AWS Config
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

AWS Config 的访问权限

当您授权 IAM 用户使用 AWS Config 控制台或 AWS CLI 的权限时,您可以(并且应该)将其权限限制到用户所需的最小范围内。

在大多数情况下,权限应涵盖以下常用操作:

  • 设置和管理 AWS Config (完全访问权限)

  • 使用 AWS Config (只读权限)

设置和管理 AWS Config 的用户必须具有完全访问权限。获得完全访问权限后,您可以执行关键的设置任务,例如:

  • 提供 AWS Config 将数据传送到的 Amazon S3 和 Amazon SNS 终端节点

  • 创建提供给 AWS Config 的角色

  • 开启和关闭记录功能

使用 AWS Config 但无需进行设置的用户应该获得只读权限。对于查找资源配置或者按标签搜索资源的用户而言,这类权限非常有用。

授予 AWS Config 的只读权限

  1. 通过 https://console.amazonaws.cn/iam 登录 AWS Identity and Access Management (IAM) 控制台。

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择 AWSConfigUserAccess 策略。您可以使用 Filter 菜单和 Search 框来查找策略。

  4. 选择 Policy Actions,然后选择 Attach

  5. 选择用户、组或角色,然后选择 Attach Policy。您可以使用 Filter 菜单和 Search 框来筛选列表。

  6. 选择 Apply Policy

授予 AWS Config 的完全访问权限

  1. 通过 https://console.amazonaws.cn/iam 登录 AWS Identity and Access Management (IAM) 控制台。

  2. 在导航窗格中选择 Policies,然后选择 Create Policy

  3. 对于 Create Your Own Policy,选择 Select

  4. 键入策略名称和描述。例如:AWSConfigFullAccess

  5. 对于 Policy Document,将完全访问策略键入或粘贴到编辑器中。您可以将 完全访问权限示例.

  6. 选择 Validate Policy 并确保屏幕顶部没有在红框中显示错误。更正报告的任何错误。

  7. 选择 Create Policy 以保存新策略。

  8. 在策略列表中,选择您创建的策略。您可以使用 Filter 菜单和 Search 框来查找策略。

  9. 选择 Policy Actions,然后选择 Attach

  10. 选择用户、组或角色,然后选择 Attach Policy。您可以使用 Filter 菜单和 Search 框来筛选列表。

  11. 选择 Apply Policy

注意

此外,您还可以从 IAM 控制台中创建内联策略并将其关联到 IAM 用户、组或角色,而不创建托管策略。有关更多信息,请参阅 IAM 用户指南 中的使用内联策略

示例策略

只读权限示例

以下 AWS 托管策略 (AWSConfigUserAccess) 可授予 AWS Config 的只读权限。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:Deliver*", "config:List*", "tag:GetResources", "tag:GetTagKeys", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }

完全访问权限示例

以下示例策略可授予 AWS Config 的完全访问权限。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:GetTopicAttributes", "sns:ListPlatformApplications", "sns:ListTopics", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListBucketVersions", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:GetRole", "iam:GetRolePolicy", "iam:ListRolePolicies", "iam:ListRoles", "iam:PassRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "config:*", "tag:Get*" ], "Resource": "*" } ] }

本页内容: