Amazon Config 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config 的操作、资源和条件键

Amazon Config(服务前缀:config)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。

参考:

Amazon Config 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
BatchGetAggregateResourceConfig 授予返回您的 C Amazon onfig 聚合器中存在的资源的当前配置项目的权限 读取

ConfigurationAggregator*

BatchGetResourceConfig 授予为一个或多个请求资源返回当前配置的权限 Read
DeleteAggregationAuthorization 授予在指定区域中删除向指定配置聚合器账户授予的授权的权限 写入

AggregationAuthorization*

DeleteConfigRule 授予删除指定的 Amazon Config 规则及其所有评估结果的权限 写入

ConfigRule*

DeleteConfigurationAggregator 授予删除指定的配置聚合器以及与聚合器关联的聚合数据的权限 Write

ConfigurationAggregator*

DeleteConfigurationRecorder 授予删除配置记录器的权限 写入
DeleteConformancePack 授予删除指定一致性包以及该一致性包中的所有 Amazon Config 规则和所有评估结果的权限 写入

ConformancePack*

DeleteDeliveryChannel 授予删除配送通道的权限 Write
DeleteEvaluationResults 授予删除指定 Config 规则的评估结果的权限 Write

ConfigRule*

DeleteOrganizationConfigRule 授予从该组织的所有成员账户中删除指定的组织 Config 规则及其所有评估结果的权限 Write

OrganizationConfigRule*

DeleteOrganizationConformancePack 授予从该组织的所有成员账户中删除指定的组织一致性包及其所有评估结果的权限 Write

OrganizationConformancePack*

DeletePendingAggregationRequest 授予在指定区域中删除指定聚合器账户的待处理授权请求的权限 Write
DeleteRemediationConfiguration 授予删除修复配置的权限 写入

RemediationConfiguration*

DeleteRemediationExceptions 授予删除特定 C Amazon onfig 规则中特定资源密钥的一个或多个修正例外情况的权限 写入
DeleteResourceConfig 授予为已删除的自定义资源记录配置状态的权限 Write
DeleteRetentionConfiguration 授予删除保留配置的权限 写入
DeleteStoredQuery 授予删除中存储的查询 Amazon Web Services 账户 的权限 Amazon Web Services 区域 写入

StoredQuery*

DeliverConfigSnapshot 授予在指定的传输通道中计划将配置快照传输至 Amazon S3 存储桶的权限 Read
DescribeAggregateComplianceByConfigRules 授予返回合规和不合规规则列表,以及合规和不合规规则的资源数的权限 Read

ConfigurationAggregator*

DescribeAggregateComplianceByConformancePacks 授予返回合规和不合规一致性包列表以及每个一致性包中合规、不合规和总规则计数的权限 Read

ConfigurationAggregator*

DescribeAggregationAuthorizations 授予返回授予各种聚合器账户和区域的授权列表的权限 列出
DescribeComplianceByConfigRule 授予权限以指示指定的 Amazon Config 规则是否合规 读取
DescribeComplianceByResource 授予指明指定 Amazon 资源是否合规的权限 读取
DescribeConfigRuleEvaluationStatus 授予返回每条 Amazon 托管 Config 规则的状态信息的权限 读取
DescribeConfigRules 授予返回有关您的 Amazon Config 规则详细信息的权限 列出
DescribeConfigurationAggregatorSourcesStatus 授予返回聚合器中源状态信息的权限 Read

ConfigurationAggregator*

DescribeConfigurationAggregators 授予返回一个或多个配置聚合器详细信息的权限 List
DescribeConfigurationRecorderStatus 授予返回指定配置记录器的当前状态的权限 Read
DescribeConfigurationRecorders 授予返回一个或多个指定配置记录器名称的权限 List
DescribeConformancePackCompliance 授予返回该一致性包中每个规则的合规性信息的权限 Read

ConformancePack*

DescribeConformancePackStatus 授予提供一个或多个一致性包部署状态的权限 Read
DescribeConformancePacks 授予返回一个或多个一致性包的列表的权限 List
DescribeDeliveryChannelStatus 授予返回指定传输通道的当前状态的权限 Read
DescribeDeliveryChannels 授予返回有关指定传输通道的详细信息的权限 List
DescribeOrganizationConfigRuleStatuses 授予为组织提供组织 Config 规则部署状态的权限 Read
DescribeOrganizationConfigRules 授予返回组织 Config 规则列表的权限 List
DescribeOrganizationConformancePackStatuses 授予为组织提供组织一致性包部署状态的权限 Read
DescribeOrganizationConformancePacks 授予返回组织一致性包列表的权限 List
DescribePendingAggregationRequests 授予返回所有待处理聚合请求列表的权限 List
DescribeRemediationConfigurations 授予返回一个或多个修复配置详细信息的权限 List

RemediationConfiguration*

DescribeRemediationExceptions 授予返回一个或多个修复异常详细信息的权限 List
DescribeRemediationExecutionStatus 授予提供一组资源的修复执行的详细视图(包括状态、时间戳以及失败步骤的任何错误消息)的权限 Read

RemediationConfiguration*

DescribeRetentionConfigurations 授予返回一个或多个保留配置详细信息的权限 列出
GetAggregateComplianceDetailsByConfigRule 授予权限以返回规则中特定资源的指定 Amazon Config 规则的评估结果 读取

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary 授予返回聚合器中一个或多个账户和区域的合规和不合规规则数的权限 Read

ConfigurationAggregator*

GetAggregateConformancePackComplianceSummary 授予返回聚合器中一个或多个账户和区域的合规和不合规一致性包数量的权限 读取

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts 授予返回 C Amazon onfig 聚合器中存在的跨账户和区域的资源计数的权限 读取

ConfigurationAggregator*

GetAggregateResourceConfig 授予返回在特定源账户和区域中为特定资源聚合的配置项的权限 读取

ConfigurationAggregator*

GetComplianceDetailsByConfigRule 授予返回指定 Amazon Config 规则的评估结果的权限 读取

ConfigRule*

GetComplianceDetailsByResource 授予返回指定 Amazon 资源的评估结果的权限 读取
GetComplianceSummaryByConfigRule 授予返回合规和不合规的 Amazon Config 规则数量的权限,每条规则最多 25 个 读取
GetComplianceSummaryByResourceType 授予返回合规和不合规的资源数量的权限 读取
GetConformancePackComplianceDetails 授予返回一致性包监控的所有 Amazon 资源的合规包合规性详细信息的权限 读取

ConformancePack*

GetConformancePackComplianceSummary 授予为一个或多个一致性包提供合规性摘要的权限 读取

ConformancePack*

GetCustomRulePolicy 授予返回包含 C Amazon onfig 自定义策略规则逻辑的策略定义的权限 读取

ConfigRule*

GetDiscoveredResourceCounts 授予返回资源类型、每种资源类型的数量以及 Amazon Config 在该区域为你记录的资源总数的权限 Amazon Web Services 账户 读取
GetOrganizationConfigRuleDetailedStatus 授予返回给定组织 Config 规则的组织内每个成员账户的详细状态的权限 Read

OrganizationConfigRule*

GetOrganizationConformancePackDetailedStatus 授予返回给定组织一致性包的组织内每个成员账户的详细状态的权限 读取

OrganizationConformancePack*

GetOrganizationCustomRulePolicy 授予返回包含组织逻辑的策略定义的权限 Amazon Config Custom Policy 规则规则 读取

OrganizationConfigRule*

GetResourceConfigHistory 授予返回指定资源的配置项目列表的权限 读取
GetResourceEvaluationSummary 授予返回特定资源评估 ID 的资源评估摘要的权限 读取
GetStoredQuery 授予返回特定存储查询详细信息的权限 Read

StoredQuery*

ListAggregateDiscoveredResources 授予接受资源类型,并返回在不同账户和区域中为特定资源类型聚合的资源标识符列表的权限 列出

ConfigurationAggregator*

ListConformancePackComplianceScores 授予权限以返回一致性包中合规规则-资源组合的百分比,该百分比与可能的规则-资源组合总数之比 列出
ListDiscoveredResources 授予接受资源类型,并返回该类型资源的资源标识符列表的权限 列出
ListResourceEvaluations 授予列出资源评估摘要 Amazon Web Services 账户 的权限 Amazon Web Services 区域 列出
ListStoredQueries 授予在中列出存储的查询 Amazon Web Services 账户 的权限 Amazon Web Services 区域 列出
ListTagsForResource 授予列出 Amazon Config 资源标签的权限 读取

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

OrganizationConfigRule

OrganizationConformancePack

StoredQuery

PutAggregationAuthorization 授予授权聚合器账户和区域从源账户和区域中收集数据的权限 写入

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule 授予添加或更新用于评估您的 Amazon 资源是否符合所需 Amazon 配置的 Config 规则的权限 写入

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator 授予使用所选源账户和区域创建和更新配置聚合器的权限 Write

ConfigurationAggregator*

iam:PassRole

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder 授予创建新配置记录器以记录所选资源配置的权限 Write
PutConformancePack 授予创建或更新一致性包的权限 Write

ConformancePack*

iam:CreateServiceLinkedRole

iam:PassRole

s3:GetObject

s3:ListBucket

ssm:GetDocument

PutDeliveryChannel 授予创建传输通道对象,以将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题的权限 写入
PutEvaluations 授予 Amazon Lambda 函数用于向 Config 提供评估结果的权限 Amazon 写入
PutExternalEvaluation 授予向 Amazon Config 传送评估结果的权限 写入

ConfigRule*

PutOrganizationConfigRule 授予为整个组织添加或更新组织配置规则的权限,以评估您的 Amazon 资源是否符合所需的配置 写入

OrganizationConfigRule*

iam:CreateServiceLinkedRole

iam:PassRole

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

PutOrganizationConformancePack 向整个组织授予添加或更新组织合规包的权限,以评估您的 Amazon 资源是否符合所需的配置 写入

OrganizationConformancePack*

iam:CreateServiceLinkedRole

iam:PassRole

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

s3:GetObject

PutRemediationConfigurations 授予使用具有所选目标或操作的特定 Amazon Config 规则添加或更新修正配置的权限 写入

RemediationConfiguration*

iam:PassRole

PutRemediationExceptions 授予为特定 Amazon Config 规则添加或更新特定资源的修正例外情况的权限 写入
PutResourceConfig 授予为请求中提供的资源记录配置状态的权限 写入
PutRetentionConfiguration 授予创建和更新保留配置的权限,其中包含有关 Amazon Config 存储您的历史信息的保留期(天数)的详细信息 写入
PutStoredQuery 授予保存新查询或更新现有已保存查询的权限 写入

StoredQuery*

aws:RequestTag/${TagKey}

aws:TagKeys

SelectAggregateResourceConfig 授予接受结构化查询语言 (SQL) SELECT 命令和聚合器的权限,以查询多个账户和地区的 Amazon 资源配置状态、执行相应的搜索并返回与属性匹配的资源配置 读取

ConfigurationAggregator*

SelectResourceConfig 授予权限,以接受结构化查询语言 (SQL) SELECT 命令,执行相应的搜索,然后返回与属性匹配的资源配置 Read
StartConfigRulesEvaluation 授予根据指定的 Config 规则评估资源的权限 写入

ConfigRule*

StartConfigurationRecorder 授予开始录制您已选择录制的 Amazon 资源的配置的权限 Amazon Web Services 账户 写入
StartRemediationExecution 授予针对上次已知的修复 Amazon 配置对指定的 Config 规则运行按需修复的权限 写入

iam:PassRole

StartResourceEvaluation 授予根据您账户中的 Amazon Config 规则评估您的资源详细信息的权限 写入

cloudformation:DescribeType

StopConfigurationRecorder 授予权限以停止录制您已选择录制到您的 Amazon 资源中的配置 Amazon Web Services 账户 写入
TagResource 授予使用指定 resourceArn 将指定标签关联到资源的权限 Tagging

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

OrganizationConfigRule

OrganizationConformancePack

StoredQuery

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予从资源中删除一个或多个标签的权限 Tagging

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

OrganizationConfigRule

OrganizationConformancePack

StoredQuery

aws:TagKeys

Amazon Config 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

ConformancePack arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}

aws:ResourceTag/${TagKey}

OrganizationConfigRule arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}

aws:ResourceTag/${TagKey}

OrganizationConformancePack arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}

aws:ResourceTag/${TagKey}

RemediationConfiguration arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
StoredQuery arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}

aws:ResourceTag/${TagKey}

Amazon Config 的条件键

Amazon Config 定义了以下可以在 IAM 策略Condition元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按每个标签的允许值集筛选访问 String
aws:ResourceTag/${TagKey} 按与资源关联的标签值筛选访问权限 String
aws:TagKeys 按请求中是否具有必需标签来筛选访问 ArrayOfString