Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für AWS Config
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Config -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe von AWS Management Console, AWS Command Line Interface (AWS CLI) oder ausführen. AWS API Um Benutzern die Berechtigung zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.
Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter IAMRichtlinien erstellen im IAMBenutzerhandbuch.
Weitere Informationen zu Aktionen und Ressourcentypen, die von definiert wurden AWS Config, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Config in der Service Authorization Reference.
Themen
- Bewährte Methoden für Richtlinien
- Melden Sie sich an für ein AWS-Konto
- Erstellen eines Benutzers mit Administratorzugriff
- Verwenden der AWS Config -Konsole
- Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
- Nur-Lese-Zugriff auf AWS Config
- Voller Zugriff auf AWS Config
- Unterstützte Berechtigungen auf Ressourcenebene für Regelaktionen AWS Config API
- Unterstützte Berechtigungen auf Ressourcenebene für konten- und regionsübergreifende Datenaggregationen
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Config Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.
-
Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM
-
Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.
-
Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter IAMAccess Analyzer-Richtlinienvalidierung im IAMBenutzerhandbuch.
-
Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Wenn Sie festlegen möchten, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Konfiguration des MFA -geschützten API Zugriffs im IAMBenutzerhandbuch.
Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM
Melden Sie sich an für ein AWS-Konto
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
Um sich für eine anzumelden AWS-Konto
Öffnen Sie https://portal.aws.amazon.com/billing/die Anmeldung.
Folgen Sie den Online-Anweisungen.
Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, Root-Benutzer des AWS-Kontoswird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.
AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu https://aws.amazon.com/
Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.
Sichern Sie Ihre Root-Benutzer des AWS-Kontos
-
Melden Sie sich AWS Management Console
als Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein. Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.
-
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für Ihren Root-Benutzer.
Anweisungen finden Sie im Benutzerhandbuch unter Aktivieren eines virtuellen MFA Geräts für Ihren AWS-Konto IAM Root-Benutzer (Konsole).
Erstellen eines Benutzers mit Administratorzugriff
-
Aktivieren Sie IAM Identity Center.
Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.
-
Gewähren Sie einem Benutzer in IAM Identity Center Administratorzugriff.
Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Benutzerzugriff mit der Standardeinstellung konfigurieren IAM-Identity-Center-Verzeichnis im AWS IAM Identity Center Benutzerhandbuch.
Anmelden als Administratorbenutzer
-
Um sich mit Ihrem IAM Identity Center-Benutzer anzumelden, verwenden Sie die Anmeldung, URL die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM Identity Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie im AWS-Anmeldung Benutzerhandbuch unter Anmeldung beim AWS Zugangsportal.
Weiteren Benutzern Zugriff zuweisen
-
Erstellen Sie in IAM Identity Center einen Berechtigungssatz, der der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten folgt.
Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.
-
Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.
Verwenden der AWS Config -Konsole
Um auf die AWS Config Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Config Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur Anrufe an AWS CLI oder am tätigen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den sie ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die AWS Config Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Config AWSConfigUserAccess
Sie müssen Benutzern Berechtigungen für die Interaktion mit ihnen erteilen AWS Config. Verwenden Sie für Benutzer, die vollen Zugriff auf benötigen AWS Config, die Richtlinie Vollzugriff auf AWS Config verwaltet.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die Inline- und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von oder. AWS CLI AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Nur-Lese-Zugriff auf AWS Config
Das folgende Beispiel zeigt eine AWS verwaltete Richtlinie, AWSConfigUserAccess die nur Lesezugriff auf gewährt. AWS Config
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:Deliver*", "config:List*", "config:Select*", "tag:GetResources", "tag:GetTagKeys", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
In den Richtlinienanweisungen gibt das Element Effect an, ob die Aktionen zugelassen oder verweigert werden. Das Element Action listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das Element Resource listet die AWS -Ressourcen auf, für die der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf AWS Config Aktionen steuern, ist das Resource Element immer auf gesetzt*, ein Platzhalter, der „alle Ressourcen“ bedeutet.
Die Werte im Action Element entsprechen denen, die von den APIs Diensten unterstützt werden. Den Aktionen wird config: vorangestellt. Damit wird angegeben, dass sie sich auf AWS Config -Aktionen beziehen. Sie können das Platzhalterzeichen * im Element Action beispielsweise wie folgt verwenden:
-
"Action": ["config:*ConfigurationRecorder"]Dies erlaubt alle AWS Config Aktionen, die mit "ConfigurationRecorder" (
StartConfigurationRecorder,StopConfigurationRecorder) enden. -
"Action": ["config:*"]Dies erlaubt alle AWS Config Aktionen, aber keine Aktionen für andere AWS Dienste.
-
"Action": ["*"]Dies ermöglicht alle AWS Aktionen. Diese Berechtigung ist für einen Benutzer geeignet, der als AWS Administrator für Ihr Konto fungiert.
Die Richtlinie für den schreibgeschützten Zugriff erteilt Benutzern keine Berechtigung für die Aktionen (z. B. StartConfigurationRecorder, StopConfigurationRecorder und DeleteConfigurationRecorder). Benutzer mit dieser Richtlinie dürfen den Configuration Recorder weder starten noch beenden oder löschen. Eine Liste der AWS Config Aktionen finden Sie in der AWS Config APIReferenz.
Voller Zugriff auf AWS Config
Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt AWS Config. Sie gewährt Benutzern die Berechtigung, alle AWS Config Aktionen auszuführen. Außerdem können Benutzer damit Dateien in Amazon S3 S3-Buckets und SNS Amazon-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.
Wichtig
Diese Richtlinie gewährt umfassende Berechtigungen. Bevor Sie Vollzugriff gewähren, sollten Sie gegebenenfalls mit einem Mindestsatz von Berechtigungen beginnen und zusätzliche Berechtigungen nach Bedarf gewähren. Diese Methode ist besser, als anfangs zu weit gefasste Berechtigungen zu gewähren und dann später zu versuchen, sie zu begrenzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:GetTopicAttributes", "sns:ListPlatformApplications", "sns:ListTopics", "sns:SetTopicAttributes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListBucketVersions", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:GetRole", "iam:GetRolePolicy", "iam:ListRolePolicies", "iam:ListRoles", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:CreateServiceLinkedRole" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "config.amazonaws.com", "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "config:*", "tag:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:DescribeDocument", "ssm:GetDocument", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListDocuments", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
Unterstützte Berechtigungen auf Ressourcenebene für Regelaktionen AWS Config API
Berechtigungen auf Ressourcenebene beziehen sich auf die Fähigkeit, anzugeben, auf welchen Ressourcen Benutzer Aktionen ausführen dürfen. AWS Config unterstützt Berechtigungen auf Ressourcenebene für bestimmte Regelaktionen. AWS Config API Das bedeutet, dass Sie für bestimmte AWS Config Regelaktionen die Bedingungen steuern können, unter denen Benutzer diese Aktionen verwenden dürfen. Diese Bedingungen können Aktionen sein, die erfüllt sein müssen, oder bestimmte Ressourcen, die von den Benutzern verwendet werden dürfen.
In der folgenden Tabelle werden die AWS Config API Regelaktionen beschrieben, die derzeit Berechtigungen auf Ressourcenebene unterstützen. Außerdem werden die unterstützten Ressourcen und die ARNs für jede Aktion benötigten Ressourcen beschrieben. Wenn Sie eine angebenARN, können Sie den Platzhalter * in Ihren Pfaden verwenden, z. B. wenn Sie die genaue Ressource IDs nicht angeben können oder wollen.
Wichtig
Wenn eine AWS Config API Regelaktion in dieser Tabelle nicht aufgeführt ist, unterstützt sie keine Berechtigungen auf Ressourcenebene. Wenn eine AWS Config Regelaktion keine Berechtigungen auf Ressourcenebene unterstützt, können Sie Benutzern Berechtigungen zur Verwendung der Aktion gewähren. Sie müssen jedoch für das Ressourcenelement Ihrer Richtlinienerklärung ein Sternchen angeben.
| APIAktion | Ressourcen |
|---|---|
DeleteConfigRule |
Konfigurationsregel arn:aws:config: |
DeleteEvaluationResults |
Konfigurationsregel arn:aws:config: |
DescribeComplianceByConfigRule |
Konfigurationsregel arn:aws:config: |
DescribeConfigRuleEvaluationStatus |
Konfigurationsregel arn:aws:config: |
GetComplianceDetailsByConfigRule |
Konfigurationsregel arn:aws:config: |
PutConfigRule |
Konfigurationsregel arn:aws:config: |
StartConfigRulesEvaluation |
Konfigurationsregel arn:aws:config: |
PutRemediationConfigurations |
Korrekturkonfiguration arn:aws:config: |
DescribeRemediationConfigurations |
Korrekturkonfiguration arn:aws:config: |
DeleteRemediationConfiguration |
Korrekturkonfiguration arn:aws:config: |
PutRemediationExceptions |
Korrekturkonfiguration arn:aws:config: |
DescribeRemediationExceptions |
Korrekturkonfiguration arn:aws:config: |
DeleteRemediationExceptions |
Korrekturkonfiguration arn:aws:config: |
Angenommen, Sie möchten bestimmten Benutzern den Lesezugriff auf bestimmte Regeln erteilen und den Schreibzugriff verweigern.
In der ersten Richtlinie erlauben Sie der AWS Config Regel Leseaktionen, z. B. DescribeConfigRuleEvaluationStatus für die angegebenen Regeln.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }
In der zweiten Richtlinie verweigern Sie den AWS Config Regelschreibaktionen für die jeweilige Regel.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }
Mit Berechtigungen auf Ressourcenebene können Sie Lesezugriff gewähren und Schreibzugriff verweigern, um bestimmte Aktionen für AWS Config API Regelaktionen auszuführen.
Unterstützte Berechtigungen auf Ressourcenebene für konten- und regionsübergreifende Datenaggregationen
Mit Berechtigungen auf Ressourcenebene können Sie steuern, welche spezifischen Aktionen die Benutzer für die Datenaggregation für mehrere Konten und Regionen ausführen dürfen. Die folgenden Berechtigungen AWS Config
Aggregator APIs unterstützen Berechtigungen auf Ressourcenebene:
Sie können beispielsweise den Zugriff auf Ressourcendaten für bestimmte Benutzer einschränken, indem Sie zwei Aggregatoren erstellen AccessibleAggregator InAccessibleAggregator und eine IAM Richtlinie anhängen, die den Zugriff auf diese ermöglicht, AccessibleAggregator aber verweigert. InAccessibleAggregator
IAMRichtlinie für AccessibleAggregator
In dieser Richtlinie gewähren Sie den Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config
Amazon-Ressourcennamen (ARN). In diesem Beispiel lautet AWS Config ARN arn:aws:config:ap-northeast-1:.AccountID:config-aggregator/config-aggregator-mocpsqhs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigAllow", "Effect": "Allow", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs" } ] }
IAMRichtlinie für InAccessibleAggregator
In dieser Richtlinie verweigern Sie den Zugriff auf die unterstützten Aggregatoraktionen für AWS Config ARN die von Ihnen angegebenen. In diesem Beispiel lautet AWS Config ARN arn:aws:config:ap-northeast-1:.AccountID:config-aggregator/config-aggregator-pokxzldx
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigDeny", "Effect": "Deny", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ] }
Wenn ein Benutzer der Entwicklergruppe versucht, eine dieser Aktionen mit der von Ihnen angegebenen Aktion auszuführen, erhält dieser Benutzer die Ausnahme „Zugriff verweigert“. AWS Config ARN
Prüfen von Benutzerzugriffsberechtigungen
Führen Sie den folgenden AWS CLI Befehl aus, um die von Ihnen erstellten Aggregatoren anzuzeigen:
aws configservice describe-configuration-aggregators
Wenn der Befehl erfolgreich abgeschlossen wurde, können Sie die Details aller Aggregatoren sehen, die mit Ihrem Konto verknüpft sind. In diesem Beispiel sind das AccessibleAggregator und InAccessibleAggregator:
{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "AccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 }, { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "InAccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }
Anmerkung
account-aggregation-sourcesGeben Sie eine durch Kommas getrennte Liste von AWS
Konten ein, IDs für die Sie Daten aggregieren möchten. Setzen Sie das Konto IDs in eckige Klammern und achten Sie darauf, Anführungszeichen zu vermeiden (z. B."[{\"AccountIds\":
[\").AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\":
true}]"
Fügen Sie die folgende IAM Richtlinie anInAccessibleAggregator, um den Zugriff auf den Aggregator, auf den Sie den Zugriff verweigern möchten, zu verweigern.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigDeny", "Effect": "Deny", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ] }
Als Nächstes können Sie überprüfen, ob die IAM Richtlinie funktioniert, um den Zugriff auf Regeln für einen bestimmten Aggregator einzuschränken:
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-namerule name--account-idAccountID--aws-regionAwsRegion
Der Befehl sollte eine Ausnahme des Typs „Zugriff verweigert“ zurückgeben:
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/is not authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
