Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en la identidad para AWS Config
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Config . Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS la API. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Para obtener más información sobre las acciones y los tipos de recursos definidos AWS Config, incluido el formato de los ARN para cada uno de los tipos de recursos, consulte las claves de condición, recursos y acciones de la Referencia de autorización de servicios. AWS Config
Temas
- Prácticas recomendadas sobre las políticas
- Inscríbase en una Cuenta de AWS
- Creación de un usuario con acceso administrativo
- Mediante la consola de AWS Config
- Cómo permitir a los usuarios consultar sus propios permisos
- Acceso de solo lectura a AWS Config
- Acceso completo a AWS Config
- Permisos a nivel de recursos compatibles para las acciones de la API de AWS Config reglas
- Permisos de nivel de recursos para la agregación de datos de varias regiones y varias cuentas
Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Config recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía de usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Política de validación de Analizador de acceso de IAM en la Guía de usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para más información, consulte Configuración del acceso a una API protegido por MFA en la Guía de usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Inscríbase en una Cuenta de AWS
Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.
Para suscribirse a una Cuenta de AWS
Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.
Cuando te registras en un Cuenta de AWS, Usuario raíz de la cuenta de AWSse crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.
AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/
Creación de un usuario con acceso administrativo
Después de registrarte en un usuario Cuenta de AWS, protege Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilita y crea un usuario administrativo para que no utilices el usuario root en las tareas diarias.
Proteja su Usuario raíz de la cuenta de AWS
-
Inicie sesión AWS Management Console
como propietario de la cuenta seleccionando el usuario root e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña. Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In .
-
Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola) en la Guía del usuario de IAM.
Creación de un usuario con acceso administrativo
-
Activar IAM Identity Center.
Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .
-
En IAM Identity Center, conceda acceso administrativo a un usuario.
Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la Guía del AWS IAM Identity Center usuario.
Iniciar sesión como usuario con acceso de administrador
-
Para iniciar sesión con el usuario de IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.
Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte Iniciar sesión en el portal de AWS acceso en la Guía del AWS Sign-In usuario.
Concesión de acceso a usuarios adicionales
-
En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.
Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center .
-
Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.
Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center .
Mediante la consola de AWS Config
Para acceder a la AWS Config consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Config recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Config consola, adjunte también la política AWS Config AWSConfigUserAccess
Debe conceder a los usuarios permisos para interactuar con ellas AWS Config. Para los usuarios que necesitan acceso total a ella AWS Config, utilice la política de acceso total a la AWS Config gestión.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Acceso de solo lectura a AWS Config
El siguiente ejemplo muestra una política AWS administrada AWSConfigUserAccess que concede acceso de solo lectura a. AWS Config
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:Deliver*", "config:List*", "config:Select*", "tag:GetResources", "tag:GetTagKeys", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
En las declaraciones de políticas, el elemento Effect especifica si las acciones se permiten o se niegan. El elemento Action enumera las acciones específicas que puede realizar el usuario. El elemento Resource enumera los recursos de AWS en los que el usuario puede realizar estas acciones. En el caso de las políticas que controlan el acceso a AWS Config las acciones, el Resource elemento siempre se establece en un comodín que significa «todos los recursos». *
Los valores en el elemento Action corresponden a las API que admiten los servicios. Las acciones están precedidas por config: para indicar que se refieren a acciones de AWS Config . Puede utilizar el carácter comodín * en el elemento Action, como en los siguientes ejemplos:
-
"Action": ["config:*ConfigurationRecorder"]Esto permite todas AWS Config las acciones que terminan en "ConfigurationRecorder" (
StartConfigurationRecorder,StopConfigurationRecorder). -
"Action": ["config:*"]Esto permite todas AWS Config las acciones, pero no las acciones de otros AWS servicios.
-
"Action": ["*"]Esto permite todas AWS las acciones. Este permiso es adecuado para un usuario que actúa como AWS administrador de su cuenta.
La política de solo lectura no concede permiso al usuario para acciones como StartConfigurationRecorder, StopConfigurationRecorder y DeleteConfigurationRecorder. Los usuarios con esta política no pueden comenzar un registro de configuración, detener un registro de configuración o eliminar un registro de configuración. Para ver la lista de AWS Config acciones, consulta la referencia de la AWS Config API.
Acceso completo a AWS Config
El siguiente ejemplo muestra una política que concede acceso total a AWS Config. Concede a los usuarios el permiso para realizar todas AWS Config las acciones. También permite a los usuarios administrar archivos en buckets de Amazon S3 y administrar los temas de Amazon SNS en la cuenta a la que está asociado el usuario.
importante
Esta política otorga amplios permisos. Antes de otorgar acceso total, es recomendable empezar con un conjunto mínimo de permisos y otorgar permisos adicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que son demasiado tolerantes y querer restringirlos más adelante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:GetTopicAttributes", "sns:ListPlatformApplications", "sns:ListTopics", "sns:SetTopicAttributes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListBucketVersions", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:GetRole", "iam:GetRolePolicy", "iam:ListRolePolicies", "iam:ListRoles", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:CreateServiceLinkedRole" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "config.amazonaws.com", "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "config:*", "tag:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:DescribeDocument", "ssm:GetDocument", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListDocuments", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
Permisos a nivel de recursos compatibles para las acciones de la API de AWS Config reglas
Los permisos a nivel de recursos se refieren a la capacidad de especificar en qué recursos los usuarios pueden realizar acciones. AWS Config admite permisos a nivel de recurso para determinadas acciones de la API de reglas AWS Config . Esto significa que, para determinadas acciones de AWS Config reglas, puedes controlar las condiciones en las que los usuarios pueden usar esas acciones. Estas condiciones pueden ser acciones que se deben cumplir o recursos específicos que los usuarios pueden utilizar.
En la siguiente tabla se describen las acciones de la API de AWS Config reglas que actualmente admiten permisos a nivel de recurso. También describe los recursos admitidos y los ARN de cada acción. Cuando especifique un ARN, puede utilizar el carácter comodín * en las rutas; por ejemplo, cuando no pueda o no quiera especificar los ID de recurso exactos.
importante
Si una acción de la API de una AWS Config regla no aparece en esta tabla, significa que no admite permisos a nivel de recursos. Si una acción de AWS Config regla no admite permisos a nivel de recursos, puedes conceder permisos a los usuarios para que usen la acción, pero tendrás que especificar un asterisco (*) para el elemento de recurso de tu declaración de política.
| Acción API | Recursos |
|---|---|
DeleteConfigRule |
Regla de configuración arn:aws:config: |
DeleteEvaluationResults |
Regla de configuración arn:aws:config: |
DescribeComplianceByConfigRule |
Regla de configuración arn:aws:config: |
DescribeConfigRuleEvaluationStatus |
Regla de configuración arn:aws:config: |
GetComplianceDetailsByConfigRule |
Regla de configuración arn:aws:config: |
PutConfigRule |
Regla de configuración arn:aws:config: |
StartConfigRulesEvaluation |
Regla de configuración arn:aws:config: |
PutRemediationConfigurations |
Configuración de la corrección arn:aws:config: |
DescribeRemediationConfigurations |
Configuración de la corrección arn:aws:config: |
DeleteRemediationConfiguration |
Configuración de la corrección arn:aws:config: |
PutRemediationExceptions |
Configuración de la corrección arn:aws:config: |
DescribeRemediationExceptions |
Configuración de la corrección arn:aws:config: |
DeleteRemediationExceptions |
Configuración de la corrección arn:aws:config: |
Por ejemplo, desea permitir a usuarios específicos el acceso de lectura y denegar el acceso de escritura a reglas específicas.
En la primera política, permites que la AWS Config regla lea acciones como, por ejemplo, DescribeConfigRuleEvaluationStatus en las reglas especificadas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }
En la segunda política, deniegas a la AWS Config regla la escritura de acciones en la regla específica.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }
Con los permisos a nivel de recursos, puedes permitir el acceso de lectura y denegar el acceso de escritura para realizar acciones específicas en las acciones de la API de AWS Config reglas.
Permisos de nivel de recursos para la agregación de datos de varias regiones y varias cuentas
Puede utilizar los permisos de nivel de recursos para controlar la capacidad de un usuario de realizar acciones específicas en la acumulación de datos de varias cuentas y regiones. Las siguientes AWS Config
Aggregator API admiten permisos a nivel de recursos:
Por ejemplo, puede restringir el acceso de usuarios específicos a los datos de los recursos mediante la creación de los dos agregadores AccessibleAggregator y InAccessibleAggregator y asociar una política de IAM que permita el acceso a AccessibleAggregator pero deniegue el acceso a InAccessibleAggregator.
Política de IAM para AccessibleAggregator
En esta política, permite el acceso a las acciones del agregador compatibles con el nombre de recurso de Amazon (ARN) de AWS Config
que especifique. En este ejemplo, el AWS Config ARN es. arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigAllow", "Effect": "Allow", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs" } ] }
Política de IAM para InAccessibleAggregator
En esta política, deniega el acceso a las acciones de agregación compatibles para el AWS Config ARN que especifique. En este ejemplo, el AWS Config ARN es. arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigDeny", "Effect": "Deny", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ] }
Si un usuario del grupo de desarrolladores intenta realizar alguna de estas acciones en el AWS Config ARN que especificó, ese usuario recibirá una excepción de acceso denegado.
Comprobar los permisos de acceso de los usuarios
Para mostrar los agregadores que ha creado, ejecute el siguiente comando: AWS CLI
aws configservice describe-configuration-aggregators
Cuando el comando se haya completado correctamente, podrá ver los detalles de todos los agregadores asociados a su cuenta. En este ejemplo, se trata de AccessibleAggregator y InAccessibleAggregator:
{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "AccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 }, { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "InAccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }
nota
Para account-aggregation-sources, escriba una lista separada por comas de los ID de cuenta de AWS
cuyos datos desea agregar. Encierre los ID de cuenta entre corchetes y asegúrese de aplicar escape a las comillas (por ejemplo, "[{\"AccountIds\":
[\").AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\":
true}]"
Asocie la siguiente política de IAM para denegar el acceso a InAccessibleAggregator o el agregador al que desea denegar el acceso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigDeny", "Effect": "Deny", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ] }
A continuación, puede confirmar que la política de IAM funciona para restringir el acceso a las reglas al agregador específico.
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-namerule name--account-idAccountID--aws-regionAwsRegion
El comando debería devolver una excepción de acceso denegado:
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/is not authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
