Amazon Config 的操作、资源和条件键
Amazon Config(服务前缀:config)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon Config 定义的操作
您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| BatchGetAggregateResourceConfig | 授予为 Amazon Config 聚合器中包含的资源返回当前配置项的权限 | Read | |||
| BatchGetResourceConfig | 授予为一个或多个请求资源返回当前配置的权限 | Read | |||
| DeleteAggregationAuthorization | 授予在指定区域中删除向指定配置聚合器账户授予的授权的权限 | Write | |||
| DeleteConfigRule | 授予删除指定 Amazon Config 规则及其所有评估结果的权限 | Write | |||
| DeleteConfigurationAggregator | 授予删除指定的配置聚合器以及与聚合器关联的聚合数据的权限 | Write | |||
| DeleteConfigurationRecorder | 授予删除配置记录器的权限 | Write | |||
| DeleteConformancePack | 授予删除指定的一致性包和所有 Amazon Config 规则以及该一致性包中的所有评估结果的权限 | Write | |||
| DeleteDeliveryChannel | 授予删除配送通道的权限 | Write | |||
| DeleteEvaluationResults | 授予删除指定 Config 规则的评估结果的权限 | Write | |||
| DeleteOrganizationConfigRule | 授予从该组织的所有成员账户中删除指定的组织 Config 规则及其所有评估结果的权限 | Write | |||
| DeleteOrganizationConformancePack | 授予从该组织的所有成员账户中删除指定的组织一致性包及其所有评估结果的权限 | Write | |||
| DeletePendingAggregationRequest | 授予在指定区域中删除指定聚合器账户的待处理授权请求的权限 | Write | |||
| DeleteRemediationConfiguration | 授予删除修复配置的权限 | Write | |||
| DeleteRemediationExceptions | 授予为特定 Amazon Config 规则的特定资源键删除一个或多个修复异常的权限 | Write | |||
| DeleteResourceConfig | 授予为已删除的自定义资源记录配置状态的权限 | Write | |||
| DeleteRetentionConfiguration | 授予删除保留配置的权限 | Write | |||
| DeleteStoredQuery | 授予在 Amazon Web Services 区域 中删除 Amazon Web Services 账户 的存储查询的权限 | Write | |||
| DeliverConfigSnapshot | 授予在指定的传输通道中计划将配置快照传输至 Amazon S3 存储桶的权限 | Read | |||
| DescribeAggregateComplianceByConfigRules | 授予返回合规和不合规规则列表,以及合规和不合规规则的资源数的权限 | Read | |||
| DescribeAggregateComplianceByConformancePacks | 授予返回合规和不合规一致性包列表以及每个一致性包中合规、不合规和总规则计数的权限 | Read | |||
| DescribeAggregationAuthorizations | 授予返回授予各种聚合器账户和区域的授权列表的权限 | List | |||
| DescribeComplianceByConfigRule | 授予指示指定的 Amazon Config 规则是否合规的权限 | Read | |||
| DescribeComplianceByResource | 授予指示指定的Amazon资源是否合规的权限 | Read | |||
| DescribeConfigRuleEvaluationStatus | 授予为每个Amazon托管 Config 规则返回状态信息的权限 | Read | |||
| DescribeConfigRules | 授予返回有关 Amazon Config 规则的详细信息的权限 | List | |||
| DescribeConfigurationAggregatorSourcesStatus | 授予返回聚合器中源状态信息的权限 | Read | |||
| DescribeConfigurationAggregators | 授予返回一个或多个配置聚合器详细信息的权限 | List | |||
| DescribeConfigurationRecorderStatus | 授予返回指定配置记录器的当前状态的权限 | Read | |||
| DescribeConfigurationRecorders | 授予返回一个或多个指定配置记录器名称的权限 | List | |||
| DescribeConformancePackCompliance | 授予返回该一致性包中每个规则的合规性信息的权限 | Read | |||
| DescribeConformancePackStatus | 授予提供一个或多个一致性包部署状态的权限 | Read | |||
| DescribeConformancePacks | 授予返回一个或多个一致性包的列表的权限 | List | |||
| DescribeDeliveryChannelStatus | 授予返回指定传输通道的当前状态的权限 | Read | |||
| DescribeDeliveryChannels | 授予返回有关指定传输通道的详细信息的权限 | List | |||
| DescribeOrganizationConfigRuleStatuses | 授予为组织提供组织 Config 规则部署状态的权限 | Read | |||
| DescribeOrganizationConfigRules | 授予返回组织 Config 规则列表的权限 | List | |||
| DescribeOrganizationConformancePackStatuses | 授予为组织提供组织一致性包部署状态的权限 | Read | |||
| DescribeOrganizationConformancePacks | 授予返回组织一致性包列表的权限 | List | |||
| DescribePendingAggregationRequests | 授予返回所有待处理聚合请求列表的权限 | List | |||
| DescribeRemediationConfigurations | 授予返回一个或多个修复配置详细信息的权限 | List | |||
| DescribeRemediationExceptions | 授予返回一个或多个修复异常详细信息的权限 | List | |||
| DescribeRemediationExecutionStatus | 授予提供一组资源的修复执行的详细视图(包括状态、时间戳以及失败步骤的任何错误消息)的权限 | Read | |||
| DescribeRetentionConfigurations | 授予返回一个或多个保留配置详细信息的权限 | List | |||
| GetAggregateComplianceDetailsByConfigRule | 授予为规则中的特定资源的特定 Amazon Config 规则返回评估结果的权限 | Read | |||
| GetAggregateConfigRuleComplianceSummary | 授予返回聚合器中一个或多个账户和区域的合规和不合规规则数的权限 | Read | |||
| GetAggregateConformancePackComplianceSummary | 授予返回聚合器中一个或多个账户和区域的合规和不合规一致性包数量的权限 | Read | |||
| GetAggregateDiscoveredResourceCounts | 授予返回 Amazon Config 聚合器中包含的各个账户和区域中的资源数的权限 | Read | |||
| GetAggregateResourceConfig | 授予返回在特定源账户和区域中为特定资源聚合的配置项的权限 | Read | |||
| GetComplianceDetailsByConfigRule | 授予返回指定 Amazon Config 规则的评估结果的权限 | Read | |||
| GetComplianceDetailsByResource | 授予返回指定Amazon资源的评估结果的权限 | Read | |||
| GetComplianceSummaryByConfigRule | 授予返回合规和不合规的 Amazon Config 规则数量(每种的上限为 25 条)的权限 | Read | |||
| GetComplianceSummaryByResourceType | 授予返回合规和不合规的资源数量的权限 | Read | |||
| GetConformancePackComplianceDetails | 授予返回由一致性包监控的所有Amazon资源的一致性包合规性详细信息的权限 | Read | |||
| GetConformancePackComplianceSummary | 授予为一个或多个一致性包提供合规性摘要的权限 | Read | |||
| GetCustomRulePolicy | 授予权限以返回包含 Amazon 配置自定义策略规则逻辑的策略定义 | Read | |||
| GetDiscoveredResourceCounts | 授予返回 Amazon Config 在该区域中为您的 Amazon Web Services 账户 记录的资源类型、每种资源类型的数量以及总资源数的权限 | Read | |||
| GetOrganizationConfigRuleDetailedStatus | 授予返回给定组织 Config 规则的组织内每个成员账户的详细状态的权限 | Read | |||
| GetOrganizationConformancePackDetailedStatus | 授予返回给定组织一致性包的组织内每个成员账户的详细状态的权限 | Read | |||
| GetOrganizationCustomRulePolicy | 授予权限以返回包含组织 Amazon 配置自定义策略规则逻辑的策略定义 | Read | |||
| GetResourceConfigHistory | 授予返回指定资源的配置项目列表的权限 | Read | |||
| GetResourceEvaluationSummary | 授予返回特定资源评估 ID 的资源评估摘要的权限 | Read | |||
| GetStoredQuery | 授予返回特定存储查询详细信息的权限 | Read | |||
| ListAggregateDiscoveredResources | 授予接受资源类型,并返回在不同账户和区域中为特定资源类型聚合的资源标识符列表的权限 | List | |||
| ListConformancePackComplianceScores | 授予权限以返回一致性包中合规规则-资源组合的百分比,该百分比与可能的规则-资源组合总数之比 | List | |||
| ListDiscoveredResources | 授予接受资源类型,并返回该类型资源的资源标识符列表的权限 | List | |||
| ListResourceEvaluations | 授予为Amazon Web Services 区域中的Amazon Web Services 账户列出资源评估摘要的权限 | List | |||
| ListStoredQueries | 授予列出 Amazon Web Services 区域 中 Amazon Web Services 账户 的存储查询的权限 | List | |||
| ListTagsForResource | 授予列出 Amazon Config 资源标签的权限 | Read | |||
| PutAggregationAuthorization | 授予授权聚合器账户和区域从源账户和区域中收集数据的权限 | Write | |||
| PutConfigRule | 授予添加或更新一条 Amazon Config 规则,以评估您的Amazon资源是否符合所需配置的权限 | Write | |||
| PutConfigurationAggregator | 授予使用所选源账户和区域创建和更新配置聚合器的权限 | Write |
iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutConfigurationRecorder | 授予创建新配置记录器以记录所选资源配置的权限 | Write | |||
| PutConformancePack | 授予创建或更新一致性包的权限 | Write |
iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument |
||
| PutDeliveryChannel | 授予创建传输通道对象,以将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题的权限 | Write | |||
| PutEvaluations | 授予 Amazon Lambda 函数用于将评估结果传输到 Amazon Config 的权限 | Write | |||
| PutExternalEvaluation | 授予向 Amazon Config 传输评估结果的权限 | Write | |||
| PutOrganizationConfigRule | 授予为整个组织评估添加或更新组织 Config 规则,以评估您的Amazon资源是否符合所需配置的权限 | Write |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutOrganizationConformancePack | 授予为整个组织评估添加或更新组织一致性包,以评估您的Amazon资源是否符合所需配置的权限 | Write |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject |
||
| PutRemediationConfigurations | 授予使用具有选定目标或操作的特定 Amazon Config 规则,来添加或更新修复配置的权限 | Write |
iam:PassRole |
||
| PutRemediationExceptions | 授予为特定 Amazon Config 规则添加或更新特定资源的修复异常的权限 | Write | |||
| PutResourceConfig | 授予为请求中提供的资源记录配置状态的权限 | Write | |||
| PutRetentionConfiguration | 授予权限,以使用有关 Amazon Config 存储历史信息的保留期(天数)的详细信息来创建和更新保留配置 | Write | |||
| PutStoredQuery | 授予保存新查询或更新现有已保存查询的权限 | Write | |||
| SelectAggregateResourceConfig | 授予权限,以接受结构化查询语言 (SQL) SELECT 命令和聚合器,以跨多个账户和区域查询Amazon资源的配置状态,执行相应的搜索,并返回与属性匹配的资源配置 | Read | |||
| SelectResourceConfig | 授予权限,以接受结构化查询语言 (SQL) SELECT 命令,执行相应的搜索,然后返回与属性匹配的资源配置 | Read | |||
| StartConfigRulesEvaluation | 授予根据指定的 Config 规则评估资源的权限 | Write | |||
| StartConfigurationRecorder | 授予权限以开始记录 Amazon 资源(您已选择在 Amazon Web Services 账户 中记录这些资源)配置 | Write | |||
| StartRemediationExecution | 授予针对上次已知的修复配置,为指定的 Amazon Config 规则运行按需修复的权限 | Write |
iam:PassRole |
||
| StartResourceEvaluation | 授予根据账户中的 Amazon Config 规则评估资源详细信息的权限 | Write |
cloudformation:DescribeType |
||
| StopConfigurationRecorder | 授予权限以停止记录 Amazon 资源(您已选择在 Amazon Web Services 账户 中记录这些资源)配置 | Write | |||
| TagResource | 授予使用指定 resourceArn 将指定标签关联到资源的权限 | Tagging | |||
| UntagResource | 授予从资源中删除一个或多个标签的权限 | Tagging | |||
Amazon Config 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| AggregationAuthorization |
arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}
|
|
| ConfigurationAggregator |
arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}
|
|
| ConfigRule |
arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}
|
|
| ConformancePack |
arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}
|
|
| OrganizationConfigRule |
arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
|
|
| OrganizationConformancePack |
arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
|
|
| RemediationConfiguration |
arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
|
|
| StoredQuery |
arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}
|
Amazon Config 的条件键
Amazon Config 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按每个标签的允许值集筛选访问 | 字符串 |
| aws:ResourceTag/${TagKey} | 按与资源关联的标签值筛选访问权限 | 字符串 |
| aws:TagKeys | 按请求中是否具有必需标签来筛选访问 | 字符串数组 |