AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Config 的操作、资源和条件键

AWS Config(服务前缀:config)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Config 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
BatchGetAggregateResourceConfig 返回 AWS Config 聚合器中包含的资源的当前配置项 Read

ConfigurationAggregator*

BatchGetResourceConfig 返回一个或多个请求的资源的当前配置 Read
DeleteAggregationAuthorization 删除为指定区域中的指定配置聚合器账户提供的授权 写入

AggregationAuthorization*

DeleteConfigRule 删除指定的 AWS Config 规则及其所有评估结果 写入

ConfigRule*

DeleteConfigurationAggregator 删除指定的配置聚合器以及与聚合器关联的聚合数据 写入

ConfigurationAggregator*

DeleteConfigurationRecorder 删除配置记录器 写入
DeleteDeliveryChannel 删除传输通道 写入
DeleteEvaluationResults 删除指定 Config 规则的评估结果 写入

ConfigRule*

DeletePendingAggregationRequest 删除指定区域中的指定聚合器账户的待处理授权请求 写入
DeleteRemediationConfiguration 删除修复配置 写入
DeleteRetentionConfiguration 删除保留配置 写入
DeliverConfigSnapshot 计划在指定的传输通道中将配置快照传输至 Amazon S3 存储桶 Read
DescribeAggregateComplianceByConfigRules 返回合规和不合规规则列表,以及具有合规和不合规规则的资源数 List

ConfigurationAggregator*

DescribeAggregationAuthorizations 返回为不同的聚合器账户和区域提供的授权列表 List
DescribeComplianceByConfigRule 指示指定的 AWS Config 规则是否合规 List

ConfigRule*

DescribeComplianceByResource 指示指定的 AWS 资源是否合规 List
DescribeConfigRuleEvaluationStatus 返回每条 AWS Config 托管规则的状态信息 List

ConfigRule*

DescribeConfigRules 返回有关 AWS Config 规则的详细信息 List

ConfigRule*

DescribeConfigurationAggregatorSourcesStatus 返回聚合器中的源的状态信息 List

ConfigurationAggregator*

DescribeConfigurationAggregators 返回一个或多个配置聚合器的详细信息 List
DescribeConfigurationRecorderStatus 返回指定配置记录器的当前状态 List
DescribeConfigurationRecorders 返回一个或多个指定配置记录器的名称 List
DescribeDeliveryChannelStatus 返回指定传输通道的当前状态 List
DescribeDeliveryChannels 返回指定传输通道的详细信息 List
DescribePendingAggregationRequests 返回所有待处理聚合请求的列表 List
DescribeRemediationConfigurations 返回一个或多个修复配置的详细信息 List
DescribeRemediationExecutionStatus 提供一组资源的修复执行的详细视图,包括状态、时间戳以及失败步骤的任何错误消息 List
DescribeRetentionConfigurations 返回一个或多个保留配置的详细信息 List
GetAggregateComplianceDetailsByConfigRule 返回规则中的特定资源的指定 AWS Config 规则的评估结果 Read

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary 返回聚合器中的一个或多个账户和区域的合规和不合规规则数 Read

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts 返回 AWS Config 聚合器中包含的账户和区域中的资源数 Read

ConfigurationAggregator*

GetAggregateResourceConfig 返回为特定源账户和区域中的特定资源聚合的配置项 Read

ConfigurationAggregator*

GetComplianceDetailsByConfigRule 返回指定 AWS Config 规则的评估结果 Read

ConfigRule*

GetComplianceDetailsByResource 返回指定 AWS 资源的评估结果 Read
GetComplianceSummaryByConfigRule 返回合规和不合规的 AWS Config 规则数量,每种的上限为 25 条 Read
GetComplianceSummaryByResourceType 返回合规和不合规的资源数量 Read
GetDiscoveredResourceCounts 返回 AWS Config 在该区域中为您的 AWS 账户记录的资源类型、每种类型的资源数以及总资源数 Read
GetResourceConfigHistory 返回指定资源的配置项目列表 Read
ListAggregateDiscoveredResources 接受资源类型,并返回在不同账户和区域中为特定资源类型聚合的资源标识符列表 List

ConfigurationAggregator*

ListDiscoveredResources 接受资源类型,并返回该类型资源的资源标识符列表 List
ListTagsForResource 列出 AWS Config 资源的标签 List

AggregationAuthorization

ConfigRule

ConfigurationAggregator

PutAggregationAuthorization 授权聚合器账户和区域从源账户和区域中收集数据 写入

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule 添加或更新一条 AWS Config 规则,评估您的 AWS 资源是否符合所需配置 写入

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator 使用选定的源账户和区域创建和更新配置聚合器 写入

ConfigurationAggregator*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder 新建配置记录器,记录所选的资源配置 写入
PutDeliveryChannel 创建一个传输通道对象,将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题 写入
PutEvaluations AWS Lambda 函数使用它将评估结果传输到 AWS Config 写入
PutRemediationConfigurations 使用具有选定目标或操作的特定 AWS Config 规则添加或更新修复配置 写入
PutRetentionConfiguration 使用有关 AWS Config 存储历史信息的保留期(天数)的详细信息创建和更新保留配置 写入
SelectResourceConfig 接受结构化查询语言 (SQL) SELECT 命令,执行相应的搜索,然后返回与属性匹配的资源配置 Read
StartConfigRulesEvaluation 针对指定的 Config 规则评估您的资源 写入

ConfigRule*

StartConfigurationRecorder 开始记录 AWS 资源的配置,您已选择在 AWS 账户中记录这些资源 写入
StartRemediationExecution 针对上次已知的修复配置,为指定的 AWS Config 规则运行按需修复 写入
StopConfigurationRecorder 停止记录 AWS 资源的配置,您已选择在 AWS 账户中记录这些资源 写入
TagResource 将指定的标签与具有指定 resourceArn 的资源相关联 标记

AggregationAuthorization

ConfigRule

ConfigurationAggregator

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 从资源中删除指定的标签 标记

AggregationAuthorization

ConfigRule

ConfigurationAggregator

aws:TagKeys

AWS Config 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

AWS Config 的条件键

AWS Config 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据每个标签的允许值集筛选操作 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签值筛选操作 字符串
aws:TagKeys 根据在请求中是否具有必需标签以筛选操作 字符串