本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Config 的操作、资源和条件键
AWS Config(服务前缀:config)提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。
参考:
-
了解如何配置该服务。
-
查看此服务可用的API操作列表。
-
了解如何使用 IAM 权限策略保护该服务及其资源。
AWS Config 定义的操作
您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AssociateResourceTypes | 授予将所有指定资源类型添加到 of 配置记录器的权限,并在录制时包括这些资源类型 RecordingGroup | 写入 | |||
| BatchGetAggregateResourceConfig | 授予返回您的 C AWS onfig 聚合器中存在的资源的当前配置项目的权限 | 读取 | |||
| BatchGetResourceConfig | 授予为一个或多个请求资源返回当前配置的权限 | Read | |||
| DeleteAggregationAuthorization | 授予在指定区域中删除向指定配置聚合器账户授予的授权的权限 | 写入 | |||
| DeleteConfigRule | 授予删除指定的 AWS Config 规则及其所有评估结果的权限 | 写入 | |||
| DeleteConfigurationAggregator | 授予删除指定的配置聚合器以及与聚合器关联的聚合数据的权限 | 写入 | |||
| DeleteConfigurationRecorder | 授予删除客户托管配置记录器的权限 | 写入 | |||
| DeleteConformancePack | 授予删除指定一致性包以及该一致性包中的所有 AWS Config 规则和所有评估结果的权限 | 写入 | |||
| DeleteDeliveryChannel | 授予删除配送通道的权限 | Write | |||
| DeleteEvaluationResults | 授予删除指定 Config 规则的评估结果的权限 | Write | |||
| DeleteOrganizationConfigRule | 授予从该组织的所有成员账户中删除指定的组织 Config 规则及其所有评估结果的权限 | Write | |||
| DeleteOrganizationConformancePack | 授予从该组织的所有成员账户中删除指定的组织一致性包及其所有评估结果的权限 | Write | |||
| DeletePendingAggregationRequest | 授予在指定区域中删除指定聚合器账户的待处理授权请求的权限 | Write | |||
| DeleteRemediationConfiguration | 授予删除修复配置的权限 | 写入 | |||
| DeleteRemediationExceptions | 授予删除特定 C AWS onfig 规则中特定资源密钥的一个或多个修正例外情况的权限 | 写入 | |||
| DeleteResourceConfig | 授予为已删除的自定义资源记录配置状态的权限 | Write | |||
| DeleteRetentionConfiguration | 授予删除保留配置的权限 | 写入 | |||
| DeleteServiceLinkedConfigurationRecorder | 授予删除与服务相关的配置记录器的权限 | 写入 | |||
| DeleteStoredQuery | 授予删除中存储的查询 AWS 账户 的权限 AWS 区域 | 写入 | |||
| DeliverConfigSnapshot | 授予在指定的传输通道中计划将配置快照传输至 Amazon S3 存储桶的权限 | Read | |||
| DescribeAggregateComplianceByConfigRules | 授予返回合规和不合规规则列表,以及合规和不合规规则的资源数的权限 | Read | |||
| DescribeAggregateComplianceByConformancePacks | 授予返回合规和不合规一致性包列表以及每个一致性包中合规、不合规和总规则计数的权限 | Read | |||
| DescribeAggregationAuthorizations | 授予返回授予各种聚合器账户和区域的授权列表的权限 | 列出 | |||
| DescribeComplianceByConfigRule | 授予权限以指示指定的 AWS Config 规则是否合规 | 读取 | |||
| DescribeComplianceByResource | 授予指明指定 AWS 资源是否合规的权限 | 读取 | |||
| DescribeConfigRuleEvaluationStatus | 授予返回每条 AWS 托管 Config 规则的状态信息的权限 | 读取 | |||
| DescribeConfigRules | 授予返回有关您的 AWS Config 规则详细信息的权限 | 列出 | |||
| DescribeConfigurationAggregatorSourcesStatus | 授予返回聚合器中源状态信息的权限 | Read | |||
| DescribeConfigurationAggregators | 授予返回一个或多个配置聚合器详细信息的权限 | List | |||
| DescribeConfigurationRecorderStatus | 授予返回指定配置记录器的当前状态的权限 | Read | |||
| DescribeConfigurationRecorders | 授予返回一个或多个指定配置记录器名称的权限 | 读取 | |||
| DescribeConformancePackCompliance | 授予返回该一致性包中每个规则的合规性信息的权限 | Read | |||
| DescribeConformancePackStatus | 授予提供一个或多个一致性包部署状态的权限 | Read | |||
| DescribeConformancePacks | 授予返回一个或多个一致性包的列表的权限 | List | |||
| DescribeDeliveryChannelStatus | 授予返回指定传输通道的当前状态的权限 | Read | |||
| DescribeDeliveryChannels | 授予返回有关指定传输通道的详细信息的权限 | List | |||
| DescribeOrganizationConfigRuleStatuses | 授予为组织提供组织 Config 规则部署状态的权限 | Read | |||
| DescribeOrganizationConfigRules | 授予返回组织 Config 规则列表的权限 | List | |||
| DescribeOrganizationConformancePackStatuses | 授予为组织提供组织一致性包部署状态的权限 | Read | |||
| DescribeOrganizationConformancePacks | 授予返回组织一致性包列表的权限 | List | |||
| DescribePendingAggregationRequests | 授予返回所有待处理聚合请求列表的权限 | List | |||
| DescribeRemediationConfigurations | 授予返回一个或多个修复配置详细信息的权限 | List | |||
| DescribeRemediationExceptions | 授予返回一个或多个修复异常详细信息的权限 | List | |||
| DescribeRemediationExecutionStatus | 授予提供一组资源的修复执行的详细视图(包括状态、时间戳以及失败步骤的任何错误消息)的权限 | Read | |||
| DescribeRetentionConfigurations | 授予返回一个或多个保留配置详细信息的权限 | 列出 | |||
| DisassociateResourceTypes | 授予从配置记录器中删除所有指定资源类型的权限,并在录制时排除这些资源类型 RecordingGroup | 写入 | |||
| GetAggregateComplianceDetailsByConfigRule | 授予权限以返回规则中特定资源的指定 AWS Config 规则的评估结果 | 读取 | |||
| GetAggregateConfigRuleComplianceSummary | 授予返回聚合器中一个或多个账户和区域的合规和不合规规则数的权限 | Read | |||
| GetAggregateConformancePackComplianceSummary | 授予返回聚合器中一个或多个账户和区域的合规和不合规一致性包数量的权限 | 读取 | |||
| GetAggregateDiscoveredResourceCounts | 授予返回 C AWS onfig 聚合器中存在的跨账户和区域的资源计数的权限 | 读取 | |||
| GetAggregateResourceConfig | 授予返回在特定源账户和区域中为特定资源聚合的配置项的权限 | 读取 | |||
| GetComplianceDetailsByConfigRule | 授予返回指定 AWS Config 规则的评估结果的权限 | 读取 | |||
| GetComplianceDetailsByResource | 授予返回指定 AWS 资源的评估结果的权限 | 读取 | |||
| GetComplianceSummaryByConfigRule | 授予返回合规和不合规的 AWS Config 规则数量的权限,每条规则最多 25 个 | 读取 | |||
| GetComplianceSummaryByResourceType | 授予返回合规和不合规的资源数量的权限 | 读取 | |||
| GetConformancePackComplianceDetails | 授予返回一致性包监控的所有 AWS 资源的合规包合规性详细信息的权限 | 读取 | |||
| GetConformancePackComplianceSummary | 授予为一个或多个一致性包提供合规性摘要的权限 | 读取 | |||
| GetCustomRulePolicy | 授予返回包含 C AWS onfig 自定义策略规则逻辑的策略定义的权限 | 读取 | |||
| GetDiscoveredResourceCounts | 授予返回资源类型、每种资源类型的数量以及 AWS Config 在该区域为你记录的资源总数的权限 AWS 账户 | 读取 | |||
| GetOrganizationConfigRuleDetailedStatus | 授予返回给定组织 Config 规则的组织内每个成员账户的详细状态的权限 | Read | |||
| GetOrganizationConformancePackDetailedStatus | 授予返回给定组织一致性包的组织内每个成员账户的详细状态的权限 | 读取 | |||
| GetOrganizationCustomRulePolicy | 授予返回包含组织逻辑的策略定义的权限 AWS Config Custom Policy 规则规则 | 读取 | |||
| GetResourceConfigHistory | 授予返回指定资源的配置项目列表的权限 | 读取 | |||
| GetResourceEvaluationSummary | 授予返回特定资源评估 ID 的资源评估摘要的权限 | 读取 | |||
| GetStoredQuery | 授予返回特定存储查询详细信息的权限 | Read | |||
| ListAggregateDiscoveredResources | 授予接受资源类型,并返回在不同账户和区域中为特定资源类型聚合的资源标识符列表的权限 | 列出 | |||
| ListConfigurationRecorders | 授予列出配置记录器摘要 AWS 账户 的权限 AWS 区域 | 列出 | |||
| ListConformancePackComplianceScores | 授予权限以返回一致性包中合规规则-资源组合的百分比,该百分比与可能的规则-资源组合总数之比 | 列出 | |||
| ListDiscoveredResources | 授予接受资源类型,并返回该类型资源的资源标识符列表的权限 | 列出 | |||
| ListResourceEvaluations | 授予列出资源评估摘要 AWS 账户 的权限 AWS 区域 | 列出 | |||
| ListStoredQueries | 授予在中列出存储的查询 AWS 账户 的权限 AWS 区域 | 列出 | |||
| ListTagsForResource | 授予列出 AWS Config 资源标签的权限 | 读取 | |||
| PutAggregationAuthorization | 授予授权聚合器账户和区域从源账户和区域中收集数据的权限 | 写入 | |||
| PutConfigRule | 授予添加或更新用于评估您的 AWS 资源是否符合所需 AWS 配置的 Config 规则的权限 | 写入 | |||
| PutConfigurationAggregator | 授予使用所选源账户和区域创建和更新配置聚合器的权限 | 写入 |
iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutConfigurationRecorder | 授予创建或更新客户管理的配置记录器以记录所选资源配置的权限 | 写入 |
iam:PassRole |
||
| PutConformancePack | 授予创建或更新一致性包的权限 | 写入 |
iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument |
||
| PutDeliveryChannel | 授予创建传递渠道对象的权限,以便向 Amazon S3 存储桶和亚马逊SNS主题传送配置信息 | 写入 | |||
| PutEvaluations | 授予 AWS Lambda 函数用于向 Config 提供评估结果的权限 AWS | 写入 | |||
| PutExternalEvaluation | 授予向 AWS Config 传送评估结果的权限 | 写入 | |||
| PutOrganizationConfigRule | 授予为整个组织添加或更新组织配置规则的权限,以评估您的 AWS 资源是否符合所需的配置 | 写入 |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutOrganizationConformancePack | 向整个组织授予添加或更新组织合规包的权限,以评估您的 AWS 资源是否符合所需的配置 | 写入 |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject |
||
| PutRemediationConfigurations | 授予使用具有所选目标或操作的特定 AWS Config 规则添加或更新修正配置的权限 | 写入 |
iam:PassRole |
||
| PutRemediationExceptions | 授予为特定 AWS Config 规则添加或更新特定资源的修正例外情况的权限 | 写入 | |||
| PutResourceConfig | 授予为请求中提供的资源记录配置状态的权限 | 写入 | |||
| PutRetentionConfiguration | 授予创建和更新保留配置的权限,其中包含有关 AWS Config 存储您的历史信息的保留期(天数)的详细信息 | 写入 | |||
| PutServiceLinkedConfigurationRecorder | 授予创建新的服务相关配置记录器的权限,以记录关联服务范围内的资源配置 | 写入 |
iam:CreateServiceLinkedRole iam:PassRole |
||
| PutStoredQuery | 授予保存新查询或更新现有已保存查询的权限 | 写入 | |||
| SelectAggregateResourceConfig | 授予接受结构化查询语言 (SQL) SELECT 命令和聚合器的权限,以查询多个账户和地区的 AWS 资源配置状态、执行相应的搜索并返回与属性匹配的资源配置 | 读取 | |||
| SelectResourceConfig | 授予接受结构化查询语言 (SQL) SELECT 命令的权限,执行相应的搜索,并返回与属性匹配的资源配置 | 读取 | |||
| StartConfigRulesEvaluation | 授予根据指定的 Config 规则评估资源的权限 | 写入 | |||
| StartConfigurationRecorder | 向客户托管的配置记录器授予权限,允许其开始记录您选择在您的配置中记录的 AWS 资源的配置 AWS 账户 | 写入 | |||
| StartRemediationExecution | 授予针对上次已知的修复 AWS 配置对指定的 Config 规则运行按需修复的权限 | 写入 |
iam:PassRole |
||
| StartResourceEvaluation | 授予根据您账户中的 AWS Config 规则评估您的资源详细信息的权限 | 写入 |
cloudformation:DescribeType |
||
| StopConfigurationRecorder | 向客户托管的配置记录器授予权限,允许其停止记录您已选择记录在您的 AWS 资源中的配置 AWS 账户 | 写入 | |||
| TagResource | 授予将指定标签与资源关联到指定标签的权限 resourceArn | 标记 | |||
| UntagResource | 授予从资源中删除一个或多个标签的权限 | Tagging | |||
AWS Config 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| AggregationAuthorization |
arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}
|
|
| ConfigurationAggregator |
arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}
|
|
| ConfigRule |
arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}
|
|
| ConformancePack |
arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}
|
|
| OrganizationConfigRule |
arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
|
|
| OrganizationConformancePack |
arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
|
|
| RemediationConfiguration |
arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
|
|
| StoredQuery |
arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}
|
|
| ConfigurationRecorder |
arn:${Partition}:config:${Region}:${Account}:configuration-recorder/${RecorderName}/${RecorderId}
|
AWS Config 的条件键
AWS Config 定义了可以在IAM策略Condition元素中使用的以下条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按每个标签的允许值集筛选访问 | String |
| aws:ResourceTag/${TagKey} | 按与资源关联的标签值筛选访问权限 | String |
| aws:TagKeys | 按请求中是否具有必需标签来筛选访问 | ArrayOfString |
| config:ConfigurationRecorderServicePrincipal | 按配置记录器的服务主体筛选访问权限 | String |
