本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Config 的動作、資源和條件索引鍵
AWS Config (服務字首:config) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視此服務可用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Config 定義的動作
您可以在 IAM 政策陳述式的 Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中使用 Resource元素限制資源存取,則必須為每個必要的資源類型包含 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| BatchGetAggregateResourceConfig | 准許傳回 AWS Config 彙總器中存在之資源的目前組態項目 | 讀取 | |||
| BatchGetResourceConfig | 准許傳回一或多個所請求資源的目前組態 | 讀取 | |||
| DeleteAggregationAuthorization | 准許刪除特定區域中授予特定組態彙總帳戶的授權 | 寫入 | |||
| DeleteConfigRule | 准許刪除指定的 Config AWS 規則及其所有評估結果 | 寫入 | |||
| DeleteConfigurationAggregator | 准許刪除指定的組態彙總工具,以及與彙總工具相關聯的彙總資料 | 寫入 | |||
| DeleteConfigurationRecorder | 准許刪除組態記錄器 | 寫入 | |||
| DeleteConformancePack | 准許刪除指定的一致性套件,以及該一致性套件中的所有 AWS Config 規則和所有評估結果 | 寫入 | |||
| DeleteDeliveryChannel | 准許刪除傳送通道 | 寫入 | |||
| DeleteEvaluationResults | 准許刪除指定 Config 規則的評估結果 | 寫入 | |||
| DeleteOrganizationConfigRule | 准許從該組織的所有成員帳戶中,刪除指定的組織組態規則及其所有評估結果 | 寫入 | |||
| DeleteOrganizationConformancePack | 准許從該組織的所有成員帳戶中,刪除指定的組織符合性套件及其所有評估結果 | 寫入 | |||
| DeletePendingAggregationRequest | 准許刪除特定區域中特定彙總帳戶的待定授權請求 | 寫入 | |||
| DeleteRemediationConfiguration | 准許刪除修補組態 | 寫入 | |||
| DeleteRemediationExceptions | 准許刪除特定 Config AWS 規則之特定資源金鑰的一或多個修復例外狀況 | 寫入 | |||
| DeleteResourceConfig | 准許記錄已刪除之自訂資源的組態狀態 | 寫入 | |||
| DeleteRetentionConfiguration | 准許刪除保留組態 | 寫入 | |||
| DeleteStoredQuery | 准許刪除 AWS 帳戶 中 的預存查詢 AWS 區域 | 寫入 | |||
| DeliverConfigSnapshot | 准許排定在指定的傳送通道中將組態快照傳送到 Amazon S3 儲存貯體 | 讀取 | |||
| DescribeAggregateComplianceByConfigRules | 准許傳回合規和不合規規則的清單,以及合規和不合規規則的資源數量 | 讀取 | |||
| DescribeAggregateComplianceByConformancePacks | 准許傳回合規和不合規的一致性套件清單,註明每個一致性套件當中合規、不合規的規則數量和規則總數 | 讀取 | |||
| DescribeAggregationAuthorizations | 准許傳回授與各種彙總帳戶和區域的授權清單 | 清單 | |||
| DescribeComplianceByConfigRule | 准許指出指定的 Config AWS 規則是否符合 | 讀取 | |||
| DescribeComplianceByResource | 准許指出指定的 AWS 資源是否合規 | 讀取 | |||
| DescribeConfigRuleEvaluationStatus | 准許傳回每個 AWS 受管組態規則的狀態資訊 | 讀取 | |||
| DescribeConfigRules | 准許傳回 Config AWS 規則的詳細資訊 | 清單 | |||
| DescribeConfigurationAggregatorSourcesStatus | 准許傳回彙總工具內來源的狀態資訊 | 讀取 | |||
| DescribeConfigurationAggregators | 准許傳回一或多個組態彙總工具的詳細資訊 | 列出 | |||
| DescribeConfigurationRecorderStatus | 准許傳回特定組態記錄器的目前狀態 | 讀取 | |||
| DescribeConfigurationRecorders | 准許傳回一或多個特定組態記錄器的名稱 | 列出 | |||
| DescribeConformancePackCompliance | 准許傳回該符合性套件中每個規則的合規資訊 | 讀取 | |||
| DescribeConformancePackStatus | 准許提供一或多個符合性套件部署狀態 | 讀取 | |||
| DescribeConformancePacks | 准許傳回一或多個符合性套件的清單 | 列出 | |||
| DescribeDeliveryChannelStatus | 准許傳回特定傳送通道的目前狀態 | 讀取 | |||
| DescribeDeliveryChannels | 准許傳回特定傳送通道的詳細資訊 | 列出 | |||
| DescribeOrganizationConfigRuleStatuses | 准許提供組織的組織組態規則部署狀態 | 讀取 | |||
| DescribeOrganizationConfigRules | 准許傳回組織組態規則清單 | 列出 | |||
| DescribeOrganizationConformancePackStatuses | 准許提供組織的組織符合性套件部署狀態 | 讀取 | |||
| DescribeOrganizationConformancePacks | 准許傳回組織符合性套件的清單 | 列出 | |||
| DescribePendingAggregationRequests | 准許傳回所有擱置中的彙總請求清單 | 列出 | |||
| DescribeRemediationConfigurations | 准許傳回一或多個修補組態的詳細資訊 | 列出 | |||
| DescribeRemediationExceptions | 准許傳回一或多個修補例外狀況的詳細資訊 | 列出 | |||
| DescribeRemediationExecutionStatus | 准許提供一組資源的詳細「補救執行」檢視,包括失敗步驟的狀態、時間戳記和任何錯誤訊息 | 讀取 | |||
| DescribeRetentionConfigurations | 准許傳回一或多個保留組態的詳細資訊 | 清單 | |||
| GetAggregateComplianceDetailsByConfigRule | 准許傳回規則中特定資源之指定 AWS 組態規則的評估結果 | 讀取 | |||
| GetAggregateConfigRuleComplianceSummary | 准許針對彙總工具中的一或多個帳戶和區域,傳回合規和不合規的規則數量 | 讀取 | |||
| GetAggregateConformancePackComplianceSummary | 准許針對彙總工具中的一或多個帳戶和區域,傳回合規和不合規的一致性套件數量 | 讀取 | |||
| GetAggregateDiscoveredResourceCounts | 准許在 AWS Config 彙總器中存在的帳戶和區域之間傳回資源計數 | 讀取 | |||
| GetAggregateResourceConfig | 准許傳回在特定來源帳戶和區域中針對特定資源而彙總的組態項目 | 讀取 | |||
| GetComplianceDetailsByConfigRule | 准許傳回指定 Config AWS 規則的評估結果 | 讀取 | |||
| GetComplianceDetailsByResource | 准許傳回指定 AWS 資源的評估結果 | 讀取 | |||
| GetComplianceSummaryByConfigRule | 准許傳回合規和不合規的 AWS Config 規則數目,每個規則最多 25 個 | 讀取 | |||
| GetComplianceSummaryByResourceType | 准許傳回合規的資源數量和不合規的資源數量 | 讀取 | |||
| GetConformancePackComplianceDetails | 准許傳回一致性套件所記錄之所有 AWS 資源的一致性詳細資訊 | 讀取 | |||
| GetConformancePackComplianceSummary | 准許提供一或多個符合性套件的合規摘要 | 讀取 | |||
| GetCustomRulePolicy | 准許傳回包含 AWS Config Custom Policy 規則邏輯的政策定義 | 讀取 | |||
| GetDiscoveredResourceCounts | 准許傳回 AWS Config 在此區域中為 所記錄的資源類型、每個資源類型的數目,以及資源總數 AWS 帳戶 | 讀取 | |||
| GetOrganizationConfigRuleDetailedStatus | 准許針對指定的組織組態規則,傳回組織內每個成員帳戶的詳細狀態 | 讀取 | |||
| GetOrganizationConformancePackDetailedStatus | 准許針對指定的組織符合性套件,傳回組織內每個成員帳戶的詳細狀態 | 讀取 | |||
| GetOrganizationCustomRulePolicy | 准許傳回包含組織 Config Custom AWS Policy 規則邏輯的政策定義 | 讀取 | |||
| GetResourceConfigHistory | 准許傳回特定資源的組態項目清單 | 讀取 | |||
| GetResourceEvaluationSummary | 准許針對特定的資源評估 ID 傳回資源評估摘要 | 讀取 | |||
| GetStoredQuery | 准許傳回存儲之特定查詢的詳細資訊 | 讀取 | |||
| ListAggregateDiscoveredResources | 准許接受資源類型,並傳回在帳戶和區域各處針對特定資源類型所彙總的資源識別符清單 | 清單 | |||
| ListConformancePackComplianceScores | 准許傳回一致性套件中合規規則資源組合佔可能的規則資源組合總數的百分比 | 清單 | |||
| ListDiscoveredResources | 准許接受資源類型,並傳回該類型之資源的資源識別符清單 | 清單 | |||
| ListResourceEvaluations | 准許列出 AWS 帳戶 中 的資源評估摘要 AWS 區域 | 清單 | |||
| ListStoredQueries | 准許列出 AWS 帳戶 中 的預存查詢 AWS 區域 | 清單 | |||
| ListTagsForResource | 准許列出 AWS Config 資源的標籤 | 讀取 | |||
| PutAggregationAuthorization | 准許授權彙總帳戶和區域從來源帳戶和區域收集資料 | 寫入 | |||
| PutConfigRule | 准許新增或更新 Config AWS 規則,以評估您的 AWS 資源是否符合所需的組態 | 寫入 | |||
| PutConfigurationAggregator | 准許以選取的來源帳戶和區域建立和更新組態彙總工具 | 寫入 |
iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutConfigurationRecorder | 准許建立新的組態記錄器,以記錄所選取的資源組態 | 寫入 | |||
| PutConformancePack | 准許建立或更新符合性套件 | 寫入 |
iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument |
||
| PutDeliveryChannel | 准許建立交付管道物件,以將組態資訊交付至 Amazon S3 儲存貯體和 Amazon SNS 主題 | 寫入 | |||
| PutEvaluations | 准許 AWS Lambda 函數使用 將評估結果交付給 AWS Config | 寫入 | |||
| PutExternalEvaluation | 准許將評估結果交付至 AWS Config | 寫入 | |||
| PutOrganizationConfigRule | 准許為整個組織新增或更新組織組態規則,以評估您的 AWS 資源是否符合所需的組態 | 寫入 |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutOrganizationConformancePack | 准許為整個組織新增或更新組織一致性套件,以評估您的 AWS 資源是否符合所需的組態 | 寫入 |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject |
||
| PutRemediationConfigurations | 准許使用具有所選目標或動作的特定 Config AWS 規則新增或更新修復組態 | 寫入 |
iam:PassRole |
||
| PutRemediationExceptions | 准許為特定 Config AWS 規則新增或更新特定資源的修復例外狀況 | 寫入 | |||
| PutResourceConfig | 准許記錄要求中提供之資源的組態狀態 | 寫入 | |||
| PutRetentionConfiguration | 准許建立和更新保留組態,其中包含 Config AWS 存放您歷史資訊之保留期間 (天數) 的詳細資訊 | 寫入 | |||
| PutStoredQuery | 准許儲存新的查詢或更新儲存的現有查詢 | 寫入 | |||
| SelectAggregateResourceConfig | 准許接受結構化查詢語言 (SQL) SELECT 命令和彙總器,以查詢多個帳戶和區域的 AWS 資源組態狀態、執行對應的搜尋,並傳回符合屬性的資源組態 | 讀取 | |||
| SelectResourceConfig | 准許接受結構化查詢語言 (SQL) SELECT 命令、執行對應的搜尋,並傳回符合 屬性的資源組態 | 讀取 | |||
| StartConfigRulesEvaluation | 准許根據指定的 Config 規則來評估資源 | 寫入 | |||
| StartConfigurationRecorder | 准許開始錄製您選取要在 中記錄 AWS 的資源組態 AWS 帳戶 | 寫入 | |||
| StartRemediationExecution | 准許根據上次已知的修復組態,針對指定的 Config AWS 規則執行隨需修復 | 寫入 |
iam:PassRole |
||
| StartResourceEvaluation | 准許根據帳戶中的 Config AWS 規則評估您的資源詳細資訊 | 寫入 |
cloudformation:DescribeType |
||
| StopConfigurationRecorder | 准許停止錄製您選取要在 中記錄 AWS 的資源組態 AWS 帳戶 | 寫入 | |||
| TagResource | 准許將指定的標籤與指定的 resourceArn 與資源建立關聯 | 標記 | |||
| UntagResource | 准許刪除資源中的指定標籤 | 標記 | |||
AWS Config 定義的資源類型
下列資源類型由此服務定義,可用於 IAM 許可政策陳述式的 Resource元素。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| AggregationAuthorization |
arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}
|
|
| ConfigurationAggregator |
arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}
|
|
| ConfigRule |
arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}
|
|
| ConformancePack |
arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}
|
|
| OrganizationConfigRule |
arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
|
|
| OrganizationConformancePack |
arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
|
|
| RemediationConfiguration |
arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
|
|
| StoredQuery |
arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}
|
AWS Config 的條件索引鍵
AWS Config 定義下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依每個標籤的允許值集來篩選存取 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源相關聯的標籤值篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在強制性標籤來篩選存取 | ArrayOfString |
