Amazon Config Rules API 操作支持的资源级权限 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config Rules API 操作支持的资源级权限

资源级权限意指指定允许用户对哪些资源执行操作的功能。Amazon Config 支持某些 Amazon Config Rules API 操作的资源级权限。这意味着对于某些 Amazon Config Rules 操作,您可以控制何时允许用户执行操作 (基于必须满足的条件)或是允许用户使用的特定资源。

下表介绍当前支持资源级权限的 Amazon Config Rules API 操作,以及每个操作支持的资源(及其 ARN)。指定 ARN 时,您可以在路径中使用 * 通配符;例如,在无法或不希望指定确切资源 ID 的时候可以这样做。

重要

如果某一 Amazon Config Rules API 操作未在此表中列出,则表示它不支持资源级权限。如果 Amazon Config Rules 操作不支持资源级权限,您可以向用户授予使用该操作的权限,但必须为策略语句的资源元素指定 *。

API 操作 资源

DeleteConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DeleteEvaluationResults

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeComplianceByConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRuleEvaluationStatus

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRules

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

GetComplianceDetailsByConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

StartConfigRulesEvaluation

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutRemediationConfigurations

修复配置

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DescribeRemediationConfigurations

修复配置

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DeleteRemediationConfiguration

修复配置

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

PutRemediationExceptions

修复配置

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DescribeRemediationExceptions

修复配置

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DeleteRemediationExceptions

修复配置

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

例如,您希望允许特定用户对特定规则进行的读访问,但拒绝特定用户对特定规则进行的写访问。

在第一个策略中,您允许 Amazon Config Rules 对指定规则进行读取操作,例如 DescribeConfigRulesDescribeConfigRuleEvaluationStatus

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:DescribeConfigRules", "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }

在第二个策略中,您拒绝 Amazon Config Rules 对特定规则进行的写入操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }

利用资源级权限,您可以允许读取访问权限并拒绝写入访问权限以对 Amazon Config Rules API 操作执行特定操作。