Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Config
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Config, consultez les [AWS services de la section Étendue par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/) et .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS Config. Les rubriques suivantes expliquent comment procéder à la configuration AWS Config pour atteindre vos objectifs de sécurité et de conformité.
**Topics**
+ [Protection des données dans AWS Config](data-protection.md)
+ [Identity and Access Management pour AWS Config](security-iam.md)
+ [Réponse aux incidents dans AWS Config](incident-response.md)
+ [Validation de conformité pour AWS Config](config-compliance.md)
+ [Résilience dans AWS Config](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans AWS Config](infrastructure-security.md)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)
+ [Bonnes pratiques en matière de sécurité pour AWS Config](security-best-practices.md)
# Protection des données dans AWS Config
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement de données au repos
Les données sont chiffrées au repos à l'aide d'un chiffrement transparent côté serveur. Cela réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement.
## Chiffrement des données en transit
Les données collectées et consultées par AWS Config se font exclusivement via un canal protégé par le protocole TLS (Transport Layer Security).
# Identity and Access Management pour AWS Config
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser AWS Config les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment AWS Config fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées](security-iam-awsmanpol.md)
+ [Autorisations du rôle IAM](iamrole-permissions.md)
+ [Mise à jour du rôle IAM](update-iam-role.md)
+ [Autorisations pour le compartiment Amazon S3](s3-bucket-policy.md)
+ [Autorisations pour la clé KMS](s3-kms-key-policy.md)
+ [Autorisations relatives à la rubrique Amazon SNS](sns-topic-policy.md)
+ [Résolution des problèmes](security_iam_troubleshoot.md)
+ [Utilisation des rôles liés à un service](using-service-linked-roles.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes AWS Config d'identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS Config fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour AWS Config](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment AWS Config fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à AWS Config, découvrez les fonctionnalités IAM disponibles. AWS Config
**Fonctionnalités IAM que vous pouvez utiliser avec AWS Config**
| Fonctionnalité IAM | AWS Config soutien |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Transmission des sessions d’accès (FAS)](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont AWS Config les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour AWS Config
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour AWS Config
Pour consulter des exemples de politiques AWS Config basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS Config](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources au sein de AWS Config
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions politiques pour AWS Config
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des AWS Config actions, reportez-vous à la section [Actions définies par AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) dans la *référence d'autorisation de service*.
Les actions de politique en AWS Config cours utilisent le préfixe suivant avant l'action :
```
config
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"config:action1",
"config:action2"
]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante :
```
"Action": "config:Describe*"
```
Pour consulter des exemples de politiques AWS Config basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS Config](security_iam_id-based-policy-examples.md)
## Ressources politiques pour AWS Config
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de AWS Config ressources et leurs caractéristiques ARNs, voir [Ressources définies par AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies) dans la *référence d'autorisation de service*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Pour consulter des exemples de politiques AWS Config basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS Config](security_iam_id-based-policy-examples.md)
## Clés de conditions de politique pour AWS Config
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de AWS Config condition, reportez-vous à la section [Clés de condition pour AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys) la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Pour consulter des exemples de politiques AWS Config basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS Config](security_iam_id-based-policy-examples.md)
## ACLs in AWS Config
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## ABAC avec AWS Config
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d'informations sur le balisage AWS Config des ressources, consultez[Marquer vos ressources AWS Config](tagging.md).
## Utilisation d'informations d'identification temporaires avec AWS Config
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Transférer les sessions d'accès pour AWS Config
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour AWS Config
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations d’un rôle de service peut altérer la fonctionnalité d’ AWS Config . Modifiez les rôles de service uniquement lorsque AWS Config vous recevez des instructions à cet effet.
## Rôles liés à un service pour AWS Config
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus de détails sur la création ou la gestion des rôles AWS Config liés à un service, consultez. [Utilisation de rôles liés à un service pour AWS Config](using-service-linked-roles.md)
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# Exemples de politiques basées sur l'identité pour AWS Config
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS Config . Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par AWS Config, y compris le format de ARNs pour chacun des types de ressources, voir [Actions, ressources et clés de condition AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Inscrivez-vous pour un Compte AWS](#sign-up-for-aws)
+ [Création d’un utilisateur doté d’un accès administratif](#create-an-admin)
+ [Utilisation de la console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accès en lecture seule à AWS Config](#read-only-config-permission)
+ [Accès complet à AWS Config](#full-config-permission)
+ [Contrôle de l'accès aux AWS Config règles](#supported-resource-level-permissions)
+ [Contrôle de l'accès aux données agrégées](#resource-level-permission)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS Config des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Après vous être inscrit à un Compte AWS, sécurisez Utilisateur racine d'un compte AWS AWS IAM Identity Center, activez et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, consultez la section [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
## Utilisation de la AWS Config console
Pour accéder à la AWS Config console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS Config des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la AWS Config console, associez également la politique AWS Config `AWSConfigUserAccess` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Vous devez autoriser les utilisateurs à interagir avec AWS Config. Pour les utilisateurs qui ont besoin d'un accès complet à AWS Config, utilisez la politique [Accès complet à](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) la AWS Config gestion.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accès en lecture seule à AWS Config
L'exemple suivant montre une politique AWS gérée `AWSConfigUserAccess` qui accorde un accès en lecture seule à. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Dans les déclarations de politique, l'élément `Effect` spécifie si les actions sont autorisées ou refusées. L'élément `Action` répertorie les actions spécifiques que l'utilisateur est autorisé à effectuer. L'`Resource`élément répertorie les AWS ressources sur lesquelles l'utilisateur est autorisé à effectuer ces actions. Pour les politiques qui contrôlent l'accès aux AWS Config actions, l'`Resource`élément est toujours défini sur`*`, un caractère générique qui signifie « toutes les ressources ».
Les valeurs de l'`Action`élément correspondent à celles prises APIs en charge par les services. Les actions sont `config:` précédées de ce qui indique qu'elles font référence à AWS Config des actions. Vous pouvez utiliser le caractère générique `*` dans l'élément `Action`, comme dans les exemples suivants :
+ `"Action": ["config:*ConfigurationRecorder"]`
Cela autorise toutes les AWS Config actions qui se terminent par ConfigurationRecorder "" (`StartConfigurationRecorder`,`StopConfigurationRecorder`).
+ `"Action": ["config:*"]`
Cela permet toutes les AWS Config actions, mais pas les actions pour les autres AWS services.
+ `"Action": ["*"]`
Cela permet toutes les AWS actions. Cette autorisation convient à un utilisateur qui agit en tant qu' AWS administrateur de votre compte.
La stratégie en lecture seule n'accorde pas l'autorisation à l'utilisateur pour les actions `StartConfigurationRecorder`, `StopConfigurationRecorder` et `DeleteConfigurationRecorder`. Les utilisateurs disposant de cette stratégie ne sont pas autorisés à démarrer, arrêter ou supprimer l'enregistreur de configuration. Pour la liste des AWS Config actions, consultez la [référence de AWS Config l'API](https://docs.aws.amazon.com/config/latest/APIReference/).
## Accès complet à AWS Config
L'exemple suivant montre une politique qui accorde un accès complet à AWS Config. Il accorde aux utilisateurs l'autorisation d'effectuer toutes les AWS Config actions. Ils sont aussi autorisés à gérer les fichiers dans des compartiments Amazon S3, ainsi que les rubriques Amazon SNS du compte auquel ils sont associés.
**Important**
Cette politique accorde des autorisations étendues. Avant d'accorder un accès complet, commencez avec un ensemble d'autorisations minimum et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Autorisations prises en charge au niveau des ressources pour les actions d'API de AWS Config règles
Les autorisations au niveau des ressources font référence à la capacité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. AWS Config prend en charge les autorisations au niveau des ressources pour certaines actions d'API de AWS Config règles. Cela signifie que pour certaines actions de AWS Config règles, vous pouvez contrôler les conditions dans lesquelles les utilisateurs sont autorisés à utiliser ces actions. Ces conditions peuvent être des actions qui doivent être réalisées, ou des ressources spécifiques que les utilisateurs sont autorisés à utiliser.
Le tableau suivant décrit les actions d'API de AWS Config règles qui prennent actuellement en charge les autorisations au niveau des ressources. Il décrit également les ressources prises en charge et les ressources correspondantes ARNs pour chaque action. Lorsque vous spécifiez un ARN, vous pouvez utiliser le caractère générique \$1 dans vos chemins ; par exemple, lorsque vous ne pouvez pas ou ne voulez pas spécifier la ressource IDs exacte.
**Important**
Si une action d'API de AWS Config règle n'est pas répertoriée dans ce tableau, cela signifie qu'elle ne prend pas en charge les autorisations au niveau des ressources. Si une action de AWS Config règle ne prend pas en charge les autorisations au niveau des ressources, vous pouvez autoriser les utilisateurs à utiliser l'action, mais vous devez spécifier un \$1 pour l'élément ressource de votre déclaration de politique.
****
| Action d'API | Ressources |
| --- | --- |
| DeleteConfigRule | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DeleteEvaluationResults | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DescribeComplianceByConfigRule | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DescribeConfigRuleEvaluationStatus | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| GetComplianceDetailsByConfigRule | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| PutConfigRule | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| StartConfigRulesEvaluation | Règle de configuration arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| PutRemediationConfigurations | Configuration de la correction arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | Configuration de la correction arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | Configuration de la correction arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| PutRemediationExceptions | Configuration de la correction arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationExceptions | Configuration de la correction arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationExceptions | Configuration de la correction arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
Par exemple, vous voulez autoriser l'accès en lecture et refuser l'accès en écriture à des règles spécifiques à des utilisateurs spécifiques.
Dans la première politique, vous autorisez les actions de lecture des AWS Config règles, par exemple `DescribeConfigRuleEvaluationStatus` sur les règles spécifiées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
Dans la seconde politique, vous refusez les actions d'écriture de AWS Config règles sur la règle spécifique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
Avec les autorisations au niveau des ressources, vous pouvez autoriser l'accès en lecture et refuser l'accès en écriture pour effectuer des actions spécifiques sur les actions de l'API de AWS Config règles.
## Autorisations au niveau des ressources prises en charge pour l'agrégation de données multi-région et multi-compte
Vous pouvez utiliser des autorisations au niveau des ressources pour contrôler la capacité d'un utilisateur à effectuer des actions spécifiques sur des regroupements de données de plusieurs comptes et plusieurs régions. Les autorisations suivantes au niveau des ressources de AWS Config `Aggregator` APIs support sont les suivantes :
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Vous pouvez par exemple restreindre l'accès aux données des ressources pour des utilisateurs spécifiques en créant deux agrégateurs `AccessibleAggregator` et `InAccessibleAggregator` et en attachant une politique IAM qui autorise l'accès à `AccessibleAggregator` en refusant l'accès à `InAccessibleAggregator`.
**Politique IAM pour AccessibleAggregator**
Cette politique vous permet d'autoriser l'accès aux actions de l'agrégateur pris en charge pour l'Amazon Resource Name (ARN) AWS Config que vous spécifiez. Dans cet exemple, l' AWS Config ARN est`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**Politique IAM pour InAccessibleAggregator**
Cette politique vous permet de refuser l'accès aux actions de l'agrégateur pris en charge pour l'ARN AWS Config que vous spécifiez. Dans cet exemple, l' AWS Config ARN est`arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Si un utilisateur du groupe de développeurs tente d'effectuer l'une de ces actions sur l'ARN AWS Config que vous avez spécifié, il obtiendra une exception de refus d'accès.
**Vérification des autorisations d'accès des utilisateurs**
Pour afficher les agrégateurs que vous avez créés, exécutez la commande AWS CLI suivante :
```
aws configservice describe-configuration-aggregators
```
Une fois la commande exécutée, vous pourrez consulter les détails de tous les agrégateurs associés à votre compte. Dans cet exemple, il s'agit des agrégateurs `AccessibleAggregator` et `InAccessibleAggregator` :
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**Note**
Pour `account-aggregation-sources` saisir une liste de AWS comptes séparés par des IDs virgules pour lesquels vous souhaitez agréger les données. Placez le compte IDs entre crochets et veillez à ne pas utiliser de guillemets (par exemple,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
Attachez la politique IAM suivante pour refuser l'accès à `InAccessibleAggregator` ou à l'agrégateur auquel vous souhaitez refuser l'accès.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Vous pouvez ensuite confirmer que la politique IAM fonctionne pour limiter l'accès aux règles pour un agrégateur spécifique :
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
La commande doit renvoyer une exception d'accès rejeté :
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS politiques gérées pour AWS Config
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSConfigServiceRolePolicy
AWS Config utilise le rôle lié au service nommé **AWSServiceRoleForConfig**pour appeler d'autres AWS services en votre nom. Lorsque vous utilisez le AWS Management Console pour le configurer AWS Config, ce reflex est automatiquement créé AWS Config si vous sélectionnez l'option permettant d'utiliser le AWS Config reflex au lieu de votre propre rôle de service Gestion des identités et des accès AWS (IAM).
Le SLR **AWSServiceRoleForConfig** contient la politique gérée `AWSConfigServiceRolePolicy`. Cette politique gérée contient des autorisations en lecture seule et en écriture uniquement pour les ressources et des autorisations en lecture seule pour les AWS Config ressources des autres services pris en charge. AWS Config La politique fournit un accès complet pour surveiller et enregistrer les modifications de configuration au sein de votre AWS infrastructure, y compris les autorisations pour plus de 100 AWS services tels que les services de calcul, de stockage, de mise en réseau, de sécurité, d'analyse et d'apprentissage automatique.
La politique inclut des autorisations pour les catégories de services suivantes :
+ `access-analyzer`— Permet aux responsables d'analyser les modèles d'accès et de récupérer les résultats de sécurité.
+ `account`— Permet aux principaux de récupérer les informations de contact du compte.
+ `acm`et `acm-pca` — Permet aux principaux de gérer les SSL/TLS certificats et les autorités de certification privées.
+ `airflow`— Permet aux principaux de surveiller les environnements Apache Airflow gérés.
+ `amplify`et `amplifyuibuilder` — Permet aux principaux de surveiller les applications Web et les composants de l'interface utilisateur.
+ `aoss`— Permet aux principaux de surveiller les collections OpenSearch sans serveur et les configurations de sécurité.
+ `app-integrations`— Permet aux responsables de surveiller les configurations d'intégration des applications.
+ `appconfig`— Permet aux principaux de surveiller les déploiements de configuration des applications.
+ `appflow`— Permet aux principaux de surveiller les configurations de flux de données entre les applications.
+ `application-autoscaling`et `application-signals` — Permet aux responsables de surveiller les politiques d'auto-scaling et les indicateurs de performance des applications.
+ `appmesh`— Permet aux principaux de surveiller les configurations de maillage des services.
+ `apprunner`— Permet aux donneurs d'ordre de surveiller les applications et services Web conteneurisés.
+ `appstream`— Permet aux responsables de surveiller les configurations de streaming des applications.
+ `appsync`— Permet aux principaux de surveiller les configurations de l'API GraphQL.
+ `aps`— Permet aux directeurs de surveiller les configurations de surveillance de Prometheus.
+ `apptest`— Permet aux responsables de surveiller les configurations de test des applications.
+ `arc-zonal-shift`— Permet aux directeurs de surveiller la disponibilité des configurations de décalage zonal.
+ `athena`— Permet aux principaux de surveiller les configurations des moteurs de requêtes et les catalogues de données.
+ `auditmanager`— Permet aux directeurs de suivre les audits et les évaluations de conformité.
+ `autoscaling`et `autoscaling-plans` — Permet aux directeurs de surveiller les groupes d'auto-scaling et les plans de dimensionnement.
+ `b2bi`— Permet aux principaux de surveiller les configurations business-to-business d'intégration.
+ `backup`et `backup-gateway` — Permet aux principaux de surveiller les politiques de sauvegarde et les configurations des passerelles.
+ `batch`— Permet aux directeurs de surveiller les environnements informatiques par lots et les files d'attente de tâches.
+ `bcm-data-exports`— Permet aux donneurs d'ordre de surveiller les exportations de données de facturation et de gestion des coûts.
+ `bedrock`et `bedrock-agentcore` — Permet aux directeurs de surveiller les modèles de base et les configurations des agents d'intelligence artificielle.
+ `billingconductor`— Permet aux donneurs d'ordre de surveiller les configurations des groupes de facturation.
+ `budgets`— Permet aux directeurs de surveiller les configurations et les actions budgétaires.
+ `cassandra`— Permet aux principaux d'interroger les configurations de base de données Cassandra gérées.
+ `ce`— Permet aux donneurs d'ordre de surveiller les configurations de rapports sur les coûts et l'utilisation.
+ `cleanrooms`et `cleanrooms-ml` — Permet aux responsables de surveiller les configurations de collaboration sur les données et d'apprentissage automatique.
+ `cloud9`— Permet aux responsables de surveiller les configurations de l'environnement de développement dans le cloud.
+ `cloudformation`— Permet aux responsables de surveiller l'infrastructure sous forme de configurations de pile de code.
+ `cloudfront`— Permet aux donneurs d'ordre de surveiller les configurations des réseaux de diffusion de contenu.
+ `cloudtrail`— Permet aux responsables de surveiller la journalisation des API et les configurations des pistes d'audit.
+ `cloudwatch`— Permet aux directeurs de surveiller les métriques, les alarmes et les configurations du tableau de bord.
+ `codeartifact`— Permet aux principaux de surveiller les configurations des référentiels de progiciels.
+ `codebuild`— Permet aux responsables de surveiller les configurations des projets de construction.
+ `codecommit`— Permet aux principaux de surveiller les configurations des référentiels de code source.
+ `codeconnections`— Permet aux principaux de surveiller les connexions à des sources tierces.
+ `codedeploy`— Permet aux responsables de surveiller les configurations de déploiement des applications.
+ `codeguru-profiler`et `codeguru-reviewer` — Permet aux responsables de surveiller l'analyse du code et les configurations de profilage.
+ `codepipeline`— Permet aux responsables de surveiller l'intégration continue et les configurations du pipeline de déploiement.
+ `codestar-connections`— Permet aux responsables de surveiller les connexions aux outils de développement.
+ `cognito-identity`et `cognito-idp` — Permet aux principaux de surveiller les configurations des identités et des groupes d'utilisateurs.
+ `comprehend`— Permet aux directeurs de surveiller les configurations de traitement du langage naturel.
+ `config`— Permet aux principaux de gérer l'enregistrement des configurations et la surveillance de la conformité.
+ `connect`— Permet aux donneurs d'ordre de surveiller les configurations des centres de contact.
Pour plus d'informations sur les types de ressources pris en charge, consultez [Types de ressources pris en charge pour AWS Config](resource-config-reference.md) et[Utilisation de rôles liés à un service pour AWS Config](using-service-linked-roles.md).
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
**Recommandé : utilisez le rôle lié à un service**
Il est recommandé d'utiliser le rôle lié au service, sauf si vous avez un cas d'utilisation particulier. Un rôle lié à un service ajoute toutes les autorisations nécessaires AWS Config pour fonctionner comme prévu. Certaines fonctionnalités, telles que les enregistreurs de configuration liés à un service, nécessitent que vous utilisiez le rôle lié à un service.
## AWS politique gérée : AWS\$1ConfigRole
Pour enregistrer vos configurations de AWS ressources, vous AWS Config devez disposer des autorisations IAM pour obtenir les détails de configuration de vos ressources. Si vous souhaitez créer un rôle IAM pour AWS Config, vous pouvez utiliser la politique gérée `AWS_ConfigRole` et l'attacher à votre rôle IAM.
Cette politique IAM est mise à jour chaque fois que la prise en charge d'un type de AWS ressource est AWS Config ajoutée. Cela signifie qu'il AWS Config continuera à disposer des autorisations requises pour enregistrer les données de configuration des types de ressources pris en charge tant que cette politique gérée est attachée au rôle **AWS\$1COnFigRole**. La politique fournit un accès complet pour surveiller et enregistrer les modifications de configuration au sein de votre AWS infrastructure, y compris les autorisations pour plus de 100 AWS services tels que les services de calcul, de stockage, de mise en réseau, de sécurité, d'analyse et d'apprentissage automatique. Pour plus d’informations, consultez [Types de ressources pris en charge pour AWS Config](resource-config-reference.md) et [Autorisations pour le rôle IAM attribué à AWS Config](iamrole-permissions.md).
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [AWS\$1COnFigRole dans le Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html) de référence des *politiques AWS gérées*.
## AWS politique gérée : AWSConfigUserAccess
Cette politique IAM fournit un accès à l'utilisation AWS Config, y compris la recherche par balises sur les ressources et la lecture de toutes les balises. Cela ne donne pas l'autorisation de configurer AWS Config, ce qui nécessite des privilèges administratifs.
Consultez la politique : [AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html).
## AWS politique gérée : ConfigConformsServiceRolePolicy
Le déploiement et la gestion des packs de conformité AWS Config nécessitent des autorisations IAM et certaines autorisations d'autres AWS services. Ils vous permettent de déployer et de gérer des packs de conformité avec toutes les fonctionnalités et sont mis à jour chaque fois que de nouvelles AWS Config fonctionnalités sont ajoutées aux packs de conformité. Pour plus d'informations sur les packs de conformité, consultez [Packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html).
Consultez la politique : [ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html).
## AWS politique gérée : AWSConfigRulesExecutionRole
Pour déployer AWS des règles Lambda personnalisées, des autorisations AWS Config IAM et certaines autorisations d'autres services sont nécessaires. AWS Ils permettent aux AWS Lambda fonctions d'accéder à l' AWS Config API et aux instantanés de configuration AWS Config fournis régulièrement à Amazon S3. Cet accès est requis par les fonctions qui évaluent les modifications de configuration pour les règles Lambda AWS personnalisées et est mis à jour chaque fois que de nouvelles fonctionnalités sont AWS Config ajoutées. Pour plus d'informations sur les règles Lambda AWS personnalisées, voir [Création de règles AWS Config Lambda](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) personnalisées. Pour plus d'informations sur les instantanés de configuration, consultez [Concepts \$1 Instantané de configuration](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot). Pour plus d'informations sur la livraison des instantanés de configuration, consultez [Gestion du canal de livraison](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html).
Consultez la politique : [AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html).
## AWS politique gérée : AWSConfigMultiAccountSetupPolicy
Le déploiement, la mise à jour et la suppression centralisés des AWS Config règles et des packs de conformité sur les comptes des membres d'une organisation AWS Config nécessitent des autorisations IAM et certaines autorisations d'autres AWS services. AWS Organizations Cette politique gérée est mise à jour chaque fois qu' AWS Config ajoute une nouvelle fonctionnalité lors de la configuration de plusieurs comptes. Pour plus d'informations, voir [Gestion des AWS Config règles pour tous les comptes de votre organisation](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) et [Gestion des packs de conformité pour tous les comptes de votre organisation](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html).
Consultez la politique : [AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html).
## AWS politique gérée : AWSConfigRoleForOrganizations
AWS Config Pour autoriser les appels en lecture seule AWS Organizations APIs, des autorisations AWS Config IAM et certaines autorisations d'autres services sont nécessaires. AWS Cette politique gérée est mise à jour chaque fois qu' AWS Config ajoute une nouvelle fonctionnalité lors de la configuration de plusieurs comptes. Pour plus d'informations, voir [Gestion des AWS Config règles pour tous les comptes de votre organisation](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) et [Gestion des packs de conformité pour tous les comptes de votre organisation](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html).
Consultez la politique : [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html).
## AWS politique gérée : AWSConfigRemediationServiceRolePolicy
AWS Config Pour autoriser la correction `NON_COMPLIANT` des ressources en votre nom, vous devez AWS Config disposer d'autorisations IAM et de certaines autorisations accordées par d'autres AWS services. Cette politique gérée est mise à jour chaque fois qu' AWS Config une nouvelle fonctionnalité de correction est ajoutée. Pour plus d'informations sur la correction, voir Corriger les [ressources non conformes à l'aide](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) de règles. AWS Config Pour plus d'informations sur les conditions à l'origine des résultats AWS Config d'évaluation possibles, voir [Concepts \$1 AWS Config Règles](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules).
Consultez la politique : [AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html).
## AWS Config mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS Config depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page [Historique du AWS Config document](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html).
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Autorisations ajoutées : application-autoscaling :DescribeScheduledActions, appsync :, cloudformation :GetApiAssociation, cloudformation :DescribeStacks, cloudfront :GetStackPolicy, cloudfront :, cloudfront :GetTemplate, connect :GetKeyGroup, cur :, datazone :GetMonitoringSubscription, datazone :ListKeyGroups, datazone : ListEvaluationFormVersionsDescribeReportDefinitions, datazone :ListTagsForResource, datazone :GetDomainUnit, datazone :, datazone :GetEnvironmentAction, datazone :GetEnvironmentBlueprintConfiguration, datazone : :GetEnvironmentProfile, zone de données : GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, zone de données :, zone de données :ListEnvironmentProfiles, zone de données :ListPolicyGrants, zone de données :, zone de données :ListProjectMemberships, docdb-elastic :ListSubscriptionTargets, docdb-elastic :, docdb-elastic :SearchGroupProfiles, ec2 :, ec2 :SearchUserProfiles, ec2 :, fis :GetCluster, détecteur de fraude :, guardduty :ListClusters, guardduty :, guardduty :ListTagsForResource, guardduty :GetRouteServerAssociations, guardduty :, iotfleetwise :GetRouteServerPropagations, iotfleetwise :SearchTransitGatewayRoutes, iotsitewise :ListTagsForResource, iotsitewise :GetListElements, GetListsMetadata GetThreatEntitySet GetTrustedEntitySet ListThreatEntitySets ListTrustedEntitySets GetCampaign ListCampaigns DescribeComputationModel DescribeDataset IoT site par site :ListComputationModels, IoT par site :, IoT sans fil :ListDatasets, kendra :, journaux :, journaux :GetWirelessDeviceImportTask, journaux :, mediaconnect :ListWirelessDeviceImportTasks, medialive :ListDataSources, medialive :DescribeQueryDefinitions, medialive :GetIntegration, medialive :ListIntegrations, medialive :, medialive :ListRouterOutputs, medialive :, medialive :DescribeMultiplex, medialive :DescribeSdiSource, medialive :, medialive :GetCloudWatchAlarmTemplate, medialive :GetCloudWatchAlarmTemplateGroup, medialive :, medialive :GetEventBridgeRuleTemplate, gestionnaire de réseau :GetEventBridgeRuleTemplateGroup, gestionnaire de réseau :ListCloudWatchAlarmTemplateGroups, gestionnaire de réseau : ListCloudWatchAlarmTemplates ListEventBridgeRuleTemplateGroups ListEventBridgeRuleTemplates ListSdiSources ListSignalMaps GetConnectAttachment GetCoreNetwork GetCoreNetworkPolicy, gestionnaire de réseau :GetDirectConnectGatewayAttachment, gestionnaire de réseau :GetSiteToSiteVpnAttachment, gestionnaire de réseau :, notifications :ListAttachments, notifications :, notifications :ListCoreNetworks, notifications :GetEventRule, notifications :ListEventRules, espaces de refactorisation :ListManagedNotificationChannelAssociations, espaces de refactorisation :ListNotificationHubs, espaces de refactorisation :ListOrganizationalUnits, explorateur de ressources 2 :GetApplication, résolveur de route 53 :GetRoute, hub de sécurité :, hub de sécurité : V2ListRoutes, hub de sécurité : V2GetDefaultView, hub de sécurité :, GetOutpostResolver ListOutpostResolvers DescribeOrganizationConfiguration GetAggregator GetAutomationRule GetConfigurationPolicyAssociation securityhub :GetFindingAggregator, securityhub : V2, securityhub : ListAggregators V2, securityhub :ListAutomationRules, sms-voice :, sms-voice :ListConfigurationPolicyAssociations, sms-voice :ListFindingAggregators, sms-voice :, sms-voice :DescribeConfigurationSets, sms-voice :DescribeKeywords, sms-voice :, workspaces-web :DescribeProtectConfigurations, workspaces-web :GetProtectConfigurationCountryRuleSet, workspaces-web :, workspaces-web :ListPoolOriginationIdentities. ListTagsForResource GetTrustStore GetTrustStoreCertificate GetUserAccessLoggingSettings ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour enregistrer les modifications de configuration dans de nombreux AWS services. | 17 février 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Autorisations ajoutées : application-autoscaling :DescribeScheduledActions, appsync :, cloudformation :GetApiAssociation, cloudformation :DescribeStacks, cloudfront :GetStackPolicy, cloudfront :, cloudfront :GetTemplate, connect :GetKeyGroup, cur :, datazone :GetMonitoringSubscription, datazone :ListKeyGroups, datazone : ListEvaluationFormVersionsDescribeReportDefinitions, datazone :ListTagsForResource, datazone :GetDomainUnit, datazone :, datazone :GetEnvironmentAction, datazone :GetEnvironmentBlueprintConfiguration, datazone : :GetEnvironmentProfile, zone de données : GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, zone de données :, zone de données :ListEnvironmentProfiles, zone de données :ListPolicyGrants, zone de données :, zone de données :ListProjectMemberships, docdb-elastic :ListSubscriptionTargets, docdb-elastic :, docdb-elastic :SearchGroupProfiles, ec2 :, ec2 :SearchUserProfiles, ec2 :, fis :GetCluster, détecteur de fraude :, guardduty :ListClusters, guardduty :, guardduty :ListTagsForResource, guardduty :GetRouteServerAssociations, guardduty :, iotfleetwise :GetRouteServerPropagations, iotfleetwise :SearchTransitGatewayRoutes, iotsitewise :ListTagsForResource, iotsitewise :GetListElements, GetListsMetadata GetThreatEntitySet GetTrustedEntitySet ListThreatEntitySets ListTrustedEntitySets GetCampaign ListCampaigns DescribeComputationModel DescribeDataset IoT site par site :ListComputationModels, IoT par site :, IoT sans fil :ListDatasets, kendra :, journaux :, journaux :GetWirelessDeviceImportTask, journaux :, mediaconnect :ListWirelessDeviceImportTasks, medialive :ListDataSources, medialive :DescribeQueryDefinitions, medialive :GetIntegration, medialive :ListIntegrations, medialive :, medialive :ListRouterOutputs, medialive :, medialive :DescribeMultiplex, medialive :DescribeSdiSource, medialive :, medialive :GetCloudWatchAlarmTemplate, medialive :GetCloudWatchAlarmTemplateGroup, medialive :, medialive :GetEventBridgeRuleTemplate, gestionnaire de réseau :GetEventBridgeRuleTemplateGroup, gestionnaire de réseau :ListCloudWatchAlarmTemplateGroups, gestionnaire de réseau : ListCloudWatchAlarmTemplates ListEventBridgeRuleTemplateGroups ListEventBridgeRuleTemplates ListSdiSources ListSignalMaps GetConnectAttachment GetCoreNetwork GetCoreNetworkPolicy, gestionnaire de réseau :GetDirectConnectGatewayAttachment, gestionnaire de réseau :GetSiteToSiteVpnAttachment, gestionnaire de réseau :, notifications :ListAttachments, notifications :, notifications :ListCoreNetworks, notifications :GetEventRule, notifications :ListEventRules, espaces de refactorisation :ListManagedNotificationChannelAssociations, espaces de refactorisation :ListNotificationHubs, espaces de refactorisation :ListOrganizationalUnits, explorateur de ressources 2 :GetApplication, résolveur de route 53 :GetRoute, hub de sécurité :, hub de sécurité : V2ListRoutes, hub de sécurité : V2GetDefaultView, hub de sécurité :, GetOutpostResolver ListOutpostResolvers DescribeOrganizationConfiguration GetAggregator GetAutomationRule GetConfigurationPolicyAssociation securityhub :GetFindingAggregator, securityhub : V2, securityhub : ListAggregators V2, securityhub :ListAutomationRules, sms-voice :, sms-voice :ListConfigurationPolicyAssociations, sms-voice :ListFindingAggregators, sms-voice :, sms-voice :DescribeConfigurationSets, sms-voice :DescribeKeywords, sms-voice :, workspaces-web :DescribeProtectConfigurations, workspaces-web :GetProtectConfigurationCountryRuleSet, workspaces-web :, workspaces-web :ListPoolOriginationIdentities. ListTagsForResource GetTrustStore GetTrustStoreCertificate GetUserAccessLoggingSettings ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour enregistrer les modifications de configuration dans de nombreux AWS services. | 17 février 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Politique gérée mise à jour avec des autorisations complètes pour l'enregistrement de la configuration AWS des ressources dans plus de 100 AWS services, notamment les services de calcul, de stockage, de mise en réseau, de sécurité, d'analyse et d'apprentissage automatique. | Cette politique fournit désormais une documentation améliorée des autorisations de service et permet une surveillance complète de tous les AWS services prenant AWS Config en charge l'enregistrement des configurations. | 27 janvier 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Politique gérée mise à jour avec des autorisations complètes pour l'enregistrement de la configuration AWS des ressources dans plus de 100 AWS services, notamment les services de calcul, de stockage, de mise en réseau, de sécurité, d'analyse et d'apprentissage automatique. | Cette politique fournit désormais une documentation améliorée des autorisations de service et permet une surveillance complète de tous les AWS services prenant AWS Config en charge l'enregistrement des configurations. | 27 janvier 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— ajoutez « s3tables : ListTagsForResource », « s3tables : », « s3tables : GetTableBucketMetricsConfiguration » GetTableBucketStorageClass | Cette politique prend désormais en charge des autorisations supplémentaires pour S3Tables. | 09 janvier 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— ajoutez « s3tables : ListTagsForResource », « s3tables : », « s3tables : GetTableBucketMetricsConfiguration » GetTableBucketStorageClass | Cette politique prend désormais en charge des autorisations supplémentaires pour S3Tables. | 09 janvier 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— ajoutez « lightsail :GetActiveNames" « lightsail :GetOperations" « s3 : » GetBucketAbac | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Lightsail et Amazon Simple Storage Service (Amazon S3). | 20 novembre 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— ajoutez « lightsail :GetActiveNames" « lightsail :GetOperations" « s3 : » GetBucketAbac | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Lightsail et Amazon Simple Storage Service (Amazon S3). | 20 novembre 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Politique gérée mise à jour avec des autorisations complètes pour l'enregistrement de la configuration AWS des ressources dans plus de 100 AWS services, notamment les services de calcul, de stockage, de mise en réseau, de sécurité, d'analyse et d'apprentissage automatique. | Cette politique fournit désormais une documentation améliorée des autorisations de service et permet une surveillance complète de tous les AWS services prenant AWS Config en charge l'enregistrement des configurations. | 11 novembre 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Politique gérée mise à jour avec des autorisations complètes pour l'enregistrement de la configuration des AWS ressources sur plusieurs services Gestion des identités et des accès AWS, notamment Amazon Elastic Compute Cloud, Amazon Simple Storage Service AWS Lambda, Amazon Relational Database Service, et bien d'autres. | Cette politique prend désormais en charge des autorisations supplémentaires pour l'enregistrement et la surveillance complets de la configuration des AWS ressources sur tous les AWS services pris en charge. | 10 novembre 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— ajoutez « amplifier : » « amplifier : GetDomainAssociation » « amplify : ListDomainAssociations » « appsync : ListTagsForResource » « appsync : GetSourceApiAssociation » « bedrock : » « bedrock : ListSourceApiAssociations » « bedrock : GetFlow » « bedrock : ListAgentCollaborators » « cloudTrail : ListFlows » « cloudformation : ListPrompts » « codeartefact : GetResourcePolicy » « codeartefact :DescribePublisher" « codepipeline :" « codepipeline :DescribePackageGroup" « codepipeline :ListAllowedRepositoriesForGroup" « codepipeline :" « connect : ListPackageGroups » connect : "« date limite :ListActionTypes" « ec2 :ListTagsForResource" « ec2 :ListWebhooks" « ec2 : DescribeTrafficDistributionGroup ListTrafficDistributionGroups ListFarms GetTransitGatewayRouteTablePropagations SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups« « entityresolution :GetMatchingWorkflow" « entityresolution :ListMatchingWorkflows" « itotsitewise :" « iotsitewise :ListAssetModelCompositeModels" « iotsitewise :ListAssetModelProperties" « iotsitewise :ListAssetProperties" « ivs :" « lambda :ListAssociatedAssets" « lambda :" « pipes :ListPublicKeys" « quicksight :GetProvisionedConcurrencyConfig" « quicksight :GetRuntimeManagementConfig" « redshift-serverless :ListFunctionEventInvokeConfigs" » shift : ListFunctionUrlConfigs « rolesanywhere : DescribePipe » « rolesanywhere : ListPipes » « sagemaker : DescribeRefreshSchedule » « sagemaker : » « sagemaker : ListRefreshSchedules » « sage sage : ListSnapshotCopyConfigurations GetResourcePolicy GetCrl ListCrls DescribeApp DescribeUserProfile ListApps« sagemaker : ListModelPackages » « sagemaker : » « secretsmanager : ListUserProfiles » « securitylake : GetResourcePolicy » « securitake : ListSubscribers » « catalogue de services : » « catalogue de services : ListTagsForResource » « catalogue de services : DescribeServiceAction » « shield : » « shield : » « ssm-incidents : ListApplications » « ssm : ListAssociatedResources » « ssm : ListProtectionGroups » « ssm : ListTagsForResource » « ssm : » « ssm : GetReplicationSet » « ssm :ListReplicationSets" « ssm :" « ssm :DescribeAssociation" « wafv2 :DescribePatchBaselines" « bedrock-agentcore :GetDefaultPatchBaseline" « bedrock GetPatchBaseline GetResourcePolicies ListAssociations ListResourceDataSync ListLoggingConfigurations ListCodeInterpreters GetCodeInterpreter -agentcore : « bedrock-agentcore : ListBrowsers » « bedrock-agentcore : GetBrowser » « bedrock-agentcore : » « bedrock-agentcore : ListAgentRuntimes » « bedrock-agentcore : » GetAgentRuntime ListAgentRuntimeEndpoints GetAgentRuntimeEndpoint | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Amplify AWS AppSync, Amazon Bedrock AWS CloudTrail, CloudFormation, AWS CodeArtifact, AWS CodePipeline,, Amazon Connect AWS Deadline Cloud, Amazon EC2 Résolution des entités AWS,, AWS IoT SiteWise, Amazon IVS, Amazon AWS Lambda, Amazon Quick EventBridge, Amazon Redshift, Amazon Redshift Serverless AWS Identity and Access Management Roles Anywhere, Amazon, Amazon Security Lake,, SageMaker AWS Secrets Manager AWS Shield Amazon EC2 Systems Manager AWS Service Catalog, et. AWS WAFV2 | 1er octobre 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— ajoutez « amplifier : » « amplifier : GetDomainAssociation » « amplify : ListDomainAssociations » « appsync : ListTagsForResource » « appsync : GetSourceApiAssociation » « bedrock : » « bedrock : ListSourceApiAssociations » « bedrock : GetFlow » « bedrock : ListAgentCollaborators » « cloudTrail : ListFlows » « cloudformation : ListPrompts » « codeartefact : GetResourcePolicy » « codeartefact :DescribePublisher" « codepipeline :" « codepipeline :DescribePackageGroup" « codepipeline :ListAllowedRepositoriesForGroup" « codepipeline :" « connect : ListPackageGroups » connect : "« date limite :ListActionTypes" « ec2 :ListTagsForResource" « ec2 :ListWebhooks" « ec2 : DescribeTrafficDistributionGroup ListTrafficDistributionGroups ListFarms GetTransitGatewayRouteTablePropagations SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups« « entityresolution :GetMatchingWorkflow" « entityresolution :ListMatchingWorkflows" « itotsitewise :" « iotsitewise :ListAssetModelCompositeModels" « iotsitewise :ListAssetModelProperties" « iotsitewise :ListAssetProperties" « ivs :" « lambda :ListAssociatedAssets" « lambda :" « pipes :ListPublicKeys" « quicksight :GetProvisionedConcurrencyConfig" « quicksight :GetRuntimeManagementConfig" « redshift-serverless :ListFunctionEventInvokeConfigs" » shift : ListFunctionUrlConfigs « rolesanywhere : DescribePipe » « rolesanywhere : ListPipes » « sagemaker : DescribeRefreshSchedule » « sagemaker : » « sagemaker : ListRefreshSchedules » « sage sage : ListSnapshotCopyConfigurations GetResourcePolicy GetCrl ListCrls DescribeApp DescribeUserProfile ListApps« sagemaker : ListModelPackages » « sagemaker : » « secretsmanager : ListUserProfiles » « securityake : GetResourcePolicy » « securitylake : ListSubscribers » « catalogue de services : » « catalogue de services : ListTagsForResource » « catalogue de services : » « shield : DescribeServiceAction » « shield : » « ssm-incidents : ListApplications » « ssm : ListAssociatedResources » « ssm : ListProtectionGroups » « ssm : ListTagsForResource » « ssm : » « ssm : GetReplicationSet » « ssm :ListReplicationSets" « ssm :" « ssm :DescribeAssociation" « wafv2 :DescribePatchBaselines" « bedrock-agentcore :GetDefaultPatchBaseline" « bedrock GetPatchBaseline GetResourcePolicies ListAssociations ListResourceDataSync ListLoggingConfigurations ListCodeInterpreters GetCodeInterpreter -agentcore : « bedrock-agentcore : ListBrowsers » « bedrock-agentcore : GetBrowser » « bedrock-agentcore : » « bedrock-agentcore : ListAgentRuntimes » « bedrock-agentcore : » GetAgentRuntime ListAgentRuntimeEndpoints GetAgentRuntimeEndpoint | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Amplify AWS AppSync, Amazon Bedrock AWS CloudTrail, CloudFormation, AWS CodeArtifact, AWS CodePipeline,, Amazon Connect AWS Deadline Cloud, Amazon EC2 Résolution des entités AWS,, AWS IoT SiteWise, Amazon IVS, Amazon AWS Lambda, Amazon Quick EventBridge, Amazon Redshift, Amazon Redshift Serverless AWS Identity and Access Management Roles Anywhere, Amazon, Amazon Security Lake,, SageMaker AWS Secrets Manager AWS Shield Amazon EC2 Systems Manager AWS Service Catalog, et. AWS WAFV2 | 1er octobre 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Ajoutez GetAutoshiftObserverNotificationStatus « arc-zonal-shift : », « bedrock : », GetModelInvocationLoggingConfiguration « cloudtrail : », « codeartifact : », GetEventConfiguration « codeartifact : », DescribeDomain « deadline : », « deadline : », GetDomainPermissionsPolicy « deadline : », GetFleet « deadline : », « deadline : GetQueueFleetAssociation », « dms : ListFleets », « glue : «, ListQueueFleetAssociations « kafkaconnect : ListTagsForResource «, « kafkaconnect : DescribeDataMigrations «, « kafkaconnect : ListMigrationProjects «, « kafkaconnect : GetDataCatalogEncryptionSettings « aconnect : «, DescribeCustomPlugin « kafkaconnect : », « kafkaconnect : DescribeWorkerConfiguration », « formation du lac : », « medialive : ListCustomPlugins «, « medialive : ListTagsForResource ListWorkerConfigurations DescribeLakeFormationIdentityCenterConfiguration DescribeMultiplexProgram ListMultiplexPrograms«, « mediapackagev2 : GetChannelGroup », « mediapackagev2 : », « rds : ListChannelGroups », « rolesanywhere : DescribeEngineDefaultParameters », « rolesanywhere : », GetProfile « rolesanywhere : », « rolesanywhere : GetTrustAnchor », « rolesanywhere : ListProfiles », « s3 : «, « secretsmanager : ListTagsForResource «, « securitylake : ListTrustAnchors », « securitylake : GetAccessGrant », « securitylake : ListAccessGrants », « servicecatalog : DescribeSecret », « servicecatalog : ListDataLakeExceptions », « servicecatalog : «, ListDataLakes « servicecatalog : «, « ses : ListLogSources «, » GetAttributeGroup ListAttributeGroups ListServiceActions ListServiceActionsForProvisioningArtifact GetTrafficPolicy ListTagsForResource voir : ListTrafficPolicies «, « xray : GetGroup », « xray : «, GetGroups « xray : «, GetSamplingRules « xray : », « xray : ListResourcePolicies » ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS ARC - Zonal Shift, Amazon Bedrock AWS CloudTrail, AWS CodeArtifact, AWS Deadline Cloud, AWS Database Migration Service, AWS Glue, Gestion des identités et des accès AWS,, Amazon Managed Streaming for Apache Kafka AWS Lake Formation, CloudWatch Amazon Logs AWS Elemental MediaLive AWS Elemental MediaPackage,,, Amazon Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email Service et. AWS X-Ray | 28 juillet 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Ajouter « arc-zonal-shift : GetAutoshiftObserverNotificationStatus », « bedrock : GetModelInvocationLoggingConfiguration », « cloudtrail : », GetEventConfiguration « codeartefact : », « codeartefact : DescribeDomain », « date limite : GetDomainPermissionsPolicy », « date limite : », GetFleet « date limite : », GetQueueFleetAssociation « date limite : », ListFleets « date limite : », ListQueueFleetAssociations « dms : », « glue : ListTagsForResource », « iam : DescribeDataMigrations », « kafkaconnect : ListMigrationProjects «, « kafkaconnect : GetDataCatalogEncryptionSettings », ListPolicies « kafkaconnect : », « kafkaconnect : », DescribeCustomPlugin « lafkaconnect : DescribeWorkerConfiguration », « lakeformation : », « logs : ListCustomPlugins », « logs : », « medialive : ListTagsForResource ListWorkerConfigurations DescribeLakeFormationIdentityCenterConfiguration DescribeIndexPolicies ListTagsForResource DescribeMultiplexProgram«, « medialive : ListMultiplexPrograms », « mediapackagev2 : », GetChannelGroup « mediapackev2 : », « rds : ListChannelGroups », « rolesanywhere : », « rolesanywhere : DescribeEngineDefaultParameters », « rolesanywhere : GetProfile », « rolesanywhere : GetTrustAnchor », « s3 : », « secretsmanager : ListProfiles «, « securitylake : ListTagsForResource «, securitylake : ListTrustAnchors «, « securitylake : GetAccessGrant », « servicecatalog : ListAccessGrants », « servicecatalog : DescribeSecret », « servicecatalog : ListDataLakeExceptions », « servicecatalog : », « utilise : ListDataLakes ListLogSources GetAttributeGroup ListAttributeGroups ListServiceActions ListServiceActionsForProvisioningArtifact GetTrafficPolicy «, « ses : », ListTagsForResource « ses : », « xray : ListTrafficPolicies », « xray : », GetGroup « xray : », « xray : GetGroups «, « xray : «, « xray : GetSamplingRules «, « arn:aws:apigateway : ::/usageplans ListTagsForResource », « arn:aws:apigateway : ::/usageplans/ ». ListResourcePolicies | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS ARC - Zonal Shift Amazon Bedrock AWS CloudTrail AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service AWS Glue Gestion des identités et des accès AWS, Amazon Managed Streaming for Apache Kafka AWS Lake Formation, CloudWatch Amazon Logs AWS Elemental MediaLive AWS Elemental MediaPackage, Amazon Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email AWS X-Ray Service et Amazon API Gateway. | 28 juillet 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Ajoutez « backup-gateway : », GetHypervisor « backup-gateway bcm-data-exports : ListHypervisors GetExport «," bcm-data-exports : ListExports «," bcm-data-exports : ListTagsForResource «, « bedrock : GetAgent «, « bedrock : GetAgentActionGroup », GetAgentKnowledgeBase « bedrock : «, GetDataSource « bedrock : GetFlowAlias «, « bedrock : GetFlowVersion «, « bedrock : ListAgentActionGroups «, « cloudformation : ListAgentKnowledgeBases », ListDataSources « cloudformation : », ListFlowAliases « cloudformation : ListFlowVersions « cloudformation : BatchDescribeTypeConfigurations «, » DescribeStackInstance DescribeStackSet ListStackInstances cloudformation : ListStackSets «, « cloudfront : », « cloudfront : », « cloudfront : GetPublicKey », « cloudfront : », « entityresolution : GetRealtimeLogConfig », « entityresolution : », ListPublicKeys « entityresolution : », « entityresolution : ListRealtimeLogConfigs », « entityresolution : », « iotdeviceadvisor : GetIdMappingWorkflow », « lambda : », « lambda : », « lambda : GetSchemaMapping », « lambda : «, « lambda : ListIdMappingWorkflows », « lambda : », « lambda : », « lambda : ListSchemaMappings », « lambda : », « lambda : ListTagsForResource », « lambda : », « lambda : «, « lambda : GetSuiteDefinition », « lambda : », « lambda : », mediapackagev2 : ListSuiteDefinitions «, « mediapackagev2 : », « gestionnaire de réseau : GetEventSourceMapping «, « gestionnaire de réseau : ListEventSourceMappings «, » : «, » GetChannel ListChannels GetTransitGatewayPeering ListPeerings pca-connector-ad GetDirectoryRegistration pca-connector-ad: ListDirectoryRegistrations «," pca-connector-ad : ListTagsForResource «, « RDS:Describe DBShard Groups », « rds : », DescribeIntegrations « redshift : », DescribeIntegrations « s3tables : », « s3tables : », GetTableBucket « s3tables : GetTableBucketEncryption », « s3tables : GetTableBucketMaintenanceConfiguration «, « ssm-quicksetup : » ListTableBuckets GetConfigurationManager ListConfigurationManagers | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Backup gateway AWS Billing and Cost Management, Amazon Bedrock, Amazon AWS CloudFormation,, CloudFront,, Résolution des entités AWS, AWS IoT Core Device Advisor, AWS Lambda, AWS Network Manager AWS Autorité de certification privée, Amazon Relational Database Service, Amazon Redshift, Amazon S3 Tables,. AWS Configuration rapide de Systems Manager | 18 juin 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Ajoutez « backup-gateway : », GetHypervisor « backup-gateway bcm-data-exports : ListHypervisors GetExport «," bcm-data-exports : ListExports «," bcm-data-exports : ListTagsForResource «, « bedrock : GetAgent «, « bedrock : GetAgentActionGroup », GetAgentKnowledgeBase « bedrock : «, GetDataSource « bedrock : GetFlowAlias «, « bedrock : GetFlowVersion «, « bedrock : ListAgentActionGroups «, « cloudformation : ListAgentKnowledgeBases », ListDataSources « cloudformation : », ListFlowAliases « cloudformation : ListFlowVersions « cloudformation : BatchDescribeTypeConfigurations «, » DescribeStackInstance DescribeStackSet ListStackInstances cloudformation : ListStackSets «, « cloudfront : », « cloudfront : », GetPublicKey « cloudfront : », « cloudfront : », GetRealtimeLogConfig « entityresolution : », « entityresolution : ListPublicKeys », « entityresolution : », « entityresolution : ListRealtimeLogConfigs », « entityresolution : », « iotdeviceadvisor : GetIdMappingWorkflow », « lambda : », « lambda : GetSchemaMapping », « lambda : », « lambda : ListIdMappingWorkflows «, « lambda : », « lambda : », « lambda : ListSchemaMappings », « lambda : », « lambda : ListTagsForResource », « lambda : », « lambda : », « lambda : GetSuiteDefinition «, « lambda : », « lambda : », « lambda : ListSuiteDefinitions », gestionnaire de réseau : «, « gestionnaire de réseau : GetEventSourceMapping «, » : «, » : «, » : ListEventSourceMappings «, « rds : GetTransitGatewayPeering ListPeerings pca-connector-ad GetDirectoryRegistration pca-connector-ad ListDirectoryRegistrations pca-connector-ad ListTagsForResource Décrire DBShard les groupes », « rds : », DescribeIntegrations « redshift : », DescribeIntegrations « s3tables : », « s3tables : », GetTableBucket « s3tables : GetTableBucketEncryption », « s3tables : », « GetTableBucketMaintenanceConfiguration ssm-quicksetup : », « ssm-quicksetup : ListTableBuckets » GetConfigurationManager ListConfigurationManagers | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Backup gateway AWS Billing and Cost Management, Amazon Bedrock, Amazon AWS CloudFormation,, CloudFront,, Résolution des entités AWS, AWS IoT Core Device Advisor, AWS Lambda, AWS Network Manager AWS Autorité de certification privée, Amazon Relational Database Service, Amazon Redshift, Amazon S3 Tables,. AWS Configuration rapide de Systems Manager | 18 juin 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Bedrock. | 27 mai 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Bedrock. | 27 mai 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS B2B Échange de données Amazon Bedrock AWS Clean Rooms, AWS CodeConnections, AWS Direct Connect,, AWS Database Migration Service (AWS DMS), Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI et Contacts AWS Security Hub CSPM, AWS Systems Manager Incident Manager et. AWS Systems Manager Incident Manager AWS Systems Manager | 8 avril 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS B2B Échange de données Amazon Bedrock AWS Clean Rooms, AWS CodeConnections, AWS Direct Connect,, AWS Database Migration Service (AWS DMS), Amazon CloudWatch Logs, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI et Contacts AWS Security Hub CSPM, AWS Systems Manager Incident Manager et. AWS Systems Manager Incident Manager AWS Systems Manager Cette politique autorise également désormais l'accès à tous les noms de domaine Amazon API Gateway en incluant le modèle de ressource « `arn:aws:apigateway:::/domainnames/` ». | 8 avril 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "ec2:GetAllowedImagesSettings" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Elastic Compute Cloud (Amazon EC2). | 4 mars 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "ec2:GetAllowedImagesSettings" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Elastic Compute Cloud (Amazon EC2). | 4 mars 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) et Amazon Simple Email Service (Amazon SES). | 16 janvier 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) et Amazon Simple Email Service (Amazon SES). | 16 janvier 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "organizations:ListAWSServiceAccessForOrganization" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Organizations. | 18 décembre 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS AppConfig AWS CloudTrail, Amazon Connect, Amazon, Amazon DevOps Guru DataZone, Identity Store AWS Glue,,,, AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Interactive Video Service (Amazon IVS), Amazon Logs, Amazon Observability Access AWS Payment Cryptography Manager, CloudWatch Amazon Relational Database Service (Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3)) Simple Service (S3), Amazon Scheduler et Amazon VPC Lattice. CloudWatch EventBridge AWS Systems Manager | 7 novembre 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS AppConfig AWS CloudTrail, Amazon Connect, Amazon, Amazon DevOps Guru DataZone, Identity Store AWS Glue,,,, AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Interactive Video Service (Amazon IVS), Amazon Logs, Amazon Observability Access AWS Payment Cryptography Manager, CloudWatch Amazon Relational Database Service (Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3)) Simple Service (S3), Amazon Scheduler et Amazon VPC Lattice. CloudWatch EventBridge AWS Systems Manager | 7 novembre 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon OpenSearch Service Severless, Amazon AppStream, AWS Backup, AWS CloudTrail, AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon AWS Elemental MediaConnect IVS),, AWS Elemental MediaTailor, AWS HealthOmics et Amazon Scheduler. EventBridge | 16 septembre 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon OpenSearch Service Severless, Amazon AppStream, AWS Backup, AWS CloudTrail, AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon AWS Elemental MediaConnect IVS),, AWS Elemental MediaTailor, AWS HealthOmics et Amazon Scheduler. EventBridge | 16 septembre 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Elastic File System (Amazon EFS), Amazon Redshift et. Gestionnaire de systèmes AWS pour SAP | 17 juin 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Elastic File System (Amazon EFS), Amazon Redshift et. Gestionnaire de systèmes AWS pour SAP | 17 juin 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Service pour Prometheus, CloudWatch Amazon, Amazon Cognito, ElastiCache FSx Amazon, (IAM) Gestion des identités et des accès AWS ,,,, AWS Glue Amazon Serverless AWS Lambda AWS RAM, Amazon AI et Amazon Simple Notification Service ( SageMaker Amazon SNS). | 22 février 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Service pour Prometheus, CloudWatch Amazon, Amazon Cognito, ElastiCache FSx Amazon, (IAM) Gestion des identités et des accès AWS ,,,, AWS Glue Amazon Serverless AWS Lambda AWS RAM, Amazon AI et Amazon Simple Notification Service ( SageMaker Amazon SNS). | 22 février 2024 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess)— AWS Config commence à suivre les modifications apportées à cette politique AWS gérée | Cette politique fournit un accès à l'utilisation AWS Config, y compris la recherche par balises sur les ressources et la lecture de toutes les balises. Cela ne donne pas l'autorisation de configurer AWS Config, ce qui nécessite des privilèges administratifs. | 22 février 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS AppConfig Amazon Managed Service for Prometheus AWS Database Migration Service ,AWS DMS(), () IAM, Amazon Managed Streaming for Apache Kafka Gestion des identités et des accès AWS(Amazon MSK) AWS Organizations, Amazon Logs et CloudWatch Amazon Simple Storage Service (Amazon S3). | 5 décembre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS AppConfig Amazon Managed Service for Prometheus AWS Database Migration Service ,AWS DMS(), () IAM, Amazon Managed Streaming for Apache Kafka Gestion des identités et des accès AWS(Amazon MSK) AWS Organizations, Amazon Logs et CloudWatch Amazon Simple Storage Service (Amazon S3). | 5 décembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Cognito, Amazon Connect, Amazon EMR, AWS Ground Station, AWS Mainframe Modernization Amazon MemoryDB, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 et. AWS Service Catalog AWS Transfer Family | 17 novembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Cette politique ajoute désormais des identificateurs de sécurité (SID) pour `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` et `AWSConfigSLRApiGatewayStatementID`. | 17 novembre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Cognito, Amazon Connect, Amazon EMR, AWS Ground Station, AWS Mainframe Modernization Amazon MemoryDB, Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 et. AWS Service Catalog AWS Transfer Family | 17 novembre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Cette politique ajoute désormais des identificateurs de sécurité (SID) pour `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` et `AWSConfigSLRApiGatewayStatementID`. | 17 novembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Connect AWS CA privée AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon Evidently, CloudWatch Amazon Managed Grafana, Amazon, GuardDuty Amazon AWS IoT AWS IoT TwinMaker Inspector, Amazon Managed Streaming for Apache Kafka (Amazon AWS Lambda MSK AWS Network Manager) AWS Organizations,,, et Amazon AI. SageMaker | 4 octobre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Connect AWS CA privée AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon Evidently, CloudWatch Amazon Managed Grafana, Amazon, GuardDuty Amazon AWS IoT AWS IoT TwinMaker Inspector, Amazon Managed Streaming for Apache Kafka (Amazon AWS Lambda MSK AWS Network Manager) AWS Organizations,,, et Amazon AI. SageMaker | 4 octobre 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Supprimer "ssm:GetParameter" | Cette politique supprime désormais les autorisations pour AWS Systems Manager (Systems Manager). | 6 septembre 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon AWS App Mesh AWS CloudFormation, Amazon Connect CloudFront AWS CodeArtifact AWS CodeBuild, Amazon Gestion des identités et des accès AWS (IAM) AWS Glue, Amazon Inspector GuardDuty,,,, Amazon Managed Streaming pour Apache Kafka AWS IoT AWS IoT TwinMaker AWS IoT Wireless, Amazon Macie,,,,,,,, Amazon Route 53 AWS Elemental MediaConnect AWS Network Manager AWS Organizations Explorateur de ressources AWS, Amazon Simple Storage Service (Amazon S3) et Amazon Simple Notification Service (Amazon SNS) Simple Notification (Amazon SNS). | 28 juillet 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS App Mesh Amazon WorkSpaces Applications, Amazon AWS CloudFormation, Amazon Connect CloudFront AWS CodeArtifact AWS CodeBuild, Amazon Gestion des identités et des accès AWS (IAM) AWS Glue, Amazon Inspector GuardDuty,,,, Amazon Managed Streaming pour Apache Kafka AWS IoT AWS IoT TwinMaker AWS IoT Wireless, Amazon Macie,,,,, Amazon Route 53 AWS Elemental MediaConnect, Amazon Simple Storage Service (Amazon S3) AWS Network Manager AWS Organizations Explorateur de ressources AWS, Amazon Simple Storage Service (Amazon S3), Amazon Simple Notification Service (Amazon (SNS) et Amazon EC2 Systems Manager (SSM). | 28 juillet 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Amplify Amazon Connect AWS App Mesh, Amazon Managed Service for Prometheus, Amazon Athena,,,,,, Amazon AWS Directory Service DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon EC2) CodeGuru, Amazon CloudWatch Evidently, Amazon Forecast,,, (IAM), Amazon Managed Streaming pour Apache Kafka Managed for Apache ( AWS Ground Station Amazon MSK) AWS IoT Greengrass, Gestion des identités et des accès AWS Amazon Lightsail, Amazon Logs, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor), Amazon Personalize, Amazon Quick AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI,. AWS Transfer Family | 13 juin 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Amplify Amazon Connect AWS App Mesh, Amazon Managed Service for Prometheus, Amazon Athena,,,,,, Amazon AWS Directory Service DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon EC2) CodeGuru, Amazon CloudWatch Evidently, Amazon Forecast,,, (IAM), Amazon Managed Streaming pour Apache Kafka Managed for Apache ( AWS Ground Station Gestion des identités et des accès AWS Amazon MSK) AWS IoT Greengrass, Amazon Lightsail, Amazon Logs, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor, Amazon Personalize, Amazon Quick AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI,. AWS Transfer Family | 13 juin 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Workflows pour AWS Amplify AWS App Mesh AWS App Runner, CloudFront, Amazon AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, SageMaker Amazon AWS Transfer Family AI, Amazon AWS Migration Hub Pinpoint AWS , Resilience Hub, Amazon CloudWatch, AWS Directory Service et. AWS WAF | 13 avril 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Workflows pour AWS Amplify AWS App Mesh AWS App Runner, CloudFront, Amazon AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, SageMaker Amazon AWS Transfer Family AI, Amazon AWS Migration Hub Pinpoint AWS , Resilience Hub, Amazon CloudWatch, AWS Directory Service et. AWS WAF | 13 avril 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Workflows pour Amazon AppFlow AWS App Runner, Amazon WorkSpaces Applications, Amazon CloudFront, CloudWatch, AWS CodeArtifact AWS CodeCommit, Amazon CloudWatch Evidently AWS Device Farm, Amazon Forecast AWS Ground Station, Gestion des identités et des accès AWS (IAM), Amazon MemoryDB, AWS IoT Amazon Pinpoint,,, Amazon AWS Network Manager Relational AWS Panorama Database Service (Amazon RDS), Amazon Redshift et Amazon AI. SageMaker | 30 mars 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Cette politique prend désormais en charge des autorisations supplémentaires pour les flux de travail gérés par Amazon pour Amazon, Amazon WorkSpaces Applications, Amazon,,,, Amazon Elastic Compute Cloud (Amazon EC2) AppFlow AWS App Runner, Amazon Evidently, Amazon Forecast AWS CloudFormation, ( AWS IoT IAM) CloudFront, Amazon MemoryDB, Amazon AWS Network Manager Pinpoint CloudWatch AWS Panorama, AWS CodeArtifact, AWS CodeCommit AWS Device Farm, Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service ( CloudWatch Amazon Relational Database Service (Amazon Relational Database Service ( AWS Ground Station Amazon Gestion des identités et des accès AWS Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service (Amazon Relational Database Service DS), Amazon Redshift et Amazon AI. SageMaker | 30 mars 2023 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole)— AWS Config commence à suivre les modifications apportées à cette politique AWS gérée | Cette politique permet aux AWS Lambda fonctions d'accéder à l' AWS Config API et aux instantanés de configuration AWS Config fournis régulièrement à Amazon S3. Cet accès est requis par les fonctions qui évaluent les modifications de configuration pour les AWS règles Lambda personnalisées. | 7 mars 2023 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations)— AWS Config commence à suivre les modifications apportées à cette politique AWS gérée | Cette politique permet d' AWS Config appeler en lecture seule AWS Organizations APIs. | 7 mars 2023 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy)— AWS Config commence à suivre les modifications apportées à cette politique AWS gérée | Cette politique permet AWS Config de corriger les `NON_COMPLIANT` ressources en votre nom. | 7 mars 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de auditmanager:GetAccountStatus | Cette politique autorise désormais le renvoi de l'état d'enregistrement d'un compte dans AWS Audit Manager. | 3 mars 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de auditmanager:GetAccountStatus | Cette politique autorise désormais le renvoi de l'état d'enregistrement d'un compte dans AWS Audit Manager. | 3 mars 2023 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy)— AWS Config commence à suivre les modifications apportées à cette politique AWS gérée | Cette politique permet d' AWS Config appeler AWS des services et de déployer AWS Config des ressources au sein d'une organisation avec AWS Organizations. | 27 février 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Cette politique prend désormais en charge des autorisations supplémentaires pour les flux de travail gérés par Amazon pour Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC), AWS Device Farm Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint Gestion des identités et des accès AWS (IAM), Amazon et Amazon Logs. GuardDuty CloudWatch | 1er février 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Cette politique prend désormais en charge des autorisations supplémentaires pour les flux de travail gérés par Amazon pour Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC), AWS Device Farm Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint Gestion des identités et des accès AWS (IAM), Amazon et Amazon Logs. GuardDuty CloudWatch | 1er février 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – Mise à jour de config:DescribeConfigRules | À titre de bonne pratique de sécurité, cette politique supprime désormais les autorisations étendues au niveau des ressources pour `config:DescribeConfigRules`. | 12 janvier 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Service pour Prometheus AWS Audit Manager,,,AWS DMS() AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud (Amazon EC2 AWS Glue) AWS IoT,, Amazon Lightsail,,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) et Amazon Timestream Timestream. AWS Directory Service | 15 décembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Service pour Prometheus AWS Audit Manager,,,AWS DMS() AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud (Amazon EC2 AWS Glue) AWS IoT,, Amazon Lightsail,,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) et Amazon Timestream Timestream. AWS Directory Service | 15 décembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de cloudformation:ListStackResources and cloudformation:ListStacks | Cette politique autorise désormais à renvoyer des descriptions de toutes les ressources d'une AWS CloudFormation pile spécifiée et à renvoyer les informations récapitulatives pour les piles dont le statut correspond à celui spécifiéStackStatusFilter. | 7 novembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de cloudformation:ListStackResources and cloudformation:ListStacks | Cette politique autorise désormais à renvoyer des descriptions de toutes les ressources d'une AWS CloudFormation pile spécifiée et à renvoyer les informations récapitulatives pour les piles dont le statut correspond à celui spécifiéStackStatusFilter. | 7 novembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Certificate Manager Amazon Managed Workflows pour Apache Airflow AWS Amplify, AWS AppConfig Amazon Keyspaces, Amazon, Amazon Connect, CloudWatch Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Fraud Detector, Amazon, Amazon, EventBridge Amazon Servers AWS Fault Injection Service, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint,,,,, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 Groupes de ressources AWS, Amazon Simple Storage Service (Amazon S3), et. AWS Cloud Map AWS Security Token Service | 19 octobre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Certificate Manager Amazon Managed Workflows pour Apache Airflow AWS Amplify, AWS AppConfig Amazon Keyspaces, Amazon, Amazon Connect, CloudWatch Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Fraud Detector, Amazon, Amazon, EventBridge Amazon Servers AWS Fault Injection Service, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint,,,,, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 Groupes de ressources AWS, Amazon Simple Storage Service (Amazon S3), et. AWS Cloud Map AWS Security Token Service | 19 octobre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de Glue::GetTable | Cette politique accorde désormais l'autorisation de récupérer la définition de AWS Glue table dans un catalogue de données pour une table spécifiée. | 14 septembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de Glue::GetTable | Cette politique accorde désormais l'autorisation de récupérer la définition de AWS Glue table dans un catalogue de données pour une table spécifiée. | 14 septembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon AppFlow, Amazon CloudWatch, Amazon CloudWatch RUM, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR EventBridge, Amazon, Amazon Schemas, Amazon GameLift Fraud Detector Detector, EventBridge Amazon Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service pour Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, et AWS Transfer Family. | 7 septembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon AppFlow, Amazon CloudWatch, Amazon CloudWatch RUM, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR EventBridge, Amazon, Amazon Schemas, Amazon GameLift Fraud Detector Detector, EventBridge Amazon Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service pour Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, et AWS Transfer Family | 7 septembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Cette politique prend désormais en charge des autorisations supplémentaires pour les flux de travail gérés par Amazon pour Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC), AWS Device Farm Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint Gestion des identités et des accès AWS (IAM), Amazon et Amazon Logs. GuardDuty CloudWatch | 1er février 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Cette politique prend désormais en charge des autorisations supplémentaires pour les flux de travail gérés par Amazon pour Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer AWS HealthLake, Amazon Kinesis Video Streams, Amazon Application Recovery Controller (ARC), AWS Device Farm Amazon Elastic Compute Cloud (Amazon EC2), Amazon Pinpoint Gestion des identités et des accès AWS (IAM), Amazon et Amazon Logs. GuardDuty CloudWatch | 1er février 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – Mise à jour de config:DescribeConfigRules | À titre de bonne pratique de sécurité, cette politique supprime désormais les autorisations étendues au niveau des ressources pour `config:DescribeConfigRules`. | 12 janvier 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Service pour Prometheus AWS Audit Manager,,,AWS DMS() AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud (Amazon EC2 AWS Glue) AWS IoT,, Amazon Lightsail,,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) et Amazon Timestream Timestream. AWS Directory Service | 15 décembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Managed Service pour Prometheus AWS Audit Manager,,,AWS DMS() AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud (Amazon EC2 AWS Glue) AWS IoT,, Amazon Lightsail,,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) et Amazon Timestream Timestream. AWS Directory Service | 15 décembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de cloudformation:ListStackResources and cloudformation:ListStacks | Cette politique autorise désormais à renvoyer des descriptions de toutes les ressources d'une AWS CloudFormation pile spécifiée et à renvoyer les informations récapitulatives pour les piles dont le statut correspond à celui spécifiéStackStatusFilter. | 7 novembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de cloudformation:ListStackResources and cloudformation:ListStacks | Cette politique autorise désormais à renvoyer des descriptions de toutes les ressources d'une AWS CloudFormation pile spécifiée et à renvoyer les informations récapitulatives pour les piles dont le statut correspond à celui spécifiéStackStatusFilter. | 7 novembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Certificate Manager Amazon Managed Workflows pour Apache Airflow AWS Amplify, AWS AppConfig Amazon Keyspaces, Amazon, Amazon Connect, CloudWatch Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Fraud Detector, Amazon, Amazon, EventBridge Amazon Servers AWS Fault Injection Service, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint,,,,, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 Groupes de ressources AWS, Amazon Simple Storage Service (Amazon S3), et. AWS Cloud Map AWS Security Token Service | 19 octobre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Certificate Manager Amazon Managed Workflows pour Apache Airflow AWS Amplify, AWS AppConfig Amazon Keyspaces, Amazon, Amazon Connect, CloudWatch Amazon Elastic Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Fraud Detector, Amazon, Amazon, EventBridge Amazon Servers AWS Fault Injection Service, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint,,,,, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition,, Amazon Route 53 Groupes de ressources AWS, Amazon Simple Storage Service (Amazon S3), et. AWS Cloud Map AWS Security Token Service | 19 octobre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de Glue::GetTable | Cette politique accorde désormais l'autorisation de récupérer la définition de AWS Glue table dans un catalogue de données pour une table spécifiée. | 14 septembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de Glue::GetTable | Cette politique accorde désormais l'autorisation de récupérer la définition de AWS Glue table dans un catalogue de données pour une table spécifiée. | 14 septembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon AppFlow, Amazon CloudWatch, Amazon CloudWatch RUM, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR EventBridge, Amazon, Amazon Schemas, Amazon GameLift Fraud Detector Detector, EventBridge Amazon Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service pour Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, et AWS Transfer Family. | 7 septembre 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon AppFlow, Amazon CloudWatch, Amazon CloudWatch RUM, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR EventBridge, Amazon, Amazon Schemas, Amazon GameLift Fraud Detector Detector, EventBridge Amazon Servers Amazon FinSpace, Amazon Interactive Video Service (Amazon IVS), Amazon Managed Service pour Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, et AWS Transfer Family | 7 septembre 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Cette politique autorise désormais à renvoyer une liste d' AWS DataSync agents, d'emplacements DataSync source et de destination et de DataSync tâches dans un Compte AWS ; à répertorier des informations récapitulatives sur les AWS Cloud Map espaces de noms et les services associés à un ou plusieurs espaces de noms spécifiés dans un Compte AWS ; et à répertorier toutes les listes de contacts Amazon Simple Email Service (Amazon SES) disponibles dans. Compte AWS | 22 août 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Cette politique autorise désormais à renvoyer une liste d' AWS DataSync agents, d'emplacements DataSync source et de destination et de DataSync tâches dans un Compte AWS ; à répertorier des informations récapitulatives sur les AWS Cloud Map espaces de noms et les services associés à un ou plusieurs espaces de noms spécifiés dans un Compte AWS ; et à répertorier toutes les listes de contacts Amazon Simple Email Service (Amazon SES) disponibles dans. Compte AWS | 22 août 2022 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) – Ajout de cloudwatch:PutMetricData | Cette politique autorise désormais la publication de points de données métriques sur Amazon CloudWatch. | 25 juillet 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon ElastiCache, Amazon EventBridge FSx, Amazon Managed Service pour Apache Flink, Amazon Location Service, Amazon Managed Streaming pour Apache Kafka, Amazon Quick, Amazon Rekognition, AWS RoboMaker Amazon Simple Storage Service (Amazon S3) AWS Firewall Manager S3), Amazon Simple Email Service (Amazon SES),,,,,,, (IAM Identity Center AWS Amplify) AWS AppConfig AWS Glue AWS IAM Identity Center , EC2 Image Builder et Elastic Load Balancing. AWS AppSync AWS Billing Conductor AWS DataSync | 15 juillet 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Cette politique prend désormais en charge des autorisations supplémentaires pour Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon ElastiCache, Amazon EventBridge FSx, Amazon Managed Service pour Apache Flink, Amazon Location Service, Amazon Managed Streaming pour Apache Kafka, Amazon Quick, Amazon Rekognition, AWS RoboMaker Amazon Simple Storage Service (Amazon S3) AWS Firewall Manager S3), Amazon Simple Email Service (Amazon SES),,,,,,, (IAM Identity Center AWS Amplify) AWS AppConfig AWS Glue AWS IAM Identity Center , EC2 Image Builder et Elastic Load Balancing. AWS AppSync AWS Billing Conductor AWS DataSync | 15 juillet 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Cette politique autorise désormais à obtenir un catalogue de données Amazon Athena spécifié, à répertorier les catalogues de données Athena dans un et à répertorier les balises associées à un Compte AWS groupe de travail ou à une ressource de catalogue de données Athena ; à obtenir une liste de graphes de comportement Amazon Detective et à répertorier les balises pour un graphe de comportement de détective ; à obtenir une liste de métadonnées de ressources pour une liste donnée de noms de points de terminaison de développement, à obtenir des informations sur un point de AWS Glue développement spécifique, à obtenir tous les AWS Glue développements points de terminaison dans un, récupèrent une sécurité spécifiée AWS Glue Compte AWS AWS Glue configuration, obtenir toutes les configurations de AWS Glue sécurité, obtenir une liste des balises associées à une AWS Glue ressource, obtenir des informations sur un AWS Glue groupe de travail portant le nom spécifié, récupérer les noms de toutes les ressources d'un AWS compte, obtenir les noms de toutes les ressources d'un, AWS Glue répertorier les noms de toutes les AWS Glue `DevEndpoint` ressources AWS Glue professionnelles d'un compte Compte AWS, obtenir des détails sur les comptes des AWS Glue membres Compte AWS, répertorier les noms des AWS Glue flux de travail créés dans un compte et répertorier les AWS Glue groupes de travail disponibles pour un compte ; pour récupérer des informations sur un GuardDuty filtre Amazon, récupérer un GuardDuty IPSet, récupérer un GuardDutyThreatIntelSet, récupérer des comptes GuardDuty membres, obtenir une liste de GuardDuty filtres, obtenir le GuardDuty service, récupérer les tags IPSets du service et obtenir le GuardDuty GuardDuty service ; pour obtenir le statut actuel et les paramètres ThreatIntelSets de configuration d'un compte Amazon Macie ; pour récupérer la ressource et les principales associations pour AWS Resource Access Manager (AWS RAM) les partages de ressources et récupérer des informations sur les ressources AWS RAM partages ; pour obtenir des informations sur un ensemble de configuration existant d'Amazon Simple Email Service (Amazon SES), obtenir une liste des destinations d'événements associées à un ensemble de configuration Amazon SES et répertorier tous les ensembles de configuration associés à un compte Amazon SES ; et pour obtenir une liste des attributs du répertoire Identity Center, obtenir les détails d' AWS IAM Identity Center un ensemble d'autorisations, obtenir la politique gérée IAM associée à une identité IAM spécifiée Centrer l'ensemble d'autorisations, obtenir les autorisations définies pour une instance IAM Identity Center et obtenir des balises pour IAM Identity Ressources du centre. | 31 mai 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Cette politique autorise désormais à obtenir un catalogue de données Amazon Athena spécifié, à répertorier les catalogues de données Athena dans un et à répertorier les balises associées à un Compte AWS groupe de travail ou à une ressource de catalogue de données Athena ; à obtenir une liste de graphes de comportement Amazon Detective et à répertorier les balises pour un graphe de comportement de détective ; à obtenir une liste de métadonnées de ressources pour une liste donnée de noms de points de terminaison de développement, à obtenir des informations sur un point de AWS Glue développement spécifique, à obtenir tous les AWS Glue développements points de terminaison dans un, récupèrent une sécurité spécifiée AWS Glue Compte AWS AWS Glue configuration, obtenir toutes les configurations de AWS Glue sécurité, obtenir une liste des balises associées à une AWS Glue ressource, obtenir des informations sur un AWS Glue groupe de travail portant le nom spécifié, récupérer les noms de toutes les ressources d'un AWS compte, obtenir les noms de toutes les ressources d'un, AWS Glue répertorier les noms de toutes les AWS Glue `DevEndpoint` ressources AWS Glue professionnelles d'un compte Compte AWS, obtenir des détails sur les comptes des AWS Glue membres Compte AWS, répertorier les noms des AWS Glue flux de travail créés dans un compte et répertorier les AWS Glue groupes de travail disponibles pour un compte ; pour récupérer des informations sur un GuardDuty filtre Amazon, récupérer un GuardDuty IPSet, récupérer un GuardDutyThreatIntelSet, récupérer des comptes GuardDuty membres, obtenir une liste de GuardDuty filtres, obtenir le GuardDuty service, récupérer les tags IPSets du service et obtenir le GuardDuty GuardDuty service ; pour obtenir le statut actuel et les paramètres ThreatIntelSets de configuration d'un compte Amazon Macie ; pour récupérer la ressource et les principales associations pour AWS Resource Access Manager (AWS RAM) les partages de ressources et récupérer des informations sur les ressources AWS RAM partages ; pour obtenir des informations sur un ensemble de configuration existant d'Amazon Simple Email Service (Amazon SES), obtenir une liste des destinations d'événements associées à un ensemble de configuration Amazon SES et répertorier tous les ensembles de configuration associés à un compte Amazon SES ; et pour obtenir une liste des attributs du répertoire Identity Center, obtenir les détails d' AWS IAM Identity Center un ensemble d'autorisations, obtenir la politique gérée IAM associée à une identité IAM spécifiée Centrer l'ensemble d'autorisations, obtenir les autorisations définies pour une instance IAM Identity Center et obtenir des balises pour IAM Identity Ressources du centre. | 31 mai 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Cette politique permet désormais d'obtenir des informations sur tout ou un magasin de données d' AWS CloudTrail événements (EDS) spécifique, d'obtenir des informations sur toutes les ressources ou sur une AWS CloudFormation ressource spécifiée, d'obtenir la liste d'un groupe de paramètres ou d'un groupe de sous-réseaux de l'accélérateur DynamoDB (DAX), d'obtenir des informations AWS Database Migration Service sur AWS DMS() les tâches de réplication pour votre compte dans la région actuellement consultée et d'obtenir une liste de toutes les politiques d'un type spécifié. AWS Organizations | 7 avril 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Cette politique permet désormais d'obtenir des informations sur tout ou un magasin de données d' AWS CloudTrail événements (EDS) spécifique, d'obtenir des informations sur toutes les ressources ou sur une AWS CloudFormation ressource spécifiée, d'obtenir la liste d'un groupe de paramètres ou d'un groupe de sous-réseaux de l'accélérateur DynamoDB (DAX), d'obtenir des informations AWS Database Migration Service sur AWS DMS() les tâches de réplication pour votre compte dans la région actuellement consultée et d'obtenir une liste de toutes les politiques d'un type spécifié. AWS Organizations | 7 avril 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Backup AWS Batch, DynamoDB Accelerator, AWS Database Migration Service Amazon DynamoDB, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon, Amazon, Amazon Relational Database Service, FSx V2 et GuardDuty Amazon AWS Key Management Service. AWS OpsWorks AWS WAF WorkSpaces | 14 mars 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Cette politique prend désormais en charge des autorisations supplémentaires pour AWS Backup AWS Batch, DynamoDB Accelerator, AWS Database Migration Service Amazon DynamoDB, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon, Amazon, Amazon Relational Database Service, FSx V2 et GuardDuty Amazon AWS Key Management Service. AWS OpsWorks AWS WAF WorkSpaces | 14 mars 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Cette politique autorise désormais à obtenir des informations sur les environnements Elastic Beanstalk et une description des paramètres du jeu de configuration Elastic Beanstalk spécifié, à obtenir une carte des versions d'Elasticsearch, à décrire les groupes d'options Amazon RDS disponibles pour une base OpenSearch de données et à obtenir des informations sur une configuration de déploiement. CodeDeploy Cette politique autorise également désormais à récupérer le contact alternatif spécifié attaché à une Compte AWS, à récupérer des informations sur une AWS Organizations politique, à récupérer une politique de référentiel Amazon ECR, à récupérer des informations sur une AWS Config règle archivée, à récupérer une liste des familles de définitions de tâches Amazon ECS, à répertorier les unités organisationnelles racine ou parent (OUs) de l'unité d'organisation ou du compte enfant spécifié, et à répertorier les politiques associées à la racine, à l'unité organisationnelle ou au compte cible spécifié. | 10 février 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Cette politique autorise désormais à obtenir des informations sur les environnements Elastic Beanstalk et une description des paramètres du jeu de configuration Elastic Beanstalk spécifié, à obtenir une carte des versions d'Elasticsearch, à décrire les groupes d'options Amazon RDS disponibles pour une base OpenSearch de données et à obtenir des informations sur une configuration de déploiement. CodeDeploy Cette politique autorise également désormais à récupérer le contact alternatif spécifié attaché à une Compte AWS, à récupérer des informations sur une AWS Organizations politique, à récupérer une politique de référentiel Amazon ECR, à récupérer des informations sur une AWS Config règle archivée, à récupérer une liste des familles de définitions de tâches Amazon ECS, à répertorier les unités organisationnelles racine ou parent (OUs) de l'unité d'organisation ou du compte enfant spécifié, et à répertorier les politiques associées à la racine, à l'unité organisationnelle ou au compte cible spécifié. | 10 février 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Cette politique accorde désormais l'autorisation de créer des groupes de CloudWatch journaux et des flux Amazon et d'écrire des journaux dans les flux de journaux créés. | 15 décembre 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Cette politique accorde désormais l'autorisation de créer des groupes de CloudWatch journaux et des flux Amazon et d'écrire des journaux dans les flux de journaux créés. | 15 décembre 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Ajout de es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Cette politique autorise désormais à obtenir des informations sur un OpenSearch service Amazon (OpenSearch Service) domain/domains et à obtenir une liste de paramètres détaillée pour un groupe de paramètres de base de données Amazon Relational Database Service (Amazon RDS) particulier. Cette politique accorde également l'autorisation d'obtenir des informations sur les ElastiCache instantanés Amazon. | 8 septembre 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole) – Ajout de es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Cette politique autorise désormais à obtenir des informations sur un OpenSearch service Amazon (OpenSearch Service) domain/domains et à obtenir une liste de paramètres détaillée pour un groupe de paramètres de base de données Amazon Relational Database Service (Amazon RDS) particulier. Cette politique accorde également l'autorisation d'obtenir des informations sur les ElastiCache instantanés Amazon. | 8 septembre 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Ajout logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine et autorisations supplémentaires pour les types de AWS ressources | Cette politique accorde désormais des autorisations pour répertorier les balises d'un groupe de journaux, répertorier les balises d'une machine d'état et répertorier toutes les machines d'état. Cette politique accorde désormais des autorisations pour obtenir des détails sur une machine d'état. Cette politique prend également désormais en charge des autorisations supplémentaires pour Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon FSx, Amazon Data Firehose, Amazon Managed Streaming pour Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon AI, Amazon Simple Notification Service, SageMaker et. AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28 juillet 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Ajoutez l et ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine des autorisations supplémentaires pour les types de AWS ressources | Cette politique accorde désormais des autorisations pour répertorier les balises d'un groupe de journaux, répertorier les balises d'une machine d'état et répertorier toutes les machines d'état. Cette politique accorde désormais des autorisations pour obtenir des détails sur une machine d'état. Cette politique prend également désormais en charge des autorisations supplémentaires pour Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon FSx, Amazon Data Firehose, Amazon Managed Streaming pour Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon AI, Amazon Simple Notification Service, SageMaker et. AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28 juillet 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Ajout ssm:DescribeDocumentPermission d'autorisations supplémentaires pour les types de AWS ressources | Cette politique accorde désormais des autorisations pour afficher les autorisations relatives aux documents AWS Systems Manager et aux informations concernant l'analyseur d'accès IAM. Cette politique prend désormais en charge AWS des types de ressources supplémentaires pour Amazon Kinesis, Amazon, ElastiCache Amazon EMR, AWS Network Firewall Amazon Route 53 et Amazon Relational Database Service (Amazon RDS). Ces modifications d'autorisation permettent AWS Config d'invoquer le mode lecture seule APIs requis pour prendre en charge ces types de ressources. Cette politique prend également désormais en charge le filtrage des fonctions Lambda @Edge pour la règle [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config gérée. | 8 juin 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Ajout ssm:DescribeDocumentPermission d'autorisations supplémentaires pour les types de AWS ressources | Cette politique accorde désormais des autorisations pour afficher les autorisations relatives aux documents AWS Systems Manager et aux informations concernant l'analyseur d'accès IAM. Cette politique prend désormais en charge AWS des types de ressources supplémentaires pour Amazon Kinesis, Amazon, ElastiCache Amazon EMR, AWS Network Firewall Amazon Route 53 et Amazon Relational Database Service (Amazon RDS). Ces modifications d'autorisation permettent AWS Config d'invoquer le mode lecture seule APIs requis pour prendre en charge ces types de ressources. Cette politique prend également désormais en charge le filtrage des fonctions Lambda @Edge pour la règle [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config gérée. | 8 juin 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Ajoutez apigateway:GET l'autorisation d'effectuer des appels GET en lecture seule à API Gateway et l's3:GetAccessPointPolicyautorisation et s3:GetAccessPointPolicyStatus l'autorisation d'invoquer Amazon S3 en lecture seule APIs | Cette politique accorde désormais des autorisations qui permettent d' AWS Config effectuer des appels GET en lecture seule à API Gateway afin de prendre en charge une AWS Config règle pour API Gateway. La politique ajoute également des autorisations AWS Config permettant d'invoquer Amazon Simple Storage Service (Amazon S3) en APIs lecture seule, qui sont nécessaires pour prendre en charge le nouveau type de ressource. `AWS::S3::AccessPoint` | 10 mai 2021 |
| [AWS\$1COnFigRole —](#security-iam-awsmanpol-AWS_ConfigRole) Ajoutez apigateway:GET l'autorisation d'effectuer des appels GET en lecture seule à API Gateway et l's3:GetAccessPointPolicyautorisation et l'autorisation d's3:GetAccessPointPolicyStatusinvoquer Amazon S3 en lecture seule APIs | Cette politique accorde désormais des autorisations qui permettent d' AWS Config effectuer des appels GET en lecture seule à API Gateway afin de prendre en charge une passerelle AWS Config pour API. La politique ajoute également des autorisations AWS Config permettant d'invoquer Amazon Simple Storage Service (Amazon S3) en APIs lecture seule, qui sont nécessaires pour prendre en charge le nouveau type de ressource. `AWS::S3::AccessPoint` | 10 mai 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Ajoutez des ssm:ListDocuments autorisations et des autorisations supplémentaires pour les types de AWS ressources | Cette politique accorde désormais des autorisations pour afficher des informations sur des documents AWS Systems Manager spécifiés. Cette politique prend également désormais en charge AWS des types de ressources supplémentaires pour AWS Backup Amazon Elastic File System ElastiCache, Amazon, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis, Amazon AI et Amazon AWS Database Migration Service Route SageMaker 53. Ces modifications d'autorisation permettent AWS Config d'invoquer le mode lecture seule APIs requis pour prendre en charge ces types de ressources. | 1 avril 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Ajoutez des ssm:ListDocuments autorisations et des autorisations supplémentaires pour les types de AWS ressources | Cette politique accorde désormais des autorisations pour afficher des informations sur des documents AWS Systems Manager spécifiés. Cette politique prend également désormais en charge AWS des types de ressources supplémentaires pour AWS Backup Amazon Elastic File System ElastiCache, Amazon, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis, Amazon AI et Amazon AWS Database Migration Service Route SageMaker 53. Ces modifications d'autorisation permettent AWS Config d'invoquer le mode lecture seule APIs requis pour prendre en charge ces types de ressources. | 1 avril 2021 |
| `AWSConfigRole` est obsolète | `AWSConfigRole` est obsolète `AWS_ConfigRole` est la politique de remplacement. | 1 avril 2021 |
| AWS Config a commencé à suivre les modifications | AWS Config a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1 avril 2021 |
# Autorisations pour le rôle IAM attribué à AWS Config
Un rôle IAM vous permet de définir un ensemble d'autorisations. AWS Config assume le rôle que vous lui attribuez pour écrire dans votre compartiment S3, publier sur votre rubrique SNS et envoyer des demandes `Describe` d'`List`API pour obtenir les détails de configuration de vos AWS ressources. Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) dans le *Guide de l’utilisateur IAM*.
Lorsque vous utilisez la AWS Config console pour créer ou mettre à jour un rôle IAM, les autorisations requises vous sont AWS Config automatiquement associées. Pour de plus amples informations, veuillez consulter [Configuration à l' AWS Config aide de la console](gs-console.md).
**Politiques et résultats en matière de conformité**
Les [politiques IAM et les](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) [autres politiques gérées dans AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.
**Contents**
+ [Création de politiques de rôle IAM](#iam-role-policies)
+ [Ajout d'une politique d'approbation IAM à votre rôle](#iam-trust-policy)
+ [Politique de rôle IAM pour le compartiment S3](#iam-role-policies-S3-bucket)
+ [Politique de rôle IAM pour la clé KMS](#iam-role-policies-S3-kms-key)
+ [Politique de rôle IAM pour la rubrique Amazon SNS](#iam-role-policies-sns-topic)
+ [Politique de rôle IAM pour obtenir des détails de configuration](#iam-role-policies-describe-apis)
+ [Gestion des autorisations pour l'enregistrement du compartiment S3](#troubleshooting-recording-s3-bucket-policy)
## Création de politiques de rôle IAM
Lorsque vous utilisez la AWS Config console pour créer un rôle IAM, les autorisations requises sont AWS Config automatiquement associées au rôle pour vous.
Si vous utilisez le AWS CLI pour configurer AWS Config ou si vous mettez à jour un rôle IAM existant, vous devez mettre à jour manuellement la politique pour autoriser l'accès AWS Config à votre compartiment S3, publier sur votre rubrique SNS et obtenir les détails de configuration de vos ressources.
### Ajout d'une politique d'approbation IAM à votre rôle
Vous pouvez créer une politique de confiance IAM qui permet d' AWS Config assumer un rôle et de l'utiliser pour suivre vos ressources. Pour plus d'informations sur les politiques d'approbation IAM, consultez [Termes et concepts relatifs aux rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) dans le *Guide de l'utilisateur IAM*.
Voici un exemple de politique de confiance pour les AWS Config rôles :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Vous pouvez utiliser la condition `AWS:SourceAccount` de la relation d'approbation du rôle IAM susmentionnée pour limiter le principal du service Config, en lui permettant uniquement d'interagir avec le rôle AWS IAM lorsqu'il effectue des opérations au nom de comptes spécifiques.
AWS Config prend également en charge la `AWS:SourceArn` condition qui empêche le principal du service Config d'assumer le rôle IAM uniquement lorsqu'il effectue des opérations pour le compte propriétaire. Lorsque vous utilisez le principal de AWS Config service, la `AWS:SourceArn` propriété sera toujours définie comme `sourceRegion` étant la région de l'enregistreur de configuration géré par le client et `sourceAccountID` l'ID du compte contenant l'enregistreur de configuration géré par le client. `arn:aws:config:sourceRegion:sourceAccountID:*`
Par exemple, ajoutez la condition suivante pour empêcher le principal du service Config d'assumer le rôle IAM uniquement pour le compte d'un enregistreur de configuration géré par le client dans la `us-east-1` région du compte `123456789012` : `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
### Politique de rôle IAM pour le compartiment S3
L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre compartiment S3 :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Politique de rôle IAM pour la clé KMS
L'exemple de politique suivant AWS Config autorise l'utilisation du chiffrement basé sur KMS sur de nouveaux objets pour la livraison du compartiment S3 :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Politique de rôle IAM pour la rubrique Amazon SNS
L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre rubrique SNS :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Si votre rubrique SNS est chiffrée, consultez [Configuration des autorisations AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) dans le *Guide du développeur Amazon Simple Notification Service* pour obtenir des instructions de configuration supplémentaires.
### Politique de rôle IAM pour obtenir des détails de configuration
Il est recommandé d'utiliser le rôle AWS Config lié au service :. `AWSServiceRoleForConfig` Les rôles liés aux services sont prédéfinis et incluent toutes les autorisations nécessaires pour appeler AWS Config d'autres personnes. Services AWS Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service. Pour de plus amples informations, veuillez consulter [Utilisation des rôles liés à un service pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Si vous créez ou mettez à jour un rôle avec la console, AWS Config attachez-le **AWSServiceRoleForConfig**pour vous.
Si vous utilisez le AWS CLI, utilisez la `attach-role-policy` commande et spécifiez le nom de ressource Amazon (ARN) pour **AWSServiceRoleForConfig**:
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Gestion des autorisations pour l'enregistrement du compartiment S3
AWS Config enregistre et envoie des notifications lorsqu'un compartiment S3 est créé, mis à jour ou supprimé.
Il est recommandé d'utiliser le rôle AWS Config lié au service :. `AWSServiceRoleForConfig` Les rôles liés aux services sont prédéfinis et incluent toutes les autorisations nécessaires pour appeler AWS Config d'autres personnes. Services AWS Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service. Pour de plus amples informations, veuillez consulter [Utilisation des rôles liés à un service pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
# Mise à jour du rôle IAM pour l'enregistreur de configuration géré par le client
Vous pouvez mettre à jour le rôle IAM utilisé par l'enregistreur de configuration géré par le client. Avant de mettre à jour le rôle IAM vérifiez que vous avez créé un nouveau rôle pour remplacer l'ancien. Vous devez associer au nouveau rôle des politiques autorisant l'enregistrement des AWS Config configurations et leur transmission à votre canal de diffusion.
Pour en savoir plus sur la création d'un rôle IAM et l'association des politiques requises pour le rôle IAM, consultez [Étape 3 : Création d'un rôle IAM](gs-cli-prereq.md#gs-cli-create-iamrole).
**Note**
Pour trouver l'ARN d'un rôle IAM existant, accédez à la console IAM à l'adresse. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) Choisissez **Rôles** dans le panneau de navigation. Choisissez ensuite le nom du rôle souhaité et trouvez l'ARN en haut de la page **Récapitulatif**.
## Mise à jour du rôle IAM
Vous pouvez mettre à jour votre rôle IAM à l'aide du AWS Management Console ou du AWS CLI.
------
#### [ To update the IAM role (Console) ]
1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/config/maison](https://console.aws.amazon.com/config/home).
1. Choisissez **Settings** (Paramètres) dans le volet de navigation.
1. Dans l'onglet **Enregistreur géré par le client**, choisissez **Modifier** sur la page Paramètres.
1. Dans la section **Gouvernance des données**, choisissez le rôle IAM pour AWS Config :
+ **Utiliser un rôle AWS Config lié à un service existant** : AWS Config crée un rôle doté des autorisations requises.
+ **Choisissez un rôle dans votre compte** : pour les **rôles existants**, choisissez un rôle IAM dans votre compte.
1. Choisissez **Enregistrer**.
------
#### [ To update the IAM role (AWS CLI) ]
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) et spécifiez l'Amazon Resource Name (ARN) du nouveau rôle :
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# Autorisations pour le compartiment Amazon S3 pour le canal AWS Config de diffusion
**Important**
Cette page explique comment configurer le compartiment Amazon S3 pour le canal AWS Config de diffusion. Cette page ne traite pas du type de `AWS::S3::Bucket` ressource que l'enregistreur AWS Config de configuration peut enregistrer.
Les compartiments et objets Amazon S3 sont privés par défaut. Seul celui Compte AWS qui a créé le compartiment (le propriétaire de la ressource) dispose d'autorisations d'accès. Les propriétaires des ressources peuvent accorder l'accès à d'autres ressources et utilisateurs en créant des politiques d'accès.
Lorsque vous créez AWS Config automatiquement un compartiment S3, il ajoute les autorisations requises. Toutefois, si vous spécifiez un compartiment S3 existant, vous devez ajouter ces autorisations manuellement.
**Topics**
+ [Lors de l'utilisation de rôles IAM](#required-permissions-in-another-account)
+ [Lors de l'utilisation de rôles liés à un service](#required-permissions-using-servicelinkedrole)
+ [Octroi AWS Config d'accès](#granting-access-in-another-account)
+ [Diffusion entre comptes](#required-permissions-cross-account)
## Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de rôles IAM
AWS Config utilise le rôle IAM que vous avez attribué à l'enregistreur de configuration pour fournir l'historique de configuration et des instantanés aux compartiments S3 de votre compte. Pour la livraison entre comptes, essayez AWS Config d'abord d'utiliser le rôle IAM attribué. Si la politique de compartiment n'accorde pas l'`WRITE`accès au rôle IAM, AWS Config utilise le principal de `config.amazonaws.com` service. La politique relative aux compartiments doit autoriser l'`WRITE`accès `config.amazonaws.com` pour terminer la livraison. Une fois la livraison réussie, AWS Config conserve la propriété de tous les objets qu'il fournit au compartiment S3 multi-comptes.
AWS Config appelle l'[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API Amazon S3 avec le rôle IAM que vous avez attribué à l'enregistreur de configuration pour confirmer l'existence du compartiment S3 et son emplacement. Si vous ne disposez pas des autorisations nécessaires AWS Config pour confirmer, vous verrez une `AccessDenied` erreur dans vos AWS CloudTrail journaux. Cependant, il AWS Config peut toujours fournir un historique de configuration et des instantanés même s'il AWS Config ne dispose pas des autorisations nécessaires pour confirmer l'existence du compartiment S3 et son emplacement.
**Autorisations minimales**
L'`HeadBucket`API Amazon S3 nécessite cette `s3:ListBucket` action.
## Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de rôles liés à un service
Le rôle AWS Config lié à un service n'est pas autorisé à placer des objets dans des compartiments Amazon S3. Si vous configurez à AWS Config l'aide d'un rôle lié à un service, vous AWS Config utiliserez le principal de `config.amazonaws.com` service pour fournir un historique de configuration et des instantanés. La politique du compartiment S3 applicable à votre compte ou aux destinations entre comptes doit inclure des autorisations permettant au principal du AWS Config service d'écrire des objets.
## Octroi de l' AWS Config accès au compartiment Amazon S3
Effectuez les étapes suivantes AWS Config pour fournir l'historique de configuration et les instantanés à un compartiment Amazon S3.
1. Connectez-vous à l' AWS Management Console aide du compte qui possède le compartiment S3.
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Sélectionnez le compartiment que vous souhaitez utiliser AWS Config pour fournir les éléments de configuration, puis choisissez **Propriétés**.
1. Choisissez **Autorisations**.
1. Choisissez **Modifier la stratégie de compartiment**.
1. Copiez la stratégie suivante dans la fenêtre **Éditeur de stratégie de compartiment** :
**Bonnes pratiques de sécurité**
Nous vous recommandons vivement de restreindre l'accès dans le cadre de la politique relative aux compartiments assortie de `AWS:SourceAccount` cette condition. Cela garantit que l'accès AWS Config est accordé au nom des utilisateurs attendus uniquement.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. Remplacez les valeurs suivantes dans la stratégie de compartiment :
+ *amzn-s3-demo-bucket*— Nom du compartiment Amazon S3 dans lequel AWS Config seront fournis l'historique de configuration et les instantanés.
+ *[optional] prefix*— Un ajout facultatif à la clé d'objet Amazon S3 qui permet de créer une organisation semblable à un dossier dans le compartiment.
+ *sourceAccountID*— ID du compte qui AWS Config fournira l'historique de configuration et les instantanés.
1. Choisissez **Enregistrer**, puis **Fermer**.
La `AWS:SourceAccount` condition limite les AWS Config opérations aux valeurs spécifiées Comptes AWS. Pour les configurations multi-comptes au sein d'une organisation fournissant des données vers un seul compartiment S3, utilisez des rôles IAM avec des clés de AWS Organizations conditions plutôt que des rôles liés à un service. Par exemple, `AWS:PrincipalOrgID`. Pour plus d'informations, consultez [la section Gestion des autorisations d'accès pour une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) dans le *guide de AWS Organizations l'utilisateur*.
La `AWS:SourceArn` condition limite les AWS Config opérations aux canaux de distribution spécifiés. Le `AWS:SourceArn` format est le suivant :`arn:aws:config:sourceRegion:123456789012`.
Par exemple, pour restreindre l'accès au compartiment S3 à un canal de distribution dans la région USA Est (Virginie du Nord) pour le compte 123456789012, ajoutez la condition suivante :
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## Autorisations requises pour le compartiment Amazon S3 lors de la livraison entre comptes
Lorsqu'il AWS Config est configuré pour fournir l'historique de configuration et les instantanés à un compartiment Amazon S3 dans un compte différent (configuration entre comptes), lorsque l'enregistreur de configuration et le compartiment S3 spécifiés pour le canal de diffusion sont différents Comptes AWS, les autorisations suivantes sont requises :
+ Le rôle IAM que vous attribuez à l'enregistreur de configuration nécessite une autorisation explicite pour effectuer l'`s3:ListBucket`opération. Cela est dû au fait qu'il AWS Config appelle l'[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API Amazon S3 avec ce rôle IAM pour déterminer l'emplacement du compartiment.
+ La politique du compartiment S3 doit inclure des autorisations pour le rôle IAM attribué à l'enregistreur de configuration.
Voici un exemple de configuration de politique de compartiment :
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# Autorisations relatives à la clé KMS pour le canal AWS Config de distribution
Utilisez les informations de cette rubrique si vous souhaitez créer une politique pour une AWS KMS clé pour votre compartiment S3 qui vous permette d'utiliser le chiffrement basé sur le KMS sur les objets fournis par AWS Config pour la livraison du compartiment S3.
**Contents**
+ [Autorisations requises pour la clé KMS lors de l'utilisation de rôles IAM (diffusion de compartiment S3)](#required-permissions-s3-kms-key-using-iam-role)
+ [Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3)](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [Octroi de l' AWS Config accès à la AWS KMS clé](#granting-access-s3-kms-key)
## Autorisations requises pour la clé KMS lors de l'utilisation de rôles IAM (diffusion de compartiment S3)
Si vous configurez à AWS Config l'aide d'un rôle IAM, vous pouvez associer la politique d'autorisation suivante à la clé KMS :
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**Note**
Si le rôle IAM, la politique du compartiment Amazon S3 ou la AWS KMS clé ne fournissent pas un accès approprié AWS Config, AWS Config la tentative d'envoi des informations de configuration au compartiment Amazon S3 échouera. Dans ce cas, AWS Config envoie à nouveau les informations, cette fois en tant que principal du AWS Config service. Dans ce cas, vous devez joindre une politique d'autorisation, mentionnée ci-dessous, à la AWS KMS clé pour AWS Config autoriser l'utilisation de la clé lors de la transmission d'informations au compartiment Amazon S3.
## Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3)
Le rôle AWS Config lié au service n'est pas autorisé à accéder à la AWS KMS clé. Ainsi, si vous configurez AWS Config en utilisant un rôle lié à un service, il AWS Config enverra des informations en tant que principal de AWS Config service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la AWS KMS clé pour autoriser AWS Config l'utilisation de la AWS KMS clé lors de la transmission d'informations au compartiment Amazon S3.
## Octroi de l' AWS Config accès à la AWS KMS clé
Cette politique permet d' AWS Config utiliser une AWS KMS clé lors de la transmission d'informations à un compartiment Amazon S3
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
Remplacez les valeurs suivantes dans la stratégie de clé :
+ *myKMSKeyARN*— L'ARN de la AWS KMS clé utilisée pour chiffrer les données dans le compartiment Amazon S3 auquel les éléments de configuration AWS Config seront fournis.
+ *sourceAccountID*— L'ID du compte pour lequel les éléments de configuration AWS Config seront envoyés à.
Vous pouvez utiliser la `AWS:SourceAccount` condition de la politique de AWS KMS clé ci-dessus pour empêcher le principal du service Config d'interagir uniquement avec la AWS KMS clé lorsqu'il effectue des opérations pour le compte de comptes spécifiques.
AWS Config prend également en charge la `AWS:SourceArn` condition qui interdit au principal du service Config d'interagir uniquement avec le compartiment Amazon S3 lorsqu'il effectue des opérations pour le compte de canaux de AWS Config distribution spécifiques. Lorsque vous utilisez le principal de AWS Config service, la `AWS:SourceArn` propriété sera toujours définie comme `sourceRegion` étant la région du canal de livraison et `sourceAccountID` l'identifiant du compte contenant le canal de livraison. `arn:aws:config:sourceRegion:sourceAccountID:*` Pour plus d'informations sur les canaux AWS Config de diffusion, consultez la section [Gestion du canal de diffusion](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Ajoutez par exemple la condition suivante pour limiter le principal du service Config en lui permettant d'interagir avec votre compartiment Amazon S3 uniquement pour le compte d'un canal de livraison dans la région `us-east-1` du compte `123456789012` :`"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
# Autorisations relatives à la rubrique Amazon SNS
**Amazon SNS crypté n'est pas pris en charge**
AWS Config ne prend pas en charge les rubriques Amazon SNS chiffrées.
Cette rubrique décrit comment configurer pour AWS Config diffuser des rubriques Amazon SNS détenues par un autre compte. AWS Config doit disposer des autorisations requises pour envoyer des notifications à une rubrique Amazon SNS.
Lorsque la AWS Config console crée une nouvelle rubrique Amazon SNS pour vous, elle AWS Config accorde les autorisations nécessaires. Si vous choisissez une rubrique Amazon SNS existante, assurez-vous que cette rubrique inclut les autorisations requises et respecte les meilleures pratiques en matière de sécurité.
**Les rubriques Amazon SNS interrégionales ne sont pas prises en charge**
AWS Config ne prend actuellement en charge que l'accès au sein d'un même compte Région AWS et entre plusieurs comptes.
**Contents**
+ [Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles IAM](#required-permissions-snstopic-in-another-account)
+ [Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles liés à un service](#required-permissions-snstopic-using-servicelinkedrole)
+ [Octroi de l' AWS Config accès à la rubrique Amazon SNS](#granting-access-snstopic)
+ [Résolution des problèmes liés à la rubrique Amazon SNS](#troubleshooting-for-snstopic-using-servicelinkedrole)
## Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles IAM
Vous pouvez attacher une politique d'autorisation à la rubrique Amazon SNS appartenant à un autre compte. Si vous voulez utiliser une rubrique Amazon SNS d'un autre compte, veillez à attacher la politique suivante à une rubrique Amazon SNS existante.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
La `Resource` clé *account-id* est le numéro de AWS compte du propriétaire du sujet. Pour*account-id1*, et *account-id2**account-id3*, utilisez le Comptes AWS qui enverra des données à une rubrique Amazon SNS. Vous pouvez remplacer les valeurs appropriées par *region* et*myTopic*.
Lorsque AWS Config vous envoyez une notification à un sujet Amazon SNS, il tente d'abord d'utiliser le rôle IAM, mais cette tentative échoue si le rôle n'est Compte AWS pas autorisé à publier sur le sujet. Dans ce cas, AWS Config envoie à nouveau la notification, cette fois sous la forme d'un nom principal de AWS Config service (SPN). Pour que la publication réussisse, la stratégie d’accès pour la rubrique doit autoriser l'accès `sns:Publish` au nom du principal `config.amazonaws.com`. Vous devez attacher une stratégie d’accès, décrite dans la section suivante, à la rubrique Amazon SNS pour accorder à AWS Config un accès à la rubrique Amazon SNS si le rôle IAM n'est pas autorisé à publier sur la rubrique.
## Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles liés à un service
Le rôle AWS Config lié au service n'est pas autorisé à accéder à la rubrique Amazon SNS. Ainsi, si vous configurez AWS Config en utilisant un rôle lié à un service (SLR), il AWS Config enverra des informations en tant que principal de AWS Config service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la rubrique Amazon SNS pour autoriser l' AWS Config accès à l'envoi d'informations à la rubrique Amazon SNS.
Pour la configuration du même compte, lorsque la rubrique Amazon SNS et le SLR appartiennent au même compte et que la politique Amazon SNS accorde au SLR l'autorisation « `sns:Publish` », vous n'avez pas besoin d'utiliser le SPN AWS Config . La politique d'autorisation ci-dessous et les recommandations relatives aux bonnes pratiques de sécurité concernent la configuration entre comptes.
## Octroi de l' AWS Config accès à la rubrique Amazon SNS
Cette politique permet AWS Config d'envoyer une notification à une rubrique Amazon SNS. Pour autoriser l' AWS Config accès à la rubrique Amazon SNS depuis un autre compte, vous devez joindre la politique d'autorisation suivante.
**Note**
En tant que bonne pratique en matière de sécurité, il est fortement recommandé de s'assurer que l'accès aux ressources AWS Config est réservé aux utilisateurs attendus en limitant l'accès aux comptes répertoriés dans les `AWS:SourceAccount` conditions requises.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
La `Resource` clé *account-id* est le numéro de AWS compte du propriétaire du sujet. Pour*account-id1*, et *account-id2**account-id3*, utilisez le Comptes AWS qui enverra des données à une rubrique Amazon SNS. Vous pouvez remplacer les valeurs appropriées par *region* et*myTopic*.
Vous pouvez utiliser la `AWS:SourceAccount` condition figurant dans la précédente politique relative aux rubriques Amazon SNS pour empêcher le nom principal du AWS Config service (SPN) d'interagir uniquement avec le sujet Amazon SNS lorsque vous effectuez des opérations pour le compte de comptes spécifiques.
AWS Config prend également en charge la `AWS:SourceArn` condition qui restreint le nom principal du AWS Config service (SPN) à interagir uniquement avec le compartiment S3 lors de l'exécution d'opérations pour le compte de canaux de AWS Config distribution spécifiques. Lorsque vous utilisez le nom principal du AWS Config service (SPN), la `AWS:SourceArn` propriété sera toujours définie comme `sourceRegion` étant la région du canal de distribution et `sourceAccountID` l'ID du compte contenant le canal de distribution. `arn:aws:config:sourceRegion:sourceAccountID:*` Pour plus d'informations sur les canaux AWS Config de diffusion, consultez la section [Gestion du canal de diffusion](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Par exemple, ajoutez la condition suivante pour empêcher le nom principal du AWS Config service (SPN) d'interagir avec votre compartiment S3 uniquement pour le compte d'un canal de diffusion de la `us-east-1` région dans le compte `123456789012` : `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
## Résolution des problèmes liés à la rubrique Amazon SNS
AWS Config doit être autorisé à envoyer des notifications à une rubrique Amazon SNS. Si une rubrique Amazon SNS ne peut pas recevoir de notifications, vérifiez que le rôle IAM qu' AWS Config elle assumait dispose des autorisations requises. `sns:Publish`
# Résolution des problèmes AWS Config d'identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS Config IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS Config](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes AWS Config ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans AWS Config
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L'exemple d'erreur suivant se produit quand l'utilisateur IAM `mateojackson` tente d'utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `config:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
Dans ce cas, la stratégie de Mateo doit être mise à jour pour l'autoriser à accéder à la ressource `my-example-widget` à l'aide de l'action `config:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à AWS Config.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans AWS Config. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes AWS Config ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises AWS Config en charge, consultez[Comment AWS Config fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour AWS Config
AWS Config utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Config Les rôles liés au service sont prédéfinis par AWS Config et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Config car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Config définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Config peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services où **Oui **figure dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour AWS Config
AWS Config utilise le rôle lié au service nommé **AwsServiceRoleForConfig**: AWS Config utilise ce rôle lié au service pour appeler d'autres AWS services en votre nom. Pour consulter les dernières mises à jour, voir[AWS Config mises à jour des politiques AWS gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Le rôle lié à un service **AwsServiceRoleForConfig** fait confiance au service `config.amazonaws.com` pour endosser le rôle.
La politique d'autorisations pour le `AwsServiceRoleForConfig` rôle contient des autorisations en lecture seule et en écriture seule pour les ressources et des autorisations en lecture seule pour les AWS Config ressources des autres services pris en charge. AWS Config Pour consulter la stratégie gérée pour **AwsServiceRoleForConfig**, consultez la section [stratégies AWS gérées pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
Pour utiliser un rôle lié à un service avec AWS Config, vous devez configurer les autorisations sur votre compartiment Amazon S3 et sur la rubrique Amazon SNS. Pour plus d’informations, consultez [Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de rôles liés à un serviceAutorisations requises pour le compartiment Amazon S3 lors de la livraison entre comptes](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole) et [Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles liés à un service](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole).
## Création d'un rôle lié à un service pour AWS Config
Dans l’interface de ligne de commande (CLI) IAM ou l’API IAM, créez un rôle lié à un service avec le nom de service `config.amazonaws.com`. Pour plus d'informations, consultez [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification d'un rôle lié à un service pour AWS Config
AWS Config ne vous permet pas de modifier le rôle **AwsServiceRoleForConfig**lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour AWS Config
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le AWS Config service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer AWS Config les ressources utilisées par **AwsServiceRoleForConfig****
Assurez-vous que `ConfigurationRecorders` n'utilise pas ce rôle lié à un service. Vous pouvez utiliser la AWS Config console pour arrêter l'enregistreur de configuration. Pour arrêter l'enregistrement, sous **L'enregistrement est activé**, choisissez **Désactiver**.
Vous pouvez supprimer l' AWS Config API `ConfigurationRecorder` d'utilisation. Pour procéder à la suppression, utilisez la commande `delete-configuration-recorder`.
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, l’interface de ligne de commande IAM ou l’API IAM pour supprimer le rôle lié à un service AwsServiceRoleForConfig. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Réponse aux incidents dans AWS Config
Chez AWS, la sécurité est la priorité numéro 1. Dans le cadre du [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model) du AWS cloud, AWS gère un centre de données, un réseau et une architecture logicielle qui répondent aux exigences des organisations les plus sensibles en matière de sécurité. AWS est responsable de toute réponse aux incidents concernant le AWS Config service lui-même. De plus, en tant que AWS client, vous partagez la responsabilité du maintien de la sécurité dans le cloud. Cela signifie que vous contrôlez la sécurité que vous choisissez de mettre en œuvre à partir des AWS outils et fonctionnalités auxquels vous avez accès, et que vous êtes responsable de la réponse aux incidents de votre côté dans le cadre du modèle de responsabilité partagée.
En établissant une base de sécurité répondant aux objectifs de vos applications exécutées dans le cloud, vous êtes en mesure de détecter les écarts auxquels vous pouvez réagir. La réponse aux incidents de sécurité étant un sujet complexe, nous vous encourageons à consulter les ressources suivantes afin de mieux comprendre l'impact de la réponse aux incidents (IR) et de vos choix sur les objectifs de votre entreprise : [guide de réponse aux incidents de AWS sécurité](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), livre blanc sur les [meilleures pratiques de AWS sécurité](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) et livre blanc sur la [perspective de sécurité du cadre d'adoption du AWS cloud](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf) (CAF).
# Validation de conformité pour AWS Config
Des auditeurs tiers évaluent la sécurité et AWS Config la conformité de plusieurs programmes de AWS conformité. Il s’agit notamment des certifications SOC, PCI, FedRAMP, HIPAA et d’autres.
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans AWS Config
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS Config
En tant que service géré, AWS Config il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder AWS Config via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
## Configuration et analyse des vulnérabilités
Pour AWS Config, AWS gère les tâches de sécurité de base telles que l'application de correctifs au système d'exploitation client (OS) et aux bases de données, la configuration du pare-feu et la reprise après sinistre.
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS Config accordent un autre service à la ressource. Utilisez `aws:SourceArn` si vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
Si la valeur `aws:SourceArn` ne contient pas l’ID du compte, tel qu’un ARN de compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations.
L'exemple suivant montre comment vous pouvez utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale AWS Config pour éviter le problème de confusion lié aux adjoints : [accorder l' AWS Config accès au compartiment Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html).
# Bonnes pratiques en matière de sécurité pour AWS Config
AWS Config fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
+ Tirez parti du balisage pour AWS Config faciliter la gestion, la recherche et le filtrage des ressources.
+ Vérifiez que vos [canaux de diffusion](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) ont été correctement configurés et, une fois confirmés, vérifiez que [l'enregistrement AWS Config est correct](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html).
Pour plus d'informations, consultez le blog [Bonnes pratiques relatives àAWS Config](https://aws.amazon.com/blogs/mt/aws-config-best-practices/).