Acciones, recursos y claves de condición de AWS Config - AWS Identity and Access Management

Acciones, recursos y claves de condición de AWS Config

AWS Config (prefijo de servicio: config) proporciona las claves de contexto de condición, acciones y recursos específicos del servicio siguientes para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Config

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
BatchGetAggregateResourceConfig Devuelve los elementos de la configuración actual para los recursos que están presentes en su agregador de AWS Config Lectura

ConfigurationAggregator*

BatchGetResourceConfig Devuelve la configuración actual de uno o varios recursos solicitados Lectura
DeleteAggregationAuthorization Elimina la autorización concedida a la cuenta de agregador de configuración especificada en una región determinada Escritura

AggregationAuthorization*

DeleteConfigRule Elimina la regla de AWS Config especificada y todos sus resultados de evaluación Escritura

ConfigRule*

DeleteConfigurationAggregator Elimina el agregador de configuración especificado y los datos agregados asociados al agregador Escritura

ConfigurationAggregator*

DeleteConfigurationRecorder Elimina el registro de configuración Escritura
DeleteConformancePack Elimina el paquete de conformidad especificado y todas las reglas de AWS Config y todos los resultados de evaluación de dicho paquete de conformidad. Escritura
DeleteDeliveryChannel Elimina el canal de entrega Escritura
DeleteEvaluationResults Elimina los resultados de evaluación de la regla de Config especificada. Escritura

ConfigRule*

DeleteOrganizationConfigRule Elimina la regla de configuración de organización especificada y todos los resultados de evaluación de todas las cuentas de miembro de esa organización. Escritura
DeleteOrganizationConformancePack Elimina el paquete de conformidad de la organización especificado y todos los resultados de evaluación de todas las cuentas de miembro de esa organización. Escritura
DeletePendingAggregationRequest Elimina las solicitudes de autorización pendientes de una cuenta de agregador especificada en una región determinada Escritura
DeleteRemediationConfiguration Elimina la configuración de corrección Escritura

RemediationConfiguration*

DeleteRemediationExceptions Elimina una o varias excepciones de corrección para claves de recursos específicas para una regla de AWS Config determinada. Escritura
DeleteRetentionConfiguration Elimina la configuración de retención Escritura
DeliverConfigSnapshot Programa la entrega de una instantánea de configuración al bucket de Amazon S3 en el canal de entrega especificado Lectura
DescribeAggregateComplianceByConfigRules Devuelve una lista de reglas conformes y no conformes con el número de recursos para las reglas conformes y no conformes List

ConfigurationAggregator*

DescribeAggregationAuthorizations Devuelve una lista de las autorizaciones concedidas a diversas regiones y cuentas de agregador List
DescribeComplianceByConfigRule Indica la conformidad de las reglas de AWS Config especificadas List

ConfigRule*

DescribeComplianceByResource Indica la conformidad de los recursos de AWS especificados List
DescribeConfigRuleEvaluationStatus Devuelve información de estado sobre cada una de las reglas de AWS Config administrada List

ConfigRule*

DescribeConfigRules Devuelve información acerca de las reglas de AWS Config List

ConfigRule*

DescribeConfigurationAggregatorSourcesStatus Devuelve información de estado de fuentes dentro de un agregador List

ConfigurationAggregator*

DescribeConfigurationAggregators Devuelve los detalles de uno o varios agregadores de configuración List
DescribeConfigurationRecorderStatus Devuelve el estado actual del registro de configuración especificado List
DescribeConfigurationRecorders Devuelve el nombre de uno o varios registros de configuración especificados List
DescribeConformancePackCompliance Devuelve información de conformidad para cada regla de ese paquete de conformidad. Lectura
DescribeConformancePackStatus Proporciona uno o más estados de implementación de paquetes de conformidad. Lectura
DescribeConformancePacks Devuelve una lista de uno o más paquetes de conformidad. Lectura
DescribeDeliveryChannelStatus Devuelve el estado actual del registro del canal de entrega List
DescribeDeliveryChannels Devuelve detalles sobre el canal de entrega especificado List
DescribeOrganizationConfigRuleStatuses Proporciona el estado de implementación de reglas de configuración de una organización. Lectura
DescribeOrganizationConfigRules Devuelve una lista de reglas de configuración de la organización. Lectura
DescribeOrganizationConformancePackStatuses Proporciona el estado de implementación del paquete de conformidad de una organización. Lectura
DescribeOrganizationConformancePacks Devuelve una lista de paquetes de conformidad de la organización. Lectura
DescribePendingAggregationRequests Devuelve una lista de todas las solicitudes de agregación pendientes List
DescribeRemediationConfigurations Devuelve los detalles de una o varias configuraciones de corrección List

RemediationConfiguration*

DescribeRemediationExceptions Devuelve los detalles de una o varias configuraciones de corrección. List
DescribeRemediationExecutionStatus Proporciona una vista detallada de una ejecución de corrección de un conjunto de recursos como estado, marcas de tiempo y cualquier mensaje de error para pasos que han generado un error List

RemediationConfiguration*

DescribeRetentionConfigurations Devuelve los detalles de una o varias configuraciones de retención List
GetAggregateComplianceDetailsByConfigRule Devuelve los resultados de la evaluación de la regla de AWS Config especificada para un recurso específico en una regla. Lectura

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary Devuelve el número de reglas conformes y no conformes de una o varias cuentas y regiones de un agregador Lectura

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts Devuelve el número de recursos entre las cuentas y las regiones que están presentes en su agregador de AWS Config Lectura

ConfigurationAggregator*

GetAggregateResourceConfig Devuelve elemento de configuración que se agrega para su recurso específico en una región y cuenta de origen específicas Lectura

ConfigurationAggregator*

GetComplianceDetailsByConfigRule Devuelve los resultados de la evaluación de la regla de AWS Config especificada. Lectura

ConfigRule*

GetComplianceDetailsByResource Devuelve los resultados de evaluación del recurso de AWS especificado Lectura
GetComplianceSummaryByConfigRule Devuelve el número de reglas de AWS Config conformes y no conformes, hasta un máximo de 25 Lectura
GetComplianceSummaryByResourceType Devuelve el número de recursos conformes y el número de no conformes Lectura
GetConformancePackComplianceDetails Devuelve los detalles de conformidad de un paquete de conformidad para todos los recursos de AWS que monitoriza el paquete de conformidad. Lectura
GetConformancePackComplianceSummary Proporciona un resumen de conformidad de uno o más paquetes de conformidad. Lectura
GetDiscoveredResourceCounts Devuelve los tipos de recursos, el número de cada tipo de recurso y el total de recursos que AWS Config está registrando en esta región para su cuenta de AWS Lectura
GetOrganizationConfigRuleDetailedStatus Devuelve el estado detallado de cada cuenta de miembro dentro de una organización para una regla de configuración de organización determinada. Lectura
GetOrganizationConformancePackDetailedStatus Devuelve el estado detallado de cada cuenta de miembro dentro de una organización para un paquete de conformidad de organización determinado. Lectura
GetResourceConfigHistory Devuelve una lista de los elementos de configuración para el recurso especificado Lectura
ListAggregateDiscoveredResources Admite un tipo de recurso y devuelve una lista de los identificadores de recursos que se agregan para un tipo de recurso específico entre las cuentas y las regiones List

ConfigurationAggregator*

ListDiscoveredResources Acepta un tipo de recurso y devuelve una lista de los identificadores de recursos para los recursos de ese tipo List
ListTagsForResource Enumera las etiquetas de recursos de AWS Config List

AggregationAuthorization

ConfigRule

ConfigurationAggregator

PutAggregationAuthorization Autoriza a la cuenta y región del agregador a recopilar datos de la cuenta y la región de origen Escritura

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule Añade o actualiza una regla de AWS Config para evaluar si sus recursos de AWS cumplen con sus configuraciones deseadas Escritura

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator Crea y actualiza el agregador de configuración con las cuentas y regiones de origen seleccionadas Escritura

ConfigurationAggregator*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder Crea un nuevo registro de configuración para registrar las configuraciones del recurso seleccionado Escritura
PutConformancePack Crea o actualiza un paquete de conformidad. Escritura
PutDeliveryChannel Crea un objeto decanal de entrega para enviar información de configuración a un bucket de Amazon S3 y un tema de Amazon SNS Escritura
PutEvaluations Utilizado por una función de AWS Lambda para ofrecer los resultados de evaluación a AWS Config Escritura
PutOrganizationConfigRule Agrega o actualiza la regla de configuración de la organización para toda la organización y evalúa si los recursos de AWS cumplen con las configuraciones deseadas. Escritura
PutOrganizationConformancePack Agrega o actualiza el paquete de conformidad de la organización para toda la organización y evalúa si los recursos de AWS cumplen con las configuraciones deseadas. Escritura
PutRemediationConfigurations Añade o actualiza la configuración de corrección con una regla de AWS Config específica con la acción o el destino seleccionados Escritura

RemediationConfiguration*

PutRemediationExceptions Agrega o actualiza excepciones de corrección para recursos específicos para una regla específica de AWS Config. Escritura
PutRetentionConfiguration Crea y actualiza la configuración de retención con detalles del periodo de retención (número de días) que AWS Config almacena la información histórica Escritura
SelectAggregateResourceConfig Acepta un comando SELECT del Lenguaje de consulta estructurado (SQL) y un agregador para consultar el estado de configuración de los recursos de AWS en varias cuentas y regiones, realiza la búsqueda correspondiente y devuelve configuraciones de recursos que se ajustan a las propiedades. Lectura
SelectResourceConfig Admite un comando SELECT de lenguaje de consulta estructurado (SQL), realiza la búsqueda correspondiente y devuelve las configuraciones de los recursos de las propiedades coincidentes Lectura
StartConfigRulesEvaluation Evalúa los recursos con respecto a las reglas de Config especificadas Escritura

ConfigRule*

StartConfigurationRecorder Comienza el registro de las configuraciones de los recursos de AWS que haya seleccionado para registrar en su cuenta de AWS Escritura
StartRemediationExecution Ejecuta una corrección bajo demanda para las reglas de AWS Config especificadas con respecto a la última configuración de corrección conocida Escritura

RemediationConfiguration*

StopConfigurationRecorder Detiene el registro de las configuraciones de los recursos de AWS que haya seleccionado para registrar en su cuenta de AWS Escritura
TagResource Asocia las etiquetas especificadas a un recurso con el resourceArn especificado Etiquetado

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Elimina las etiquetas especificadas de un recurso Etiquetado

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:TagKeys

Tipos de recurso definidos por AWS Config

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

ConformancePack arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}

aws:ResourceTag/${TagKey}

OrganizationConfigRule arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
OrganizationConformancePack arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
RemediationConfiguration arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}

Claves de condición de AWS Config

AWS Config define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función del conjunto de valores permitidos para cada una de las etiquetas. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función del valor-etiqueta asociado con el recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de etiquetas obligatorias en la solicitud. Cadena