AWS Config 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Config 的操作、资源和条件键

AWS Config(服务前缀:config)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Config 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
BatchGetAggregateResourceConfig 授予为 AWS Config 聚合器中包含的资源返回当前配置项的权限 Read

ConfigurationAggregator*

BatchGetResourceConfig 授予为一个或多个请求资源返回当前配置的权限 Read
DeleteAggregationAuthorization 授予在指定区域中删除向指定配置聚合器账户授予的授权的权限 写入

AggregationAuthorization*

DeleteConfigRule 授予删除指定 AWS Config 规则及其所有评估结果的权限 写入

ConfigRule*

DeleteConfigurationAggregator 授予删除指定的配置聚合器以及与聚合器关联的聚合数据的权限 写入

ConfigurationAggregator*

DeleteConfigurationRecorder 授予删除配置记录器的权限 写入
DeleteConformancePack 授予删除指定的一致性包和所有 AWS Config 规则以及该一致性包中的所有评估结果的权限 写入
DeleteDeliveryChannel 授予删除配送通道的权限 写入
DeleteEvaluationResults 授予删除指定 Config 规则的评估结果的权限 写入

ConfigRule*

DeleteOrganizationConfigRule 授予从该组织的所有成员账户中删除指定的组织 Config 规则及其所有评估结果的权限 写入
DeleteOrganizationConformancePack 授予从该组织的所有成员账户中删除指定的组织一致性包及其所有评估结果的权限 写入
DeletePendingAggregationRequest 授予在指定区域中删除指定聚合器账户的待处理授权请求的权限 写入
DeleteRemediationConfiguration 授予删除修复配置的权限 写入

RemediationConfiguration*

DeleteRemediationExceptions 授予为特定 AWS Config 规则的特定资源键删除一个或多个修复异常的权限 写入
DeleteResourceConfig 授予为已删除的自定义资源记录配置状态的权限 写入
DeleteRetentionConfiguration 授予删除保留配置的权限 写入
DeleteStoredQuery 授予在 AWS 区域中删除 AWS 账户的存储查询的权限 写入

StoredQuery*

DeliverConfigSnapshot 授予在指定的传输通道中计划将配置快照传输至 Amazon S3 存储桶的权限 Read
DescribeAggregateComplianceByConfigRules 授予返回合规和不合规规则列表,以及合规和不合规规则的资源数的权限 Read

ConfigurationAggregator*

DescribeAggregateComplianceByConformancePacks 授予返回合规和不合规一致性包列表以及每个一致性包中合规、不合规和总规则计数的权限 Read

ConfigurationAggregator*

DescribeAggregationAuthorizations 授予返回授予各种聚合器账户和区域的授权列表的权限 List
DescribeComplianceByConfigRule 授予指示指定的 AWS Config 规则是否合规的权限 Read

ConfigRule*

DescribeComplianceByResource 授予指示指定的 AWS 资源是否合规的权限 Read
DescribeConfigRuleEvaluationStatus 授予为每个 AWS 托管 Config 规则返回状态信息的权限 Read

ConfigRule*

DescribeConfigRules 授予返回有关 AWS Config 规则的详细信息的权限 List

ConfigRule*

DescribeConfigurationAggregatorSourcesStatus 授予返回聚合器中源状态信息的权限 Read

ConfigurationAggregator*

DescribeConfigurationAggregators 授予返回一个或多个配置聚合器详细信息的权限 List
DescribeConfigurationRecorderStatus 授予返回指定配置记录器的当前状态的权限 Read
DescribeConfigurationRecorders 授予返回一个或多个指定配置记录器名称的权限 List
DescribeConformancePackCompliance 授予返回该一致性包中每个规则的合规性信息的权限 Read
DescribeConformancePackStatus 授予提供一个或多个一致性包部署状态的权限 Read
DescribeConformancePacks 授予返回一个或多个一致性包的列表的权限 List
DescribeDeliveryChannelStatus 授予返回指定传输通道的当前状态的权限 Read
DescribeDeliveryChannels 授予返回有关指定传输通道的详细信息的权限 List
DescribeOrganizationConfigRuleStatuses 授予为组织提供组织 Config 规则部署状态的权限 Read
DescribeOrganizationConfigRules 授予返回组织 Config 规则列表的权限 List
DescribeOrganizationConformancePackStatuses 授予为组织提供组织一致性包部署状态的权限 Read
DescribeOrganizationConformancePacks 授予返回组织一致性包列表的权限 List
DescribePendingAggregationRequests 授予返回所有待处理聚合请求列表的权限 List
DescribeRemediationConfigurations 授予返回一个或多个修复配置详细信息的权限 List

RemediationConfiguration*

DescribeRemediationExceptions 授予返回一个或多个修复异常详细信息的权限 List
DescribeRemediationExecutionStatus 授予提供一组资源的修复执行的详细视图(包括状态、时间戳以及失败步骤的任何错误消息)的权限 Read

RemediationConfiguration*

DescribeRetentionConfigurations 授予返回一个或多个保留配置详细信息的权限 List
GetAggregateComplianceDetailsByConfigRule 授予为规则中的特定资源的特定 AWS Config 规则返回评估结果的权限 Read

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary 授予返回聚合器中一个或多个账户和区域的合规和不合规规则数的权限 Read

ConfigurationAggregator*

GetAggregateConformancePackComplianceSummary 授予返回聚合器中一个或多个账户和区域的合规和不合规一致性包数量的权限 Read

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts 授予返回 AWS Config 聚合器中包含的各个账户和区域中的资源数的权限 Read

ConfigurationAggregator*

GetAggregateResourceConfig 授予返回在特定源账户和区域中为特定资源聚合的配置项的权限 Read

ConfigurationAggregator*

GetComplianceDetailsByConfigRule 授予返回指定 AWS Config 规则的评估结果的权限 Read

ConfigRule*

GetComplianceDetailsByResource 授予返回指定 AWS 资源的评估结果的权限 Read
GetComplianceSummaryByConfigRule 授予返回合规和不合规的 AWS Config 规则数量(每种的上限为 25 条)的权限 Read
GetComplianceSummaryByResourceType 授予返回合规和不合规的资源数量的权限 Read
GetConformancePackComplianceDetails 授予返回由一致性包监控的所有 AWS 资源的一致性包合规性详细信息的权限 Read
GetConformancePackComplianceSummary 授予为一个或多个一致性包提供合规性摘要的权限 Read
GetDiscoveredResourceCounts 授予返回 AWS Config 在该区域中为您的 AWS 账户记录的资源类型、每种类型的资源数以及总资源数的权限 Read
GetOrganizationConfigRuleDetailedStatus 授予返回给定组织 Config 规则的组织内每个成员账户的详细状态的权限 Read
GetOrganizationConformancePackDetailedStatus 授予返回给定组织一致性包的组织内每个成员账户的详细状态的权限 Read
GetResourceConfigHistory 授予返回指定资源的配置项目列表的权限 Read
GetStoredQuery 授予返回特定存储查询详细信息的权限 Read

StoredQuery*

ListAggregateDiscoveredResources 授予接受资源类型,并返回在不同账户和区域中为特定资源类型聚合的资源标识符列表的权限 List

ConfigurationAggregator*

ListDiscoveredResources 授予接受资源类型,并返回该类型资源的资源标识符列表的权限 List
ListStoredQueries 授予列出 AWS 区域中 AWS 账户的存储查询的权限 List

StoredQuery*

ListTagsForResource 授予列出 AWS Config 资源标签的权限 Read

AggregationAuthorization

ConfigRule

ConfigurationAggregator

PutAggregationAuthorization 授予授权聚合器账户和区域从源账户和区域中收集数据的权限 写入

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule 授予添加或更新一条 AWS Config 规则,以评估您的 AWS 资源是否符合所需配置的权限 写入

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator 授予使用所选源账户和区域创建和更新配置聚合器的权限 写入

ConfigurationAggregator*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder 授予创建新配置记录器以记录所选资源配置的权限 写入
PutConformancePack 授予创建或更新一致性包的权限 写入
PutDeliveryChannel 授予创建传输通道对象,以将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题的权限 写入
PutEvaluations 授予 AWS Lambda 函数用于将评估结果传输到 AWS Config 的权限 写入
PutExternalEvaluation 授予向 AWS Config 传输评估结果的权限 写入
PutOrganizationConfigRule 授予为整个组织评估添加或更新组织 Config 规则,以评估您的 AWS 资源是否符合所需配置的权限 写入
PutOrganizationConformancePack 授予为整个组织评估添加或更新组织一致性包,以评估您的 AWS 资源是否符合所需配置的权限 写入
PutRemediationConfigurations 授予使用具有选定目标或操作的特定 AWS Config 规则,来添加或更新修复配置的权限 写入

RemediationConfiguration*

iam:PassRole

PutRemediationExceptions 授予为特定 AWS Config 规则添加或更新特定资源的修复异常的权限 写入
PutResourceConfig 授予为请求中提供的资源记录配置状态的权限 写入
PutRetentionConfiguration 授予权限,以使用有关 AWS Config 存储历史信息的保留期(天数)的详细信息来创建和更新保留配置 写入
PutStoredQuery 授予保存新查询或更新现有已保存查询的权限 写入

StoredQuery*

SelectAggregateResourceConfig 授予权限,以接受结构化查询语言 (SQL) SELECT 命令和聚合器,以跨多个账户和区域查询 AWS 资源的配置状态,执行相应的搜索,并返回与属性匹配的资源配置 Read
SelectResourceConfig 授予权限,以接受结构化查询语言 (SQL) SELECT 命令,执行相应的搜索,然后返回与属性匹配的资源配置 Read
StartConfigRulesEvaluation 授予根据指定的 Config 规则评估资源的权限 写入

ConfigRule*

StartConfigurationRecorder 授予开始记录 AWS 资源(您已选择在 AWS 账户中记录这些资源)配置的权限 写入
StartRemediationExecution 授予针对上次已知的修复配置,为指定的 AWS Config 规则运行按需修复的权限 写入

RemediationConfiguration*

iam:PassRole

StopConfigurationRecorder 授予停止记录 AWS 资源(您已选择在 AWS 账户中记录这些资源)配置的权限 写入
TagResource 授予使用指定 resourceArn 将指定标签关联到资源的权限 标记

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予从资源中删除一个或多个标签的权限 标记

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:TagKeys

AWS Config 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

ConformancePack arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}

aws:ResourceTag/${TagKey}

OrganizationConfigRule arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
OrganizationConformancePack arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
RemediationConfiguration arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
StoredQuery arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}

AWS Config 的条件键

AWS Config 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据每个标签的允许值集筛选操作 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签值筛选操作 字符串
aws:TagKeys 根据在请求中是否具有必需标签以筛选操作 字符串