AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

授予 AWS Config 管理权限

要允许用户管理 AWS Config,您必须向 IAM 用户授予显式权限以使其能够执行与 AWS Config 任务关联的操作。对于大多数方案,您可以使用包含预定义权限的 AWS 托管策略来执行此操作。

注意

您向用户授予的执行 AWS Config 管理任务的权限不同于 AWS Config 本身为将日志文件传输到 Amazon S3 存储桶或将通知发送到 Amazon SNS 主题所需的权限。

设置和管理 AWS Config 的用户必须具有完全访问权限。如果具有完全访问权限,用户可以提供AWS Config 向其传递数据的 Amazon S3 和 Amazon SNS 终端节点、为 AWS Config 创建角色,以及打开和关闭记录功能。

使用 AWS Config 但无需进行设置 AWS Config 的用户应该获得只读权限。如果具有只读权限,用户可以查找资源的配置或者按标签搜索资源。

一种典型方法是创建具有适当权限的 IAM 组,然后将单个 IAM 用户添加到该组。例如,您可以为应具有 AWS Config 操作的完全访问权的用户创建 IAM 组,并为应能够查看配置而不是创建或更改角色的用户创建单独的组。

创建 IAM 组和用户以进行 AWS Config 访问

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam

  2. 在控制面板的导航窗格中,选择 Groups,然后选择 Create New Group

  3. 键入名称,然后选择 Next Step

  4. Attach Policy (附加策略) 页面上,找到并选择 AWSConfigUserAccess。此策略为用户提供使用 AWS Config 的访问权限,包括按资源上的标签进行搜索,以及读取所有标签。这不提供配置 AWS Config 的权限(这需要管理权限)。

    注意

    您还可创建用于授予单个操作的权限的自定义策略。有关更多信息,请参阅 向 AWS Config 用户授予自定义权限

  5. 选择 Next Step

  6. 查看您即将创建的组的信息。

    注意

    您可以编辑组名,但需要再次选择策略。

  7. 选择 Create Group。已创建的组将显示在组列表中。

  8. 选择您创建的组名,选择 Group Actions,然后选择 Add Users to Group

  9. Add Users to Group 页面上,选择现有的 IAM 用户,然后选择 Add Users。如果还没有 IAM 用户,请选择 Create New Users,输入用户名称,然后选择 Create

  10. 如果创建了新用户,请在导航窗格中选择 Users,然后针对每个用户完成以下操作:

    1. 选择用户。

    2. 如果用户将使用控制台管理 AWS Config,则在 Security Credentials 选项卡中选择 Manage Password,然后为用户创建密码。

    3. 如果用户将使用 AWS CLI 或 API 管理 AWS Config,并且如果您尚未创建访问密钥,则在 Security Credentials (安全凭证) 选项卡中选择 Manage Access Keys (管理访问密钥),然后创建访问密钥。将密钥存储在安全位置。

    4. 为每个用户提供证书(访问密钥或密码)。

授予完全访问权限以进行 AWS Config 访问

  1. 通过 https://console.amazonaws.cn/iam 登录 AWS Identity and Access Management (IAM) 控制台。

  2. 在导航窗格中选择 Policies,然后选择 Create Policy

  3. 对于 Create Your Own Policy,选择 Select

  4. 键入策略名称和描述。例如:AWSConfigFullAccess

  5. 对于 Policy Document,将完全访问策略键入或粘贴到编辑器中。您可以将 完全访问权限.

  6. 选择 Validate Policy 并确保屏幕顶部没有在红框中显示错误。更正报告的任何错误。

  7. 选择 Create Policy 以保存新策略。

  8. 在策略列表中,选择您创建的策略。您可以使用 Filter 菜单和 Search 框来查找策略。

  9. 选择 Policy Actions,然后选择 Attach

  10. 选择用户、组或角色,然后选择 Attach Policy。您可以使用 Filter 菜单和 Search 框来筛选列表。

  11. 选择 Apply Policy

注意

此外,您还可以从 IAM 控制台中创建内联策略并将其关联到 IAM 用户、组或角色,而不创建托管策略。有关更多信息,请参阅 IAM 用户指南 中的使用内联策略

其他资源

要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅 IAM 用户指南 中的使用控制台创建管理员组权限与策略