AWS Config
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Config Rules API 操作支持的资源级权限

资源级权限意指指定允许用户对哪些资源执行操作的功能。AWS Config 支持某些 AWS Config Rules API 操作的资源级权限。这意味着对于某些 AWS Config Rules 操作,您可以控制何时允许用户根据必须满足的条件或允许用户使用的特定资源来使用这些操作。

下表介绍当前支持资源级权限的 AWS Config Rules API 操作,以及每个操作支持的资源(及其 ARN)。指定 ARN 时,您可以在路径中使用 * 通配符;例如,在无法或不希望指定确切资源 ID 的时候可以这样做。

重要

如果某一 AWS Config Rules API 操作在此表中没有列出,则它不支持资源级权限。如果 AWS Config Rules 操作不支持资源级权限,您可以向用户授予使用该操作的权限,但必须为策略语句的资源元素指定 *。

API 操作 资源

DeleteConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DeleteEvaluationResults

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeComplianceByConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRuleEvaluationStatus

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRules

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

GetComplianceDetailsByConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutConfigRule

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

StartConfigRulesEvaluation

Config 规则

arn:aws:config:region:accountID:config-rule/config-rule-ID

例如,您希望允许特定用户对特定规则进行的读访问,但拒绝特定用户对特定规则进行的写访问。

在第一个策略中,您允许 AWS Config Rules 对指定规则进行读取操作,例如 DescribeConfigRulesDescribeConfigRuleEvaluationStatus

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:DescribeConfigRules", "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }

在第二个策略中,您拒绝 AWS Config Rules 对特定规则进行的写入操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }

利用资源级权限,您可以允许读取访问权限并拒绝写入访问权限以对 AWS Config Rules API 操作执行特定操作。