Exemples de politiques basées sur l'identité pour AWS Config

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS Config . Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM. L’administrateur peut ensuite ajouter les politiques IAM aux rôles et les utilisateurs peuvent assumer les rôles.

Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez Création de politiques IAM (console) dans le Guide de l’utilisateur IAM.

Pour plus de détails sur les actions et les types de ressources définis par AWS Config, y compris le format de ARNs pour chacun des types de ressources, voir Actions, ressources et clés de condition AWS Config dans la référence d'autorisation de service.

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS Config des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

• Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.

• Accordez les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.

• Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

• Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politiques avec IAM Access Analyzer dans le Guide de l’utilisateur IAM.

• Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Sécurisation de l’accès aux API avec MFA dans le Guide de l’utilisateur IAM.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/et en choisissant Mon compte.

Création d’un utilisateur doté d’un accès administratif

Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez Connexion en tant qu’utilisateur racine dans le Guide de l’utilisateur Connexion à AWS .

2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.

   Pour obtenir des instructions, consultez la section Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d’un utilisateur doté d’un accès administratif

1. Activez IAM Identity Center.

   Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.

   Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connexion en tant qu’utilisateur doté d’un accès administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

  Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Attribution d’un accès à d’autres utilisateurs

1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.

   Pour obtenir des instructions, consultez Création d’un ensemble d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

   Pour obtenir des instructions, consultez Ajout de groupes dans le Guide de l’utilisateur AWS IAM Identity Center .

Utilisation de la console AWS Config

Pour accéder à la AWS Config console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS Config des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.

Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la AWS Config console, associez également la politique AWS Config AWSConfigUserAccess AWS gérée aux entités. Pour plus d’informations, consultez Ajout d’autorisations à un utilisateur dans le Guide de l’utilisateur IAM.

Vous devez autoriser les utilisateurs à interagir avec AWS Config. Pour les utilisateurs qui ont besoin d'un accès complet à AWS Config, utilisez la politique Accès complet à la AWS Config gestion.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

• Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .

• Utilisateurs gérés dans IAM par un fournisseur d’identité :

  Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.

• Utilisateurs IAM :

  • Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.

  • (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Accès en lecture seule à AWS Config

L'exemple suivant montre une politique AWS gérée AWSConfigUserAccess qui accorde un accès en lecture seule à. AWS Config

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "config:Get*",
        "config:Describe*",
        "config:Deliver*",
        "config:List*",
        "config:Select*",
        "tag:GetResources",
        "tag:GetTagKeys",
        "cloudtrail:DescribeTrails",
        "cloudtrail:GetTrailStatus",
        "cloudtrail:LookupEvents"
      ],
      "Resource": "*"
    }
  ]
}

Dans les déclarations de politique, l'élément Effect spécifie si les actions sont autorisées ou refusées. L'élément Action répertorie les actions spécifiques que l'utilisateur est autorisé à effectuer. L'Resourceélément répertorie les AWS ressources sur lesquelles l'utilisateur est autorisé à effectuer ces actions. Pour les politiques qui contrôlent l'accès aux AWS Config actions, l'Resourceélément est toujours défini sur*, un caractère générique qui signifie « toutes les ressources ».

Les valeurs de l'Actionélément correspondent à celles prises APIs en charge par les services. Les actions sont config: précédées de ce qui indique qu'elles font référence à AWS Config des actions. Vous pouvez utiliser le caractère générique * dans l'élément Action, comme dans les exemples suivants :

• "Action": ["config:*ConfigurationRecorder"]

  Cela autorise toutes les AWS Config actions qui se terminent par ConfigurationRecorder "" (StartConfigurationRecorder,StopConfigurationRecorder).

• "Action": ["config:*"]

  Cela permet toutes les AWS Config actions, mais pas les actions pour les autres AWS services.

• "Action": ["*"]

  Cela permet toutes les AWS actions. Cette autorisation convient à un utilisateur qui agit en tant qu' AWS administrateur de votre compte.

La stratégie en lecture seule n'accorde pas l'autorisation à l'utilisateur pour les actions StartConfigurationRecorder, StopConfigurationRecorder et DeleteConfigurationRecorder. Les utilisateurs disposant de cette stratégie ne sont pas autorisés à démarrer, arrêter ou supprimer l'enregistreur de configuration. Pour la liste des AWS Config actions, consultez la référence de AWS Config l'API.

Accès complet à AWS Config

L'exemple suivant montre une politique qui accorde un accès complet à AWS Config. Il accorde aux utilisateurs l'autorisation d'effectuer toutes les AWS Config actions. Ils sont aussi autorisés à gérer les fichiers dans des compartiments Amazon S3, ainsi que les rubriques Amazon SNS du compte auquel ils sont associés.

Important

Cette politique accorde des autorisations étendues. Avant d'accorder un accès complet, commencez avec un ensemble d'autorisations minimum et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:AddPermission",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:GetTopicAttributes",
                "sns:ListPlatformApplications",
                "sns:ListTopics",
                "sns:SetTopicAttributes"
            ],
            "Resource": "*"   
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketNotification",
                "s3:GetBucketPolicy",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketVersioning",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions",
                "s3:PutBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:PutRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreatePolicy",
                "iam:CreatePolicyVersion",
                "iam:DeletePolicyVersion",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "config.amazonaws.com",
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "config:*",
                "tag:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListDocuments",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
        
    ]
}

Autorisations prises en charge au niveau des ressources pour les actions d'API de AWS Config règles

Les autorisations au niveau des ressources font référence à la capacité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. AWS Config prend en charge les autorisations au niveau des ressources pour certaines actions d'API de AWS Config règles. Cela signifie que pour certaines actions de AWS Config règles, vous pouvez contrôler les conditions dans lesquelles les utilisateurs sont autorisés à utiliser ces actions. Ces conditions peuvent être des actions qui doivent être réalisées, ou des ressources spécifiques que les utilisateurs sont autorisés à utiliser.

Le tableau suivant décrit les actions d'API de AWS Config règles qui prennent actuellement en charge les autorisations au niveau des ressources. Il décrit également les ressources prises en charge et les ressources correspondantes ARNs pour chaque action. Lorsque vous spécifiez un ARN, vous pouvez utiliser le caractère générique * dans vos chemins ; par exemple, lorsque vous ne pouvez pas ou ne voulez pas spécifier la ressource IDs exacte.

Important

Si une action d'API de AWS Config règle n'est pas répertoriée dans ce tableau, cela signifie qu'elle ne prend pas en charge les autorisations au niveau des ressources. Si une action de AWS Config règle ne prend pas en charge les autorisations au niveau des ressources, vous pouvez autoriser les utilisateurs à utiliser l'action, mais vous devez spécifier un * pour l'élément ressource de votre déclaration de politique.

Action d'API	Ressources
DeleteConfigRule	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
DeleteEvaluationResults	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
DescribeComplianceByConfigRule	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
DescribeConfigRuleEvaluationStatus	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
GetComplianceDetailsByConfigRule	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
PutConfigRule	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
StartConfigRulesEvaluation	Règle de configuration arn:aws:config ::config-rule/config-rule- region:accountID ID
PutRemediationConfigurations	Configuration de la correction arn:aws:config ::remediation-configuration/ region:accountId config rule name/remediation configuration id
DescribeRemediationConfigurations	Configuration de la correction arn:aws:config ::remediation-configuration/ region:accountId config rule name/remediation configuration id
DeleteRemediationConfiguration	Configuration de la correction arn:aws:config ::remediation-configuration/ region:accountId config rule name/remediation configuration id
PutRemediationExceptions	Configuration de la correction arn:aws:config ::remediation-configuration/ region:accountId config rule name/remediation configuration id
DescribeRemediationExceptions	Configuration de la correction arn:aws:config ::remediation-configuration/ region:accountId config rule name/remediation configuration id
DeleteRemediationExceptions	Configuration de la correction arn:aws:config ::remediation-configuration/ region:accountId config rule name/remediation configuration id

Par exemple, vous voulez autoriser l'accès en lecture et refuser l'accès en écriture à des règles spécifiques à des utilisateurs spécifiques.

Dans la première politique, vous autorisez les actions de lecture des AWS Config règles, par exemple DescribeConfigRuleEvaluationStatus sur les règles spécifiées.

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "config:StartConfigRulesEvaluation",
                    "config:DescribeComplianceByConfigRule",
                    "config:DescribeConfigRuleEvaluationStatus",
                    "config:GetComplianceDetailsByConfigRule"
                ],
                "Resource": [
                    "arn:aws:config:region:accountID:config-rule/config-rule-ID",
                    "arn:aws:config:region:accountID:config-rule/config-rule-ID"
                ]
            }
        ]
    }

Dans la seconde politique, vous refusez les actions d'écriture de AWS Config règles sur la règle spécifique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:DeleteEvaluationResults"
               ],
            "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID"
           }
      ]
   }

Avec les autorisations au niveau des ressources, vous pouvez autoriser l'accès en lecture et refuser l'accès en écriture pour effectuer des actions spécifiques sur les actions de l'API de AWS Config règles.

Autorisations au niveau des ressources prises en charge pour l'agrégation de données multi-région et multi-compte

Vous pouvez utiliser des autorisations au niveau des ressources pour contrôler la capacité d'un utilisateur à effectuer des actions spécifiques sur des regroupements de données de plusieurs comptes et plusieurs régions. Les autorisations suivantes au niveau des ressources de AWS Config Aggregator APIs support sont les suivantes :

• BatchGetAggregateResourceConfig

• DeleteConfigurationAggregator

• DescribeAggregateComplianceByConfigRules

• DescribeAggregateComplianceByConformancePacks

• DescribeConfigurationAggregatorSourcesStatus

• GetAggregateComplianceDetailsByConfigRule

• GetAggregateConfigRuleComplianceSummary

• GetAggregateConformancePackComplianceSummary

• GetAggregateDiscoveredResourceCounts

• GetAggregateResourceConfig

• ListAggregateDiscoveredResources

• PutConfigurationAggregator

• SelectAggregateResourceConfig

Vous pouvez par exemple restreindre l'accès aux données des ressources pour des utilisateurs spécifiques en créant deux agrégateurs AccessibleAggregator et InAccessibleAggregator et en attachant une politique IAM qui autorise l'accès à AccessibleAggregator en refusant l'accès à InAccessibleAggregator.

Politique IAM pour AccessibleAggregator

Cette politique vous permet d'autoriser l'accès aux actions de l'agrégateur pris en charge pour l'Amazon Resource Name (ARN) AWS Config que vous spécifiez. Dans cet exemple, l' AWS Config ARN estarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigAllow",
            "Effect": "Allow",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs"
        }
    ]
}

Politique IAM pour InAccessibleAggregator

Cette politique vous permet de refuser l'accès aux actions de l'agrégateur pris en charge pour l'ARN AWS Config que vous spécifiez. Dans cet exemple, l' AWS Config ARN estarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigDeny",
            "Effect": "Deny",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx"
        }
    ]
}

Si un utilisateur du groupe de développeurs tente d'effectuer l'une de ces actions sur l'ARN AWS Config que vous avez spécifié, il obtiendra une exception de refus d'accès.

Vérification des autorisations d'accès des utilisateurs

Pour afficher les agrégateurs que vous avez créés, exécutez la commande AWS CLI suivante :

aws configservice describe-configuration-aggregators

Une fois la commande exécutée, vous pourrez consulter les détails de tous les agrégateurs associés à votre compte. Dans cet exemple, il s'agit des agrégateurs AccessibleAggregator et InAccessibleAggregator :

{
    "ConfigurationAggregators": [
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "AccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        },
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "InAccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        }
    ]
}

Note

Pour account-aggregation-sources saisir une liste de AWS comptes séparés par des IDs virgules pour lesquels vous souhaitez agréger les données. Placez le compte IDs entre crochets et veillez à ne pas utiliser de guillemets (par exemple,"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

Attachez la politique IAM suivante pour refuser l'accès à InAccessibleAggregator ou à l'agrégateur auquel vous souhaitez refuser l'accès.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigDeny",
            "Effect": "Deny",
            "Action": [
                "config:BatchGetAggregateResourceConfig",
                "config:DeleteConfigurationAggregator",
                "config:DescribeAggregateComplianceByConfigRules",
                "config:DescribeAggregateComplianceByConformancePacks",
                "config:DescribeConfigurationAggregatorSourcesStatus",
                "config:GetAggregateComplianceDetailsByConfigRule",
                "config:GetAggregateConfigRuleComplianceSummary",
                "config:GetAggregateConformancePackComplianceSummary",
                "config:GetAggregateDiscoveredResourceCounts",
                "config:GetAggregateResourceConfig",
                "config:ListAggregateDiscoveredResources",
                "config:PutConfigurationAggregator",
                "config:SelectAggregateResourceConfig"
            ],
            "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx"
        }
    ]
}

Vous pouvez ensuite confirmer que la politique IAM fonctionne pour limiter l'accès aux règles pour un agrégateur spécifique :

aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion

La commande doit renvoyer une exception d'accès rejeté :

An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not 
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx