Amazon Config 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config 的操作、资源和条件键

Amazon Config(服务前缀:config)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Config 定义的操作

您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
BatchGetAggregateResourceConfig 授予为 Amazon Config 聚合器中包含的资源返回当前配置项的权限 Read

ConfigurationAggregator*

BatchGetResourceConfig 授予为一个或多个请求资源返回当前配置的权限 Read
DeleteAggregationAuthorization 授予在指定区域中删除向指定配置聚合器账户授予的授权的权限 Write

AggregationAuthorization*

DeleteConfigRule 授予删除指定 Amazon Config 规则及其所有评估结果的权限 Write

ConfigRule*

DeleteConfigurationAggregator 授予删除指定的配置聚合器以及与聚合器关联的聚合数据的权限 Write

ConfigurationAggregator*

DeleteConfigurationRecorder 授予删除配置记录器的权限 Write
DeleteConformancePack 授予删除指定的一致性包和所有 Amazon Config 规则以及该一致性包中的所有评估结果的权限 Write

ConformancePack*

DeleteDeliveryChannel 授予删除配送通道的权限 Write
DeleteEvaluationResults 授予删除指定 Config 规则的评估结果的权限 Write

ConfigRule*

DeleteOrganizationConfigRule 授予从该组织的所有成员账户中删除指定的组织 Config 规则及其所有评估结果的权限 Write

OrganizationConfigRule*

DeleteOrganizationConformancePack 授予从该组织的所有成员账户中删除指定的组织一致性包及其所有评估结果的权限 Write

OrganizationConformancePack*

DeletePendingAggregationRequest 授予在指定区域中删除指定聚合器账户的待处理授权请求的权限 Write
DeleteRemediationConfiguration 授予删除修复配置的权限 Write

RemediationConfiguration*

DeleteRemediationExceptions 授予为特定 Amazon Config 规则的特定资源键删除一个或多个修复异常的权限 Write
DeleteResourceConfig 授予为已删除的自定义资源记录配置状态的权限 Write
DeleteRetentionConfiguration 授予删除保留配置的权限 Write
DeleteStoredQuery 授予在 Amazon Web Services 区域 中删除 Amazon Web Services 账户 的存储查询的权限 Write

StoredQuery*

DeliverConfigSnapshot 授予在指定的传输通道中计划将配置快照传输至 Amazon S3 存储桶的权限 Read
DescribeAggregateComplianceByConfigRules 授予返回合规和不合规规则列表,以及合规和不合规规则的资源数的权限 Read

ConfigurationAggregator*

DescribeAggregateComplianceByConformancePacks 授予返回合规和不合规一致性包列表以及每个一致性包中合规、不合规和总规则计数的权限 Read

ConfigurationAggregator*

DescribeAggregationAuthorizations 授予返回授予各种聚合器账户和区域的授权列表的权限 List
DescribeComplianceByConfigRule 授予指示指定的 Amazon Config 规则是否合规的权限 Read
DescribeComplianceByResource 授予指示指定的Amazon资源是否合规的权限 Read
DescribeConfigRuleEvaluationStatus 授予为每个Amazon托管 Config 规则返回状态信息的权限 Read
DescribeConfigRules 授予返回有关 Amazon Config 规则的详细信息的权限 List
DescribeConfigurationAggregatorSourcesStatus 授予返回聚合器中源状态信息的权限 Read

ConfigurationAggregator*

DescribeConfigurationAggregators 授予返回一个或多个配置聚合器详细信息的权限 List
DescribeConfigurationRecorderStatus 授予返回指定配置记录器的当前状态的权限 Read
DescribeConfigurationRecorders 授予返回一个或多个指定配置记录器名称的权限 List
DescribeConformancePackCompliance 授予返回该一致性包中每个规则的合规性信息的权限 Read

ConformancePack*

DescribeConformancePackStatus 授予提供一个或多个一致性包部署状态的权限 Read
DescribeConformancePacks 授予返回一个或多个一致性包的列表的权限 List
DescribeDeliveryChannelStatus 授予返回指定传输通道的当前状态的权限 Read
DescribeDeliveryChannels 授予返回有关指定传输通道的详细信息的权限 List
DescribeOrganizationConfigRuleStatuses 授予为组织提供组织 Config 规则部署状态的权限 Read
DescribeOrganizationConfigRules 授予返回组织 Config 规则列表的权限 List
DescribeOrganizationConformancePackStatuses 授予为组织提供组织一致性包部署状态的权限 Read
DescribeOrganizationConformancePacks 授予返回组织一致性包列表的权限 List
DescribePendingAggregationRequests 授予返回所有待处理聚合请求列表的权限 List
DescribeRemediationConfigurations 授予返回一个或多个修复配置详细信息的权限 List

RemediationConfiguration*

DescribeRemediationExceptions 授予返回一个或多个修复异常详细信息的权限 List
DescribeRemediationExecutionStatus 授予提供一组资源的修复执行的详细视图(包括状态、时间戳以及失败步骤的任何错误消息)的权限 Read

RemediationConfiguration*

DescribeRetentionConfigurations 授予返回一个或多个保留配置详细信息的权限 List
GetAggregateComplianceDetailsByConfigRule 授予为规则中的特定资源的特定 Amazon Config 规则返回评估结果的权限 Read

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary 授予返回聚合器中一个或多个账户和区域的合规和不合规规则数的权限 Read

ConfigurationAggregator*

GetAggregateConformancePackComplianceSummary 授予返回聚合器中一个或多个账户和区域的合规和不合规一致性包数量的权限 Read

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts 授予返回 Amazon Config 聚合器中包含的各个账户和区域中的资源数的权限 Read

ConfigurationAggregator*

GetAggregateResourceConfig 授予返回在特定源账户和区域中为特定资源聚合的配置项的权限 Read

ConfigurationAggregator*

GetComplianceDetailsByConfigRule 授予返回指定 Amazon Config 规则的评估结果的权限 Read

ConfigRule*

GetComplianceDetailsByResource 授予返回指定Amazon资源的评估结果的权限 Read
GetComplianceSummaryByConfigRule 授予返回合规和不合规的 Amazon Config 规则数量(每种的上限为 25 条)的权限 Read
GetComplianceSummaryByResourceType 授予返回合规和不合规的资源数量的权限 Read
GetConformancePackComplianceDetails 授予返回由一致性包监控的所有Amazon资源的一致性包合规性详细信息的权限 Read

ConformancePack*

GetConformancePackComplianceSummary 授予为一个或多个一致性包提供合规性摘要的权限 Read

ConformancePack*

GetCustomRulePolicy 授予权限以返回包含 Amazon 配置自定义策略规则逻辑的策略定义 Read

ConfigRule*

GetDiscoveredResourceCounts 授予返回 Amazon Config 在该区域中为您的 Amazon Web Services 账户 记录的资源类型、每种资源类型的数量以及总资源数的权限 Read
GetOrganizationConfigRuleDetailedStatus 授予返回给定组织 Config 规则的组织内每个成员账户的详细状态的权限 Read

OrganizationConfigRule*

GetOrganizationConformancePackDetailedStatus 授予返回给定组织一致性包的组织内每个成员账户的详细状态的权限 Read

OrganizationConformancePack*

GetOrganizationCustomRulePolicy 授予权限以返回包含组织 Amazon 配置自定义策略规则逻辑的策略定义 Read

OrganizationConfigRule*

GetResourceConfigHistory 授予返回指定资源的配置项目列表的权限 Read
GetResourceEvaluationSummary 授予返回特定资源评估 ID 的资源评估摘要的权限 Read
GetStoredQuery 授予返回特定存储查询详细信息的权限 Read

StoredQuery*

ListAggregateDiscoveredResources 授予接受资源类型,并返回在不同账户和区域中为特定资源类型聚合的资源标识符列表的权限 List

ConfigurationAggregator*

ListConformancePackComplianceScores 授予权限以返回一致性包中合规规则-资源组合的百分比,该百分比与可能的规则-资源组合总数之比 List
ListDiscoveredResources 授予接受资源类型,并返回该类型资源的资源标识符列表的权限 List
ListResourceEvaluations 授予为Amazon Web Services 区域中的Amazon Web Services 账户列出资源评估摘要的权限 List
ListStoredQueries 授予列出 Amazon Web Services 区域 中 Amazon Web Services 账户 的存储查询的权限 List
ListTagsForResource 授予列出 Amazon Config 资源标签的权限 Read

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

OrganizationConfigRule

OrganizationConformancePack

StoredQuery

PutAggregationAuthorization 授予授权聚合器账户和区域从源账户和区域中收集数据的权限 Write

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule 授予添加或更新一条 Amazon Config 规则,以评估您的Amazon资源是否符合所需配置的权限 Write

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator 授予使用所选源账户和区域创建和更新配置聚合器的权限 Write

ConfigurationAggregator*

iam:PassRole

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder 授予创建新配置记录器以记录所选资源配置的权限 Write
PutConformancePack 授予创建或更新一致性包的权限 Write

ConformancePack*

iam:CreateServiceLinkedRole

iam:PassRole

s3:GetObject

s3:ListBucket

ssm:GetDocument

PutDeliveryChannel 授予创建传输通道对象,以将配置信息传输到 Amazon S3 存储桶和 Amazon SNS 主题的权限 Write
PutEvaluations 授予 Amazon Lambda 函数用于将评估结果传输到 Amazon Config 的权限 Write
PutExternalEvaluation 授予向 Amazon Config 传输评估结果的权限 Write

ConfigRule*

PutOrganizationConfigRule 授予为整个组织评估添加或更新组织 Config 规则,以评估您的Amazon资源是否符合所需配置的权限 Write

OrganizationConfigRule*

iam:CreateServiceLinkedRole

iam:PassRole

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

PutOrganizationConformancePack 授予为整个组织评估添加或更新组织一致性包,以评估您的Amazon资源是否符合所需配置的权限 Write

OrganizationConformancePack*

iam:CreateServiceLinkedRole

iam:PassRole

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

s3:GetObject

PutRemediationConfigurations 授予使用具有选定目标或操作的特定 Amazon Config 规则,来添加或更新修复配置的权限 Write

RemediationConfiguration*

iam:PassRole

PutRemediationExceptions 授予为特定 Amazon Config 规则添加或更新特定资源的修复异常的权限 Write
PutResourceConfig 授予为请求中提供的资源记录配置状态的权限 Write
PutRetentionConfiguration 授予权限,以使用有关 Amazon Config 存储历史信息的保留期(天数)的详细信息来创建和更新保留配置 Write
PutStoredQuery 授予保存新查询或更新现有已保存查询的权限 Write

StoredQuery*

aws:RequestTag/${TagKey}

aws:TagKeys

SelectAggregateResourceConfig 授予权限,以接受结构化查询语言 (SQL) SELECT 命令和聚合器,以跨多个账户和区域查询Amazon资源的配置状态,执行相应的搜索,并返回与属性匹配的资源配置 Read

ConfigurationAggregator*

SelectResourceConfig 授予权限,以接受结构化查询语言 (SQL) SELECT 命令,执行相应的搜索,然后返回与属性匹配的资源配置 Read
StartConfigRulesEvaluation 授予根据指定的 Config 规则评估资源的权限 Write

ConfigRule*

StartConfigurationRecorder 授予权限以开始记录 Amazon 资源(您已选择在 Amazon Web Services 账户 中记录这些资源)配置 Write
StartRemediationExecution 授予针对上次已知的修复配置,为指定的 Amazon Config 规则运行按需修复的权限 Write

iam:PassRole

StartResourceEvaluation 授予根据账户中的 Amazon Config 规则评估资源详细信息的权限 Write

cloudformation:DescribeType

StopConfigurationRecorder 授予权限以停止记录 Amazon 资源(您已选择在 Amazon Web Services 账户 中记录这些资源)配置 Write
TagResource 授予使用指定 resourceArn 将指定标签关联到资源的权限 Tagging

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

OrganizationConfigRule

OrganizationConformancePack

StoredQuery

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予从资源中删除一个或多个标签的权限 Tagging

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

OrganizationConfigRule

OrganizationConformancePack

StoredQuery

aws:TagKeys

Amazon Config 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

ConformancePack arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}

aws:ResourceTag/${TagKey}

OrganizationConfigRule arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}

aws:ResourceTag/${TagKey}

OrganizationConformancePack arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}

aws:ResourceTag/${TagKey}

RemediationConfiguration arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
StoredQuery arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}

aws:ResourceTag/${TagKey}

Amazon Config 的条件键

Amazon Config 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按每个标签的允许值集筛选访问 字符串
aws:ResourceTag/${TagKey} 按与资源关联的标签值筛选访问权限 字符串
aws:TagKeys 按请求中是否具有必需标签来筛选访问 字符串数组