Actions Types de ressources Clés de condition

Actions, ressources et clés de condition pour AWS Config

AWS Config (préfixe de service : config) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Découvrez comment configurer ce service.
Affichez la liste des opérations d'API disponibles pour ce service.
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.

Rubriques

Actions définies par AWS Config
Types de ressources définis par AWS Config
Clés de condition pour AWS Config

Actions définies par AWS Config

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions	Description	Niveau d'accès	Types de ressources (*obligatoire)	Clés de condition	Actions dépendantes
BatchGetAggregateResourceConfig	Accorde l'autorisation de renvoyer les éléments de la configuration courante pour les ressources qui sont présentes dans votre agrégateur AWS Config	Lecture	ConfigurationAggregator*
BatchGetResourceConfig	Accorde l'autorisation de renvoyer la configuration actuelle pour une ou plusieurs ressources demandées	Lecture
DeleteAggregationAuthorization	Accorde l'autorisation de supprimer l'autorisation accordée au compte agrégateur de la configuration spécifiée dans une région spécifiée	Écriture	AggregationAuthorization*
DeleteConfigRule	Accorde l'autorisation de supprimer la règle AWS Config spécifiée et de tous ses résultats d'évaluation	Écriture	ConfigRule*
DeleteConfigurationAggregator	Accorde l'autorisation de supprimer l'agrégateur de la configuration spécifiée et les données agrégées associées à l'agrégateur	Écriture	ConfigurationAggregator*
DeleteConfigurationRecorder	Accorde l'autorisation de supprimer l'enregistreur de configuration	Écriture
DeleteConformancePack	Accorde l'autorisation de supprimer le pack de conformité spécifié, toutes les règles AWS Config et tous les résultats d'évaluation de ce pack de conformité	Écriture	ConformancePack*
DeleteDeliveryChannel	Accorde l'autorisation de supprimer le canal de livraison	Écriture
DeleteEvaluationResults	Accorde l'autorisation de supprimer les résultats de l'évaluation pour la règle Config spécifiée	Écriture	ConfigRule*
DeleteOrganizationConfigRule	Accorde l'autorisation de supprimer la règle Config de l'organisation spécifiée et tous ses résultats d'évaluation de tous les comptes de membres de cette organisation	Écriture	OrganizationConfigRule*
DeleteOrganizationConformancePack	Accorde l'autorisation de supprimer le pack de conformité de l'organisation spécifié et tous ses résultats d'évaluation de tous les comptes membres de cette organisation	Écriture	OrganizationConformancePack*
DeletePendingAggregationRequest	Accorde l'autorisation de supprimer les demandes d'autorisation en attente pour un compte agrégateur spécifié d'une région spécifiée	Écriture
DeleteRemediationConfiguration	Accorde l'autorisation de supprimer la configuration de la correction	Écriture	RemediationConfiguration*
DeleteRemediationExceptions	Accorde l'autorisation de supprimer une ou plusieurs exceptions de correction pour des clés de ressources spécifiques pour une règle AWS Config spécifique	Écriture
DeleteResourceConfig	Accorde l'autorisation d'enregistrer l'état de configuration d'une ressource personnalisée qui a été supprimée	Écriture
DeleteRetentionConfiguration	Accorde l'autorisation de supprimer la configuration de conservation	Écriture
DeleteStoredQuery	Accorde l'autorisation de supprimer la requête stockée pour un Compte AWS dans une Région AWS	Écriture	StoredQuery*
DeliverConfigSnapshot	Accorde l'autorisation de planifier la livraison d'un instantané de configuration au compartiment Amazon S3 dans le canal de livraison spécifié	Lecture
DescribeAggregateComplianceByConfigRules	Accorde l'autorisation de renvoyer la liste des règles conformes et non conformes avec le nombre de ressources pour les règles conformes et non conformes	Lecture	ConfigurationAggregator*
DescribeAggregateComplianceByConformancePacks	Accorde l'autorisation de renvoyer une liste de packs de conformité conformes et non conformes, ainsi que le nombre de règles conformes, non conformes et totales dans chaque pack de conformité.	Lecture	ConfigurationAggregator*
DescribeAggregationAuthorizations	Accorde l'autorisation de renvoyer la liste des autorisations accordées à divers comptes et régions agrégateurs	Liste
DescribeComplianceByConfigRule	Accorde l'autorisation d'indiquer si les règles AWS Config spécifiées sont conformes aux exigences	Lecture
DescribeComplianceByResource	Accorde l'autorisation d'indiquer si les ressources AWS spécifiées sont conformes aux exigences	Lecture
DescribeConfigRuleEvaluationStatus	Accorde l'autorisation de renvoyer des informations d'état pour chacune de vos règles Config gérées par AWS	Lecture
DescribeConfigRules	Accorde l'autorisation de renvoyer les détails sur vos règles AWS Config	Liste
DescribeConfigurationAggregatorSourcesStatus	Accorde l'autorisation de renvoyer des informations d'état pour les sources au sein d'un agrégateur	Lecture	ConfigurationAggregator*
DescribeConfigurationAggregators	Accorde l'autorisation de renvoyer les détails d'un ou plusieurs agrégateurs de configuration	Liste
DescribeConfigurationRecorderStatus	Accorde l'autorisation de renvoyer l'état actuel de l'enregistreur de configuration spécifié	Lecture
DescribeConfigurationRecorders	Accorde l'autorisation de renvoyer les noms d'un ou de plusieurs enregistreurs de configuration spécifiés	Liste
DescribeConformancePackCompliance	Accorde l'autorisation de renvoyer les informations de conformité pour chaque règle de ce pack de conformité	Lecture	ConformancePack*
DescribeConformancePackStatus	Accorde l'autorisation de fournir un ou plusieurs états de déploiement des packs de conformité	Lecture
DescribeConformancePacks	Accorde l'autorisation de renvoyer la liste d'un ou plusieurs packs de conformité	Liste
DescribeDeliveryChannelStatus	Accorde l'autorisation de renvoyer l'état actuel du canal de livraison spécifié	Lecture
DescribeDeliveryChannels	Accorde l'autorisation de renvoyer des détails sur le canal de livraison spécifié	Liste
DescribeOrganizationConfigRuleStatuses	Accorde l'autorisation de fournir l'état du déploiement des règles Config d'une organisation	Lecture
DescribeOrganizationConfigRules	Accorde l'autorisation de renvoyer la liste des règles Config d'une organisation	Liste
DescribeOrganizationConformancePackStatuses	Accorde l'autorisation de fournir l'état du déploiement du pack de conformité d'une organisation	Lecture
DescribeOrganizationConformancePacks	Accorde l'autorisation de renvoyer la liste de packs de conformité d'une organisation	Liste
DescribePendingAggregationRequests	Accorde l'autorisation de renvoyer la liste de toutes les demandes d'agrégation en attente	Liste
DescribeRemediationConfigurations	Accorde l'autorisation de renvoyer les détails d'une ou plusieurs configurations de correction	Liste	RemediationConfiguration*
DescribeRemediationExceptions	Accorde l'autorisation de renvoyer les détails d'une ou plusieurs exceptions de correction	Liste
DescribeRemediationExecutionStatus	Accorde l'autorisation de fournir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources, y compris le statut, les horodatages et les messages d'erreur pour les étapes ayant échoué	Lecture	RemediationConfiguration*
DescribeRetentionConfigurations	Accorde l'autorisation de renvoyer les détails d'une ou plusieurs configurations de conservation	Liste
GetAggregateComplianceDetailsByConfigRule	Accorde l'autorisation de renvoyer les résultats de l'évaluation pour la règle AWS Config spécifiée pour une ressource spécifique dans une règle	Lecture	ConfigurationAggregator*
GetAggregateConfigRuleComplianceSummary	Accorde l'autorisation de renvoyer le nombre de règles conformes et non conformes pour un ou plusieurs comptes et régions d'un agrégateur	Lecture	ConfigurationAggregator*
GetAggregateConformancePackComplianceSummary	Accorde l'autorisation de renvoyer le nombre de packs de conformité conformes et non conformes pour un ou plusieurs comptes et régions d'un agrégateur.	Lecture	ConfigurationAggregator*
GetAggregateDiscoveredResourceCounts	Accorde l'autorisation de renvoyer le nombre de ressources dans les comptes et les régions qui sont présents dans votre agrégateur AWS Config	Lecture	ConfigurationAggregator*
GetAggregateResourceConfig	Accorde l'autorisation de renvoyer l'élément de configuration qui est agrégé pour votre ressource spécifique dans un compte et une région source spécifiques	Lecture	ConfigurationAggregator*
GetComplianceDetailsByConfigRule	Accorde l'autorisation de renvoyer les résultats de l'évaluation pour la règle AWS Config spécifiée	Lecture	ConfigRule*
GetComplianceDetailsByResource	Accorde l'autorisation de renvoyer les résultats de l'évaluation pour la ressource AWS spécifiée	Lecture
GetComplianceSummaryByConfigRule	Accorde l'autorisation de renvoyer le nombre de règles AWS Config qui sont conformes et non conformes (maximum de 25 pour chaque catégorie)	Lecture
GetComplianceSummaryByResourceType	Accorde l'autorisation de renvoyer le nombre de ressources qui sont conformes et le nombre de ressources qui sont non conformes	Lecture
GetConformancePackComplianceDetails	Accorde l'autorisation de renvoyer les détails de conformité d'un pack de conformité pour toutes les ressources AWS qui sont surveillées par pack de conformité	Lecture	ConformancePack*
GetConformancePackComplianceSummary	Accorde l'autorisation de fournir un résumé de la conformité pour un ou plusieurs packs de conformité	Lire	ConformancePack*
GetCustomRulePolicy	Accorde l'autorisation de renvoyer la définition de la politique contenant la logique de votre règle de politique personnalisée AWS Config	Lire	ConfigRule*
GetDiscoveredResourceCounts	Accorde l'autorisation de renvoyer les types de ressources, le nombre de chaque type de ressources et le nombre total de ressources qu'AWS Config enregistre dans cette Région pour votre Compte AWS	Lecture
GetOrganizationConfigRuleDetailedStatus	Accorde l'autorisation de renvoyer le statut détaillé de chaque compte membre au sein d'une organisation pour une règle Config d'organisation donnée	Lecture	OrganizationConfigRule*
GetOrganizationConformancePackDetailedStatus	Accorde l'autorisation de renvoyer le statut détaillé de chaque compte membre au sein d'une organisation pour un pack de conformité de l'organisation donné	Lire	OrganizationConformancePack*
GetOrganizationCustomRulePolicy	Accorde l'autorisation de renvoyer la définition de la politique contenant la logique de la règle de politique personnalisée AWS Config de votre organisation	Lire	OrganizationConfigRule*
GetResourceConfigHistory	Accorde l'autorisation de renvoyer la liste d'éléments de configuration pour la ressource spécifiée	Lire
GetResourceEvaluationSummary	Accorde l'autorisation de renvoyer le résumé des évaluations des ressources pour un ID d’évaluation de ressources spécifique	Lire
GetStoredQuery	Accorde l'autorisation de renvoyer les détails d'une requête stockée spécifique	Lecture	StoredQuery*
ListAggregateDiscoveredResources	Accorde l'autorisation d'accepter un type de ressource et de renvoyer la liste des identifiants de ressources qui sont regroupés pour un type de ressources spécifique entre les comptes et les régions	Liste	ConfigurationAggregator*
ListConformancePackComplianceScores	Accorde l'autorisation de renvoyer le pourcentage de combinaisons règle-ressource conformes dans un pack de conformité par rapport au nombre total de combinaisons règles-ressources possibles	Liste
ListDiscoveredResources	Accorde l'autorisation d'accepter un type de ressources et renvoie la liste des identifiants de ressources correspondant aux ressources de ce type	Liste
ListResourceEvaluations	Autorise à répertorier les résumés d'évaluation des ressources pour un Compte AWS dans un Région AWS	Liste
ListStoredQueries	Accorde l'autorisation de répertorier les requêtes stockées pour un Compte AWS dans une Région AWS	Liste
ListTagsForResource	Accorde l'autorisation de répertorier les identifications d'une ressource AWS Config	Lecture	AggregationAuthorization
			ConfigRule
			ConfigurationAggregator
			ConformancePack
			OrganizationConfigRule
			OrganizationConformancePack
			StoredQuery
PutAggregationAuthorization	Accorde l'autorisation de permettre au compte agrégateur et la région à collecter les données depuis le compte et la région sources	Écriture	AggregationAuthorization*
PutAggregationAuthorization		Écriture		aws:RequestTag/${TagKey} aws:TagKeys
PutConfigRule	Accorde l'autorisation d'ajouter ou de mettre à jour une règle AWS Config pour évaluer si vos ressources AWS respectent vos configurations choisies	Écriture	ConfigRule*
PutConfigRule		Écriture		aws:RequestTag/${TagKey} aws:TagKeys
PutConfigurationAggregator	Accorde l'autorisation de créer et de mettre à jour l'agrégateur de configuration avec les comptes et régions sources sélectionnés	Écriture	ConfigurationAggregator*		iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators
PutConfigurationAggregator		Écriture		aws:RequestTag/${TagKey} aws:TagKeys
PutConfigurationRecorder	Accorde l'autorisation de créer un nouvel enregistreur de configuration pour enregistrer les configurations de ressources sélectionnées	Écriture
PutConformancePack	Accorde l'autorisation de créer ou de mettre à jour un pack de conformité	Écriture	ConformancePack*		iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument
PutDeliveryChannel	Accorde l'autorisation de créer un objet de canal de livraison pour fournir des informations de configuration à un compartiment Amazon S3 et à une rubrique Amazon SNS	Écriture
PutEvaluations	Accorde l'autorisation d'être utilisé par une fonction AWS Lambda pour fournir des résultats d'évaluation à AWS Config	Écriture
PutExternalEvaluation	Accorde l'autorisation de fournir le résultat de l'évaluation à AWS Config	Écriture	ConfigRule*
PutOrganizationConfigRule	Accorde l'autorisation d'ajouter ou de mettre à jour la règle Config de l'ensemble de votre organisation en évaluant si vos ressources AWS sont conformes aux configurations souhaitées	Écriture	OrganizationConfigRule*		iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators
PutOrganizationConformancePack	Accorde l'autorisation d'ajouter ou de mettre à jour le pack de conformité de l'organisation en évaluant si vos ressources AWS sont conformes aux configurations souhaitées	Écriture	OrganizationConformancePack*		iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject
PutRemediationConfigurations	Accorde l'autorisation d'ajouter ou de mettre à jour la configuration de correction avec une règle AWS Config spécifique avec la cible ou l'action sélectionnée	Écriture	RemediationConfiguration*		iam:PassRole
PutRemediationExceptions	Accorde l'autorisation d'ajouter ou de mettre à jour des exceptions de correction pour des ressources spécifiques pour une règle AWS Config spécifique	Écriture
PutResourceConfig	Accorde l'autorisation d'enregistrer l'état de configuration pour la ressource fournie dans la demande	Écriture
PutRetentionConfiguration	Accorde l'autorisation de créer ou de mettre à jour la configuration de conservation avec les détails relatifs à la période de conservation (nombre de jours) pendant laquelle AWS Config stocke vos informations historiques	Écriture
PutStoredQuery	Accorde l'autorisation d'enregistrer une nouvelle requête ou de mettre à jour une requête enregistrée existante	Écriture	StoredQuery*
PutStoredQuery		Écriture		aws:RequestTag/${TagKey} aws:TagKeys
SelectAggregateResourceConfig	Accorde l'autorisation d'accepter une recherche structurée SELECT SQL et un agrégateur pour interroger l'état de configuration des ressources AWS sur plusieurs comptes et régions, effectue la recherche correspondante et renvoie les configurations de ressources correspondant aux propriétés	Lecture	ConfigurationAggregator*
SelectResourceConfig	Accorde l'autorisation d'accepter une commande SELECT SQL, d'effectuer la recherche correspondante, et de renvoyer les configurations de ressources correspondant aux propriétés	Lecture
StartConfigRulesEvaluation	Accorde l'autorisation d'évaluer vos ressources par rapport aux règles Config spécifiées	Écriture	ConfigRule*
StartConfigurationRecorder	Accorde l'autorisation de démarrer l'enregistrement des configurations de ressources AWS que vous avez sélectionnées en vue de les enregistrer dans votre Compte AWS	Écriture
StartRemediationExecution	Accorde l'autorisation d'exécuter une correction à la demande pour les règles AWS Config spécifiées par rapport à la dernière configuration de correction connue	Écrire			iam:PassRole
StartResourceEvaluation	Accorde l'autorisation d'évaluer vos détails de ressources par rapport aux règles Config AWS dans votre compte	Écrire			cloudformation:DescribeType
StopConfigurationRecorder	Accorde l'autorisation d'arrêter l'enregistrement des configurations de ressources AWS que vous avez sélectionnées en vue de les enregistrer dans votre Compte AWS	Écriture
TagResource	Accorde l'autorisation d'associer les balises spécifiées à une ressource avec le resourceArn spécifié	Balisage	AggregationAuthorization
			ConfigRule
			ConfigurationAggregator
			ConformancePack
			OrganizationConfigRule
			OrganizationConformancePack
			StoredQuery
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	Accorde l'autorisation de supprimer les balises spécifiées d'une ressource	Balisage	AggregationAuthorization
			ConfigRule
			ConfigurationAggregator
			ConformancePack
			OrganizationConfigRule
			OrganizationConformancePack
			StoredQuery
				aws:TagKeys

Types de ressources définis par AWS Config

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources	ARN	Clés de condition
AggregationAuthorization	`arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}`	aws:ResourceTag/${TagKey}
ConfigurationAggregator	`arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}`	aws:ResourceTag/${TagKey}
ConfigRule	`arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}`	aws:ResourceTag/${TagKey}
ConformancePack	`arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}`	aws:ResourceTag/${TagKey}
OrganizationConfigRule	`arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}`	aws:ResourceTag/${TagKey}
OrganizationConformancePack	`arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}`	aws:ResourceTag/${TagKey}
RemediationConfiguration	`arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}`
StoredQuery	`arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}`	aws:ResourceTag/${TagKey}

Clés de condition pour AWS Config

AWS Config définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition	Description	Type
aws:RequestTag/${TagKey}	Filtre l'accès en fonction de l'ensemble de valeurs autorisées pour chacune des identifications	Chaîne
aws:ResourceTag/${TagKey}	Filtre l'accès en fonction de la valeur d'identification associée à la ressource	Chaîne
aws:TagKeys	Filtre l'accès en fonction de la présence de identifications obligatoires dans la demande	ArrayOfString

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Compute Optimizer

Amazon Connect