授予 Amazon Config 管理权限 - Amazon Config
为创建 IAM 群组和用户Amazon Config访问授予完全访问权限以进行 Amazon Config 访问其他资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予 Amazon Config 管理权限

允许用户管理Amazon Config,您必须向 IAM 用户授予显式权限,以使其能够执行相关操作Amazon Config任务 在大多数情况下,您可以使用包含预定义权限的 Amazon 托管策略来执行此操作。

注意

您授予用户执行的权限Amazon Config管理任务与以下权限不同Amazon Config本身就需要,才能将日志文件传输到 Amazon S3 存储桶或将通知发送到 Amazon SNS 主题。

设置和管理 Amazon Config 的用户必须具有完全访问权限。有了完全访问权限,用户可以提供 Amazon S3 和 Amazon SNS 终端节点Amazon Config将数据传送给,为创建角色Amazon Config,然后打开和关闭录制。

使用 Amazon Config 但无需设置 Amazon Config 的用户应获得只读权限。如果具有只读权限,用户可以查找资源的配置或者按标签搜索资源。

一种典型方法是创建具有适当权限的 IAM 组,然后将单个 IAM 用户添加到该组。例如,您可以为应该拥有完全访问权限的用户创建一个 IAM 群组Amazon Config操作,并为应能够查看配置但不能创建或更改角色的用户分组。

为创建 IAM 群组和用户Amazon Config访问

  1. 登录Amazon Identity and Access Management(IAM) 控制台位于https://console.aws.amazon.com/iam.

  2. 在控制面板的导航窗格中,选择 Groups,然后选择 Create New Group

  3. 键入名称,然后选择 Next Step

  4. 附加策略页面,查找并选择AWSConfigUserAccess. 此策略为用户提供使用 Amazon Config 的访问权限,包括按资源上的标签进行搜索,以及读取所有标签。这不提供配置 Amazon Config 的权限(这需要管理权限)。

    注意

    您还可创建用于授予单个操作的权限的自定义策略。有关更多信息,请参阅 向 Amazon Config 用户授予自定义权限

  5. 选择 Next Step

  6. 查看您即将创建的组的信息。

    注意

    您可以编辑组名,但需要再次选择策略。

  7. 选择 Create Group(创建组)。已创建的组将显示在组列表中。

  8. 选择您创建的组名,选择 Group Actions,然后选择 Add Users to Group

  9. 将用户添加到群组页面上,选择现有的 IAM 用户,然后选择添加用户. 如果您还没有 IAM 用户,请选择创建新用户,输入用户名,然后选择Create.

  10. 如果创建了新用户,请在导航窗格中选择 Users,然后针对每个用户完成以下操作:

    1. 选择用户。

    2. 如果用户将使用控制台管理 Amazon Config,则在 Security Credentials 选项卡中选择 Manage Password,然后为用户创建密码。

    3. 如果用户将使用 Amazon CLI 或 API 管理 Amazon Config,并且如果您尚未创建访问密钥,则在 Security Credentials (安全凭证) 选项卡中选择 Manage Access Keys (管理访问密钥),然后创建访问密钥。将密钥存储在安全位置。

    4. 为每个用户提供证书(访问密钥或密码)。

授予完全访问权限以进行 Amazon Config 访问

  1. 登录Amazon Identity and Access Management(IAM) 控制台位于https://console.aws.amazon.com/iam.

  2. 在导航窗格中选择 Policies,然后选择 Create Policy。这将打开策略编辑器。

  3. 您可以使用可视化编辑器选项卡或 JSON 选项卡创建自己的自定义策略。您可以选择导入托管策略使用您自己创建的策略或由管理的策略中的权限Amazon.

  4. Select下一篇:标签.

  5. 添加您希望保单包含的所有标签。

  6. Select下一步:下一步:Re.

  7. 键入策略名称和描述(可选)。查看策略提供的权限。

  8. 选择 Create Policy (创建策略)

  9. 在策略列表中,选择您创建的策略。您可以使用 Filter 菜单和 Search 框来查找策略。

  10. 选中您创建的策略旁边的单选按钮,然后选择操作在右上角。在此下拉列表中选择附加....

  11. 选择用户、组或角色,然后选择 Attach Policy。您可以使用 Filter 菜单和 Search 框来筛选列表。

  12. Select附加策略.

注意

除了创建托管策略外,您还可以从 IAM 控制台创建内联策略并将其附加到 IAM 用户、组或角色。有关更多信息,请参阅使用内联策略在里面IAM 用户指南.

其他资源

要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅 IAM 用户指南中的使用控制台创建管理员组权限与策略