Beispiele für identitätsbasierte Richtlinien für AWS Config

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Config -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Config, einschließlich des Formats der ARNs für jeden der Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Config in der Service Authorization Reference.

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand AWS Config Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

• Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.

• Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.

• Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.

• Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung zum IAM Access Analyzer im IAM-Benutzerhandbuch.

• Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Melden Sie sich an für ein AWS-Konto

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

Um sich für eine anzumelden AWS-Konto

1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

2. Folgen Sie den Online-Anweisungen.

   Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.

   Wenn Sie sich für eine anmelden AWS-Konto, Root-Benutzer des AWS-Kontoswird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Aus Sicherheitsgründen sollten Sie einem Benutzer Administratorzugriff zuweisen und nur den Root-Benutzer verwenden, um Aufgaben auszuführen, für die Root-Benutzerzugriff erforderlich ist.

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf Mein Konto.

Erstellen Sie einen Benutzer mit Administratorzugriff

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

Sichern Sie Ihre Root-Benutzer des AWS-Kontos

1. Melden Sie sich AWS Management Consoleals Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.

2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

   Anweisungen finden Sie unter Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole) im IAM-Benutzerhandbuch.

Erstellen Sie einen Benutzer mit Administratorzugriff

1. Aktivieren Sie das IAM Identity Center.

   Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

2. Gewähren Sie einem Benutzer in IAM Identity Center Administratorzugriff.

   Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Benutzerzugriff mit der Standardeinstellung konfigurieren IAM-Identity-Center-Verzeichnis im AWS IAM Identity Center Benutzerhandbuch.

Melden Sie sich als Benutzer mit Administratorzugriff an

• Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

  Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie im AWS-Anmeldung Benutzerhandbuch unter Anmeldung beim AWS Zugriffsportal.

Weisen Sie weiteren Benutzern Zugriff zu

1. Erstellen Sie in IAM Identity Center einen Berechtigungssatz, der der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten folgt.

   Anweisungen finden Sie im Benutzerhandbuch unter Einen Berechtigungssatz erstellen.AWS IAM Identity Center

2. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

   Anweisungen finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Gruppen hinzufügen.

Verwenden der AWS Config -Konsole

Um auf die AWS Config Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Config Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die AWS Config Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Config AWSConfigUserAccess AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.

Sie müssen Benutzern Berechtigungen für die Interaktion mit ihnen erteilen AWS Config. Verwenden Sie für Benutzer, die vollen Zugriff auf benötigen AWS Config, die Richtlinie Vollzugriff auf AWS Config verwaltet.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

• Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.

• Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.

• IAM-Benutzer:

  • Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.

  • (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Nur-Lese-Zugriff auf AWS Config

Das folgende Beispiel zeigt eine AWS verwaltete Richtlinie, AWSConfigUserAccess die nur Lesezugriff auf gewährt. AWS Config

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "config:Get*",
        "config:Describe*",
        "config:Deliver*",
        "config:List*",
        "config:Select*",
        "tag:GetResources",
        "tag:GetTagKeys",
        "cloudtrail:DescribeTrails",
        "cloudtrail:GetTrailStatus",
        "cloudtrail:LookupEvents"
      ],
      "Resource": "*"
    }
  ]
}

In den Richtlinienanweisungen gibt das Element Effect an, ob die Aktionen zugelassen oder verweigert werden. Das Element Action listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das Element Resource listet die AWS -Ressourcen auf, für die der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf AWS Config Aktionen steuern, ist das Resource Element immer auf gesetzt*, ein Platzhalter, der „alle Ressourcen“ bedeutet.

Die Werte im Element Action entsprechen den APIs, die von den Services unterstützt werden. Den Aktionen wird config: vorangestellt. Damit wird angegeben, dass sie sich auf AWS Config -Aktionen beziehen. Sie können das Platzhalterzeichen * im Element Action beispielsweise wie folgt verwenden:

• "Action": ["config:*ConfigurationRecorder"]

  Dies ermöglicht alle AWS Config Aktionen, die mit "ConfigurationRecorder" (StartConfigurationRecorder,StopConfigurationRecorder) enden.

• "Action": ["config:*"]

  Dies erlaubt alle AWS Config Aktionen, aber keine Aktionen für andere AWS Dienste.

• "Action": ["*"]

  Dies ermöglicht alle AWS Aktionen. Diese Berechtigung ist für einen Benutzer geeignet, der als AWS Administrator für Ihr Konto fungiert.

Die Richtlinie für den schreibgeschützten Zugriff erteilt Benutzern keine Berechtigung für die Aktionen (z. B. StartConfigurationRecorder, StopConfigurationRecorder und DeleteConfigurationRecorder). Benutzer mit dieser Richtlinie dürfen den Configuration Recorder weder starten noch beenden oder löschen. Eine Liste der AWS Config Aktionen finden Sie in der AWS Config API-Referenz.

Voller Zugriff auf AWS Config

Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt AWS Config. Sie gewährt Benutzern die Berechtigung, alle AWS Config Aktionen auszuführen. Darüber hinaus können Benutzer Dateien in Amazon-S3-Buckets verwalten und Amazon-SNS-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.

Wichtig

Diese Richtlinie gewährt umfassende Berechtigungen. Bevor Sie Vollzugriff gewähren, sollten Sie gegebenenfalls mit einem Mindestsatz von Berechtigungen beginnen und zusätzliche Berechtigungen nach Bedarf gewähren. Diese Methode ist besser, als anfangs zu weit gefasste Berechtigungen zu gewähren und dann später zu versuchen, sie zu begrenzen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:AddPermission",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:GetTopicAttributes",
                "sns:ListPlatformApplications",
                "sns:ListTopics",
                "sns:SetTopicAttributes"
            ],
            "Resource": "*"   
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketNotification",
                "s3:GetBucketPolicy",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketVersioning",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions",
                "s3:PutBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:PutRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreatePolicy",
                "iam:CreatePolicyVersion",
                "iam:DeletePolicyVersion",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "config.amazonaws.com",
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "config:*",
                "tag:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListDocuments",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
        
    ]
}

Unterstützte Berechtigungen auf Ressourcenebene für AWS Config Regel-API-Aktionen

Berechtigungen auf Ressourcenebene beziehen sich auf die Fähigkeit, anzugeben, auf welchen Ressourcen Benutzer Aktionen ausführen dürfen. AWS Config unterstützt Berechtigungen auf Ressourcenebene für bestimmte AWS Config Regel-API-Aktionen. Das bedeutet, dass Sie für bestimmte AWS Config Regelaktionen die Bedingungen steuern können, unter denen Benutzer diese Aktionen verwenden dürfen. Diese Bedingungen können Aktionen sein, die erfüllt sein müssen, oder bestimmte Ressourcen, die von den Benutzern verwendet werden dürfen.

In der folgenden Tabelle werden die AWS Config Regel-API-Aktionen beschrieben, die derzeit Berechtigungen auf Ressourcenebene unterstützen. Sie enthält außerdem die unterstützten Ressourcen und ihre ARNs für jede Aktion. Wenn Sie einen ARN angeben, können Sie den Platzhalter * in Ihren Pfaden verwenden, beispielsweise wenn Sie keine genauen Ressourcen-IDs angeben können oder möchten.

Wichtig

Wenn eine AWS Config Regel-API-Aktion in dieser Tabelle nicht aufgeführt ist, unterstützt sie keine Berechtigungen auf Ressourcenebene. Wenn eine AWS Config Regelaktion keine Berechtigungen auf Ressourcenebene unterstützt, können Sie Benutzern Berechtigungen zur Verwendung der Aktion gewähren. Sie müssen jedoch für das Ressourcenelement Ihrer Richtlinienerklärung ein Sternchen angeben.

API-Aktion	Ressourcen
DeleteConfigRegel	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
DeleteEvaluationErgebnisse	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
DescribeComplianceByConfigRegel	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
DescribeConfigRuleEvaluationStatus	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
GetComplianceDetailsByConfigRule	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
PutConfigRegel	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
StartConfigRulesEvaluation	Konfigurationsregel arn:aws:config:region:accountID:config-rule/config-rule-ID
PutRemediationKonfigurationen	Korrekturkonfiguration arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id
DescribeRemediationKonfigurationen	Korrekturkonfiguration arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id
DeleteRemediationKonfiguration	Korrekturkonfiguration arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id
PutRemediationAusnahmen	Korrekturkonfiguration arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id
DescribeRemediationAusnahmen	Korrekturkonfiguration arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id
DeleteRemediationAusnahmen	Korrekturkonfiguration arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

Angenommen, Sie möchten bestimmten Benutzern den Lesezugriff auf bestimmte Regeln erteilen und den Schreibzugriff verweigern.

In der ersten Richtlinie erlauben Sie der AWS Config Regel Leseaktionen, z. B. DescribeConfigRuleEvaluationStatus für die angegebenen Regeln.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "config:StartConfigRulesEvaluation",
                    "config:DescribeComplianceByConfigRule",
                    "config:DescribeConfigRuleEvaluationStatus",
                    "config:GetComplianceDetailsByConfigRule"
                ],
                "Resource": [
                    "arn:aws:config:region:accountID:config-rule/config-rule-ID",
                    "arn:aws:config:region:accountID:config-rule/config-rule-ID"
                ]
            }
        ]
    }

In der zweiten Richtlinie verweigern Sie den AWS Config Regelschreibaktionen für die jeweilige Regel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:DeleteEvaluationResults"
               ],
            "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID"
           }
      ]
   }

Mit Berechtigungen auf Ressourcenebene können Sie Lesezugriff gewähren und Schreibzugriff verweigern, um bestimmte Aktionen für AWS Config Regel-API-Aktionen auszuführen.

Unterstützte Berechtigungen auf Ressourcenebene für konten- und regionsübergreifende Datenaggregationen

Mit Berechtigungen auf Ressourcenebene können Sie steuern, welche spezifischen Aktionen die Benutzer für die Datenaggregation für mehrere Konten und Regionen ausführen dürfen. Die folgenden AWS Config Aggregator APIs unterstützen Berechtigungen auf Ressourcenebene:

• BatchGetAggregateResourceConfig

• DeleteConfigurationAggregator

• DescribeAggregateComplianceByConfigRules

• DescribeAggregateComplianceByConformancePacks

• DescribeConfigurationAggregatorSourcesStatus

• GetAggregateComplianceDetailsByConfigRegel

• GetAggregateConfigRuleComplianceSummary

• GetAggregateConformancePackComplianceSummary

• GetAggregateDiscoveredResourceZählt

• GetAggregateResourceConfig

• ListAggregateDiscoveredResources

• PutConfigurationAggregator

• SelectAggregateResourceConfig

Sie können beispielsweise den Zugriff bestimmter Benutzer auf Ressourcendaten einschränken, indem Sie zwei Aggregatoren erstellen, AccessibleAggregator und InAccessibleAggregator, und eine IAM-Richtlinie anhängen, die den Zugriff auf AccessibleAggregator ermöglicht und auf InAccessibleAggregator verweigert.

IAM-Richtlinie für AccessibleAggregator

In dieser Richtlinie gewähren Sie Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -Amazon-Ressourcennamen (ARN). In diesem Beispiel ist der AWS Config ARNarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigAllow",
            "Effect": "Allow",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs"
        }
    ]
}

IAM-Richtlinie für InAccessibleAggregator

In dieser Richtlinie verweigern Sie den Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config ARN. In diesem Beispiel ist der AWS Config ARNarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigDeny",
            "Effect": "Deny",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx"
        }
    ]
}

Wenn ein Benutzer der Entwicklergruppe versucht, eine dieser Aktionen mit dem von Ihnen angegebenen AWS Config ARN auszuführen, erhält dieser Benutzer die Ausnahme „Zugriff verweigert“.

Prüfen von Benutzerzugriffsberechtigungen

Führen Sie den folgenden AWS CLI Befehl aus, um die von Ihnen erstellten Aggregatoren anzuzeigen:

aws configservice describe-configuration-aggregators

Wenn der Befehl erfolgreich abgeschlossen wurde, können Sie die Details aller Aggregatoren sehen, die mit Ihrem Konto verknüpft sind. In diesem Beispiel sind das AccessibleAggregator und InAccessibleAggregator:

{
    "ConfigurationAggregators": [
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "AccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        },
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "InAccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        }
    ]
}

Anmerkung

Geben Sie für account-aggregation-sources eine durch Kommas getrennte Liste der AWS -Konto-IDs ein, für die Daten aggregiert werden sollen. Setzen Sie die Konto-IDs in eckige Klammern und achten Sie darauf, Anführungszeichen mit einem Escape-Zeichen zu versehen (z. B. "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

Fügen Sie die folgende IAM-Richtlinie an, um Zugriff auf InAccessibleAggregator oder den gewünschten Aggregator zu verweigern.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigDeny",
            "Effect": "Deny",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx"
        }
    ]
}

Als Nächstes können Sie bestätigen, dass mit der IAM-Richtlinie der Zugriff auf bestimmte Regeln für einen bestimmten Aggregator eingeschränkt werden kann:

aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion

Der Befehl sollte eine Ausnahme des Typs „Zugriff verweigert“ zurückgeben:

An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not 
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx