Ressourcen, die von den Benutzern verwendet werden dürfen.

In der folgenden Tabelle werden die AWS Config Regel-API-Aktionen beschrieben, die derzeit Berechtigungen auf Ressourcenebene unterstützen. Außerdem werden die unterstützten Ressourcen und die ARNs für jede Aktion benötigten Ressourcen beschrieben. Wenn Sie einen ARN angeben, können Sie den Platzhalter * in Ihren Pfaden verwenden, z. B. wenn Sie die genaue Ressource IDs nicht angeben können oder wollen.

Wichtig

Wenn eine AWS Config Regel-API-Aktion in dieser Tabelle nicht aufgeführt ist, unterstützt sie keine Berechtigungen auf Ressourcenebene. Wenn eine AWS Config Regelaktion keine Berechtigungen auf Ressourcenebene unterstützt, können Sie Benutzern Berechtigungen zur Verwendung der Aktion gewähren. Sie müssen jedoch für das Ressourcenelement Ihrer Richtlinienerklärung ein Sternchen angeben.

API-Aktion	Ressourcen
DeleteConfigRule	Konfigurationsregel arn:aws:config ::config-rule/config-rule- `region:accountID` `ID`
DeleteEvaluationResults	Konfigurationsregel arn:aws:config `region:accountID` ::config-rule/config-rule- `ID`
DescribeComplianceByConfigRule	Konfigurationsregel arn:aws:config `region:accountID` ::config-rule/config-rule- `ID`
DescribeConfigRuleEvaluationStatus	Konfigurationsregel arn:aws:config `region:accountID` ::config-rule/config-rule- `ID`
GetComplianceDetailsByConfigRule	Konfigurationsregel arn:aws:config `region:accountID` ::config-rule/config-rule- `ID`
PutConfigRule	Konfigurationsregel arn:aws:config `region:accountID` ::config-rule/config-rule- `ID`
StartConfigRulesEvaluation	Konfigurationsregel arn:aws:config `region:accountID` ::config-rule/config-rule- `ID`
PutRemediationConfigurations	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DescribeRemediationConfigurations	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DeleteRemediationConfiguration	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
PutRemediationExceptions	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DescribeRemediationExceptions	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DeleteRemediationExceptions	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`

Angenommen, Sie möchten bestimmten Benutzern den Lesezugriff auf bestimmte Regeln erteilen und den Schreibzugriff verweigern.

In der ersten Richtlinie erlauben Sie der Regel Leseaktionen, z. B. für die angegebenen Regeln AWS Config . DescribeConfigRuleEvaluationStatus


{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "config:StartConfigRulesEvaluation",
                    "config:DescribeComplianceByConfigRule",
                    "config:DescribeConfigRuleEvaluationStatus",
                    "config:GetComplianceDetailsByConfigRule"
                ],
                "Resource": [
                    "arn:aws:config:region:accountID:config-rule/config-rule-ID",
                    "arn:aws:config:region:accountID:config-rule/config-rule-ID"
                ]
            }
        ]
    }

In der zweiten Richtlinie verweigern Sie den AWS Config Regelschreibaktionen für die jeweilige Regel.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:DeleteEvaluationResults"
               ],
            "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID"
           }
      ]
   }

Mit Berechtigungen auf Ressourcenebene können Sie Lesezugriff gewähren und Schreibzugriff verweigern, um bestimmte Aktionen für AWS Config Regel-API-Aktionen auszuführen.

Unterstützte Berechtigungen auf Ressourcenebene für konten- und regionsübergreifende Datenaggregationen

Mit Berechtigungen auf Ressourcenebene können Sie steuern, welche spezifischen Aktionen die Benutzer für die Datenaggregation für mehrere Konten und Regionen ausführen dürfen. Die folgenden Berechtigungen AWS Config Aggregator APIs unterstützen Berechtigungen auf Ressourcenebene:

Sie können beispielsweise den Zugriff bestimmter Benutzer auf Ressourcendaten einschränken, indem Sie zwei Aggregatoren erstellen, AccessibleAggregator und InAccessibleAggregator, und eine IAM-Richtlinie anhängen, die den Zugriff auf AccessibleAggregator ermöglicht und auf InAccessibleAggregator verweigert.

IAM-Richtlinie für AccessibleAggregator

In dieser Richtlinie gewähren Sie Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -Amazon-Ressourcennamen (ARN). In diesem Beispiel ist der AWS Config ARNarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigAllow",
            "Effect": "Allow",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs"
        }
    ]
}

IAM-Richtlinie für InAccessibleAggregator

In dieser Richtlinie verweigern Sie den Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -ARN. In diesem Beispiel ist der AWS Config ARNarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigDeny",
            "Effect": "Deny",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx"
        }
    ]
}

Wenn ein Benutzer der Entwicklergruppe versucht, eine dieser Aktionen mit dem von Ihnen angegebenen AWS Config -ARN auszuführen, erhält dieser Benutzer die Ausnahme „Zugriff verweigert“.

Prüfen von Benutzerzugriffsberechtigungen

Führen Sie den folgenden AWS CLI -Befehl aus, um die von Ihnen erstellten Aggregatoren anzuzeigen:


aws configservice describe-configuration-aggregators

Wenn der Befehl erfolgreich abgeschlossen wurde, können Sie die Details aller Aggregatoren sehen, die mit Ihrem Konto verknüpft sind. In diesem Beispiel sind das AccessibleAggregator und InAccessibleAggregator:


{
    "ConfigurationAggregators": [
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "AccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        },
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "InAccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        }
    ]
}

Anmerkung

account-aggregation-sourcesGeben Sie eine durch Kommas getrennte Liste von AWS Konten ein, IDs für die Sie Daten aggregieren möchten. Setzen Sie das Konto IDs in eckige Klammern und achten Sie darauf, Anführungszeichen zu vermeiden (z. B."[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

Fügen Sie die folgende IAM-Richtlinie an, um Zugriff auf InAccessibleAggregator oder den gewünschten Aggregator zu verweigern.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigDeny",
            "Effect": "Deny",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx"
        }
    ]
}

Als Nächstes können Sie bestätigen, dass mit der IAM-Richtlinie der Zugriff auf bestimmte Regeln für einen bestimmten Aggregator eingeschränkt werden kann:


aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion

Der Befehl sollte eine Ausnahme des Typs „Zugriff verweigert“ zurückgeben:


An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not 
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wie AWS Config funktioniert mit IAM

AWS verwaltete Richtlinien