Actions Types de ressources Clés de condition

Actions, ressources et clés de condition pour AWS Config

AWS Config (préfixe de service :config) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Découvrez comment configurer ce service.
Affichez la liste des opérations d'API disponibles pour ce service.
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.

Rubriques

Actions définies par AWS Config
Types de ressources définis par AWS Config
Clés de condition pour AWS Config

Actions définies par AWS Config

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions	Description	Niveau d'accès	Types de ressources (*obligatoire)	Clés de condition	Actions dépendantes
BatchGetAggregateResourceConfig	Accorde l'autorisation de renvoyer les éléments de configuration actuels pour les ressources présentes dans votre agrégateur AWS Config	Lecture	ConfigurationAggregator*
BatchGetResourceConfig	Accorde l'autorisation de renvoyer la configuration actuelle pour une ou plusieurs ressources demandées	Lecture
DeleteAggregationAuthorization	Accorde l'autorisation de supprimer l'autorisation accordée au compte agrégateur de la configuration spécifiée dans une région spécifiée	Écrire	AggregationAuthorization*
DeleteConfigRule	Accorde l'autorisation de supprimer la règle AWS Config spécifiée et tous ses résultats d'évaluation	Écrire	ConfigRule*
DeleteConfigurationAggregator	Accorde l'autorisation de supprimer l'agrégateur de la configuration spécifiée et les données agrégées associées à l'agrégateur	Écriture	ConfigurationAggregator*
DeleteConfigurationRecorder	Accorde l'autorisation de supprimer l'enregistreur de configuration	Écrire
DeleteConformancePack	Accorde l'autorisation de supprimer le pack de conformité spécifié, toutes les règles de AWS configuration et tous les résultats d'évaluation contenus dans ce pack de conformité	Écrire	ConformancePack*
DeleteDeliveryChannel	Accorde l'autorisation de supprimer le canal de livraison	Écriture
DeleteEvaluationResults	Accorde l'autorisation de supprimer les résultats de l'évaluation pour la règle Config spécifiée	Écriture	ConfigRule*
DeleteOrganizationConfigRule	Accorde l'autorisation de supprimer la règle Config de l'organisation spécifiée et tous ses résultats d'évaluation de tous les comptes de membres de cette organisation	Écriture	OrganizationConfigRule*
DeleteOrganizationConformancePack	Accorde l'autorisation de supprimer le pack de conformité de l'organisation spécifié et tous ses résultats d'évaluation de tous les comptes membres de cette organisation	Écriture	OrganizationConformancePack*
DeletePendingAggregationRequest	Accorde l'autorisation de supprimer les demandes d'autorisation en attente pour un compte agrégateur spécifié d'une région spécifiée	Écriture
DeleteRemediationConfiguration	Accorde l'autorisation de supprimer la configuration de la correction	Écrire	RemediationConfiguration*
DeleteRemediationExceptions	Accorde l'autorisation de supprimer une ou plusieurs exceptions de correction pour des clés de ressource spécifiques pour une règle de AWS configuration spécifique	Écrire
DeleteResourceConfig	Accorde l'autorisation d'enregistrer l'état de configuration d'une ressource personnalisée qui a été supprimée	Écriture
DeleteRetentionConfiguration	Accorde l'autorisation de supprimer la configuration de conservation	Écrire
DeleteStoredQuery	Accorde l'autorisation de supprimer la requête stockée pour un Compte AWS Région AWS	Écrire	StoredQuery*
DeliverConfigSnapshot	Accorde l'autorisation de planifier la livraison d'un instantané de configuration au compartiment Amazon S3 dans le canal de livraison spécifié	Lecture
DescribeAggregateComplianceByConfigRules	Accorde l'autorisation de renvoyer la liste des règles conformes et non conformes avec le nombre de ressources pour les règles conformes et non conformes	Lecture	ConfigurationAggregator*
DescribeAggregateComplianceByConformancePacks	Accorde l'autorisation de renvoyer une liste de packs de conformité conformes et non conformes, ainsi que le nombre de règles conformes, non conformes et totales dans chaque pack de conformité.	Lecture	ConfigurationAggregator*
DescribeAggregationAuthorizations	Accorde l'autorisation de renvoyer la liste des autorisations accordées à divers comptes et régions agrégateurs	Liste
DescribeComplianceByConfigRule	Accorde l'autorisation d'indiquer si les règles de AWS configuration spécifiées sont conformes	Lecture
DescribeComplianceByResource	Accorde l'autorisation d'indiquer si les AWS ressources spécifiées sont conformes	Lecture
DescribeConfigRuleEvaluationStatus	Accorde l'autorisation de renvoyer des informations d'état pour chacune de vos règles de configuration AWS gérées	Lecture
DescribeConfigRules	Accorde l'autorisation de renvoyer des informations sur vos règles de AWS Config	Liste
DescribeConfigurationAggregatorSourcesStatus	Accorde l'autorisation de renvoyer des informations d'état pour les sources au sein d'un agrégateur	Lecture	ConfigurationAggregator*
DescribeConfigurationAggregators	Accorde l'autorisation de renvoyer les détails d'un ou plusieurs agrégateurs de configuration	Liste
DescribeConfigurationRecorderStatus	Accorde l'autorisation de renvoyer l'état actuel de l'enregistreur de configuration spécifié	Lecture
DescribeConfigurationRecorders	Accorde l'autorisation de renvoyer les noms d'un ou de plusieurs enregistreurs de configuration spécifiés	Liste
DescribeConformancePackCompliance	Accorde l'autorisation de renvoyer les informations de conformité pour chaque règle de ce pack de conformité	Lecture	ConformancePack*
DescribeConformancePackStatus	Accorde l'autorisation de fournir un ou plusieurs états de déploiement des packs de conformité	Lecture
DescribeConformancePacks	Accorde l'autorisation de renvoyer la liste d'un ou plusieurs packs de conformité	Liste
DescribeDeliveryChannelStatus	Accorde l'autorisation de renvoyer l'état actuel du canal de livraison spécifié	Lecture
DescribeDeliveryChannels	Accorde l'autorisation de renvoyer des détails sur le canal de livraison spécifié	Liste
DescribeOrganizationConfigRuleStatuses	Accorde l'autorisation de fournir l'état du déploiement des règles Config d'une organisation	Lecture
DescribeOrganizationConfigRules	Accorde l'autorisation de renvoyer la liste des règles Config d'une organisation	Liste
DescribeOrganizationConformancePackStatuses	Accorde l'autorisation de fournir l'état du déploiement du pack de conformité d'une organisation	Lecture
DescribeOrganizationConformancePacks	Accorde l'autorisation de renvoyer la liste de packs de conformité d'une organisation	Liste
DescribePendingAggregationRequests	Accorde l'autorisation de renvoyer la liste de toutes les demandes d'agrégation en attente	Liste
DescribeRemediationConfigurations	Accorde l'autorisation de renvoyer les détails d'une ou plusieurs configurations de correction	Liste	RemediationConfiguration*
DescribeRemediationExceptions	Accorde l'autorisation de renvoyer les détails d'une ou plusieurs exceptions de correction	Liste
DescribeRemediationExecutionStatus	Accorde l'autorisation de fournir une vue détaillée de l'exécution d'une correction pour un ensemble de ressources, y compris le statut, les horodatages et les messages d'erreur pour les étapes ayant échoué	Lecture	RemediationConfiguration*
DescribeRetentionConfigurations	Accorde l'autorisation de renvoyer les détails d'une ou plusieurs configurations de conservation	Liste
GetAggregateComplianceDetailsByConfigRule	Accorde l'autorisation de renvoyer les résultats d'évaluation pour la règle AWS Config spécifiée pour une ressource spécifique dans une règle	Lecture	ConfigurationAggregator*
GetAggregateConfigRuleComplianceSummary	Accorde l'autorisation de renvoyer le nombre de règles conformes et non conformes pour un ou plusieurs comptes et régions d'un agrégateur	Lecture	ConfigurationAggregator*
GetAggregateConformancePackComplianceSummary	Accorde l'autorisation de renvoyer le nombre de packs de conformité conformes et non conformes pour un ou plusieurs comptes et régions d'un agrégateur.	Lecture	ConfigurationAggregator*
GetAggregateDiscoveredResourceCounts	Accorde l'autorisation de renvoyer le nombre de ressources pour les comptes et les régions présents dans votre agrégateur AWS Config	Lecture	ConfigurationAggregator*
GetAggregateResourceConfig	Accorde l'autorisation de renvoyer l'élément de configuration qui est agrégé pour votre ressource spécifique dans un compte et une région source spécifiques	Lecture	ConfigurationAggregator*
GetComplianceDetailsByConfigRule	Accorde l'autorisation de renvoyer les résultats de l'évaluation pour la règle AWS Config spécifiée	Lecture	ConfigRule*
GetComplianceDetailsByResource	Accorde l'autorisation de renvoyer les résultats de l'évaluation pour la AWS ressource spécifiée	Lecture
GetComplianceSummaryByConfigRule	Accorde l'autorisation de renvoyer le nombre de règles AWS Config conformes et non conformes, jusqu'à un maximum de 25 pour chacune	Lecture
GetComplianceSummaryByResourceType	Accorde l'autorisation de renvoyer le nombre de ressources qui sont conformes et le nombre de ressources qui sont non conformes	Lecture
GetConformancePackComplianceDetails	Accorde l'autorisation de renvoyer les informations de conformité d'un pack de conformité pour toutes les AWS ressources surveillées par le pack de conformité	Lecture	ConformancePack*
GetConformancePackComplianceSummary	Accorde l'autorisation de fournir un résumé de la conformité pour un ou plusieurs packs de conformité	Lecture	ConformancePack*
GetCustomRulePolicy	Accorde l'autorisation de renvoyer la définition de politique contenant la logique de votre règle AWS Config Custom Policy	Lecture	ConfigRule*
GetDiscoveredResourceCounts	Accorde l'autorisation de renvoyer les types de ressources, le nombre de chaque type de ressource et le nombre total de ressources que AWS Config enregistre dans cette région pour votre Compte AWS	Lecture
GetOrganizationConfigRuleDetailedStatus	Accorde l'autorisation de renvoyer le statut détaillé de chaque compte membre au sein d'une organisation pour une règle Config d'organisation donnée	Lecture	OrganizationConfigRule*
GetOrganizationConformancePackDetailedStatus	Accorde l'autorisation de renvoyer le statut détaillé de chaque compte membre au sein d'une organisation pour un pack de conformité de l'organisation donné	Lecture	OrganizationConformancePack*
GetOrganizationCustomRulePolicy	Accorde l'autorisation de renvoyer la définition de politique contenant la logique de la règle AWS Config Custom Policy de votre organisation	Lecture	OrganizationConfigRule*
GetResourceConfigHistory	Accorde l'autorisation de renvoyer la liste d'éléments de configuration pour la ressource spécifiée	Lecture
GetResourceEvaluationSummary	Accorde l'autorisation de renvoyer le résumé des évaluations des ressources pour un ID d’évaluation de ressources spécifique	Lecture
GetStoredQuery	Accorde l'autorisation de renvoyer les détails d'une requête stockée spécifique	Lecture	StoredQuery*
ListAggregateDiscoveredResources	Accorde l'autorisation d'accepter un type de ressource et de renvoyer la liste des identifiants de ressources qui sont regroupés pour un type de ressources spécifique entre les comptes et les régions	Liste	ConfigurationAggregator*
ListConformancePackComplianceScores	Accorde l'autorisation de renvoyer le pourcentage de combinaisons règle-ressource conformes dans un pack de conformité par rapport au nombre total de combinaisons règles-ressources possibles	Liste
ListDiscoveredResources	Accorde l'autorisation d'accepter un type de ressources et renvoie la liste des identifiants de ressources correspondant aux ressources de ce type	Liste
ListResourceEvaluations	Accorde l'autorisation de répertorier les résumés d'évaluation des ressources pour un Compte AWS Région AWS	Liste
ListStoredQueries	Accorde l'autorisation de répertorier les requêtes stockées pour un Compte AWS Région AWS	Liste
ListTagsForResource	Accorde l'autorisation de répertorier les balises de la ressource AWS Config	Lecture	AggregationAuthorization
			ConfigRule
			ConfigurationAggregator
			ConformancePack
			OrganizationConfigRule
			OrganizationConformancePack
			StoredQuery
PutAggregationAuthorization	Accorde l'autorisation de permettre au compte agrégateur et la région à collecter les données depuis le compte et la région sources	Écrire	AggregationAuthorization*
PutAggregationAuthorization		Écrire		aws:RequestTag/${TagKey} aws:TagKeys
PutConfigRule	Accorde l'autorisation d'ajouter ou de mettre à jour une règle de AWS configuration pour évaluer si vos AWS ressources sont conformes aux configurations souhaitées	Écrire	ConfigRule*
PutConfigRule		Écrire		aws:RequestTag/${TagKey} aws:TagKeys
PutConfigurationAggregator	Accorde l'autorisation de créer et de mettre à jour l'agrégateur de configuration avec les comptes et régions sources sélectionnés	Écriture	ConfigurationAggregator*		iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators
PutConfigurationAggregator		Écriture		aws:RequestTag/${TagKey} aws:TagKeys
PutConfigurationRecorder	Accorde l'autorisation de créer un nouvel enregistreur de configuration pour enregistrer les configurations de ressources sélectionnées	Écriture
PutConformancePack	Accorde l'autorisation de créer ou de mettre à jour un pack de conformité	Écriture	ConformancePack*		iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument
PutDeliveryChannel	Accorde l'autorisation de créer un objet de canal de livraison pour fournir des informations de configuration à un compartiment Amazon S3 et à une rubrique Amazon SNS	Écrire
PutEvaluations	Accorde l'autorisation d'être utilisée par une fonction AWS Lambda pour fournir des résultats d'évaluation à Config AWS	Écrire
PutExternalEvaluation	Accorde l'autorisation de fournir le résultat de l'évaluation à AWS Config	Écrire	ConfigRule*
PutOrganizationConfigRule	Accorde l'autorisation d'ajouter ou de mettre à jour une règle de configuration d'organisation pour l'ensemble de votre organisation en évaluant si vos AWS ressources sont conformes aux configurations souhaitées	Écrire	OrganizationConfigRule*		iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators
PutOrganizationConformancePack	Accorde l'autorisation d'ajouter ou de mettre à jour le pack de conformité organisationnel pour l'ensemble de votre organisation, en évaluant si vos AWS ressources sont conformes aux configurations souhaitées	Écrire	OrganizationConformancePack*		iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject
PutRemediationConfigurations	Accorde l'autorisation d'ajouter ou de mettre à jour la configuration de correction avec une règle de AWS configuration spécifique avec la cible ou l'action sélectionnée	Écrire	RemediationConfiguration*		iam:PassRole
PutRemediationExceptions	Accorde l'autorisation d'ajouter ou de mettre à jour des exceptions de correction pour des ressources spécifiques pour une règle de AWS configuration spécifique	Écrire
PutResourceConfig	Accorde l'autorisation d'enregistrer l'état de configuration pour la ressource fournie dans la demande	Écrire
PutRetentionConfiguration	Accorde l'autorisation de créer et de mettre à jour la configuration de rétention avec des détails sur la période de rétention (nombre de jours) pendant laquelle AWS Config stocke vos informations historiques	Écrire
PutStoredQuery	Accorde l'autorisation d'enregistrer une nouvelle requête ou de mettre à jour une requête enregistrée existante	Écrire	StoredQuery*
PutStoredQuery		Écrire		aws:RequestTag/${TagKey} aws:TagKeys
SelectAggregateResourceConfig	Accorde l'autorisation d'accepter une commande SELECT en langage de requête structuré (SQL) et un agrégateur pour interroger l'état de configuration des AWS ressources sur plusieurs comptes et régions, effectuer la recherche correspondante et renvoyer les configurations de ressources correspondant aux propriétés	Lecture	ConfigurationAggregator*
SelectResourceConfig	Accorde l'autorisation d'accepter une commande SELECT SQL, d'effectuer la recherche correspondante, et de renvoyer les configurations de ressources correspondant aux propriétés	Lecture
StartConfigRulesEvaluation	Accorde l'autorisation d'évaluer vos ressources par rapport aux règles Config spécifiées	Écrire	ConfigRule*
StartConfigurationRecorder	Accorde l'autorisation de commencer à enregistrer les configurations des AWS ressources que vous avez sélectionnées pour enregistrer dans votre Compte AWS	Écrire
StartRemediationExecution	Autorise l'exécution d'une correction à la demande pour les règles de AWS configuration spécifiées par rapport à la dernière configuration de correction connue	Écrire			iam:PassRole
StartResourceEvaluation	Accorde l'autorisation d'évaluer les détails de vos ressources par rapport aux règles AWS Config de votre compte	Écrire			cloudformation:DescribeType
StopConfigurationRecorder	Accorde l'autorisation d'arrêter l'enregistrement des configurations AWS des ressources que vous avez sélectionnées pour enregistrer dans votre Compte AWS	Écrire
TagResource	Accorde l'autorisation d'associer les balises spécifiées à une ressource avec le resourceArn spécifié	Balisage	AggregationAuthorization
			ConfigRule
			ConfigurationAggregator
			ConformancePack
			OrganizationConfigRule
			OrganizationConformancePack
			StoredQuery
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	Accorde l'autorisation de supprimer les balises spécifiées d'une ressource	Balisage	AggregationAuthorization
			ConfigRule
			ConfigurationAggregator
			ConformancePack
			OrganizationConfigRule
			OrganizationConformancePack
			StoredQuery
				aws:TagKeys

Types de ressources définis par AWS Config

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources	ARN	Clés de condition
AggregationAuthorization	`arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}`	aws:ResourceTag/${TagKey}
ConfigurationAggregator	`arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}`	aws:ResourceTag/${TagKey}
ConfigRule	`arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}`	aws:ResourceTag/${TagKey}
ConformancePack	`arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}`	aws:ResourceTag/${TagKey}
OrganizationConfigRule	`arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}`	aws:ResourceTag/${TagKey}
OrganizationConformancePack	`arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}`	aws:ResourceTag/${TagKey}
RemediationConfiguration	`arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}`
StoredQuery	`arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}`	aws:ResourceTag/${TagKey}

Clés de condition pour AWS Config

AWS Config définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition	Description	Type
aws:RequestTag/${TagKey}	Filtre l'accès en fonction de l'ensemble de valeurs autorisées pour chacune des identifications	Chaîne
aws:ResourceTag/${TagKey}	Filtre l'accès en fonction de la valeur d'identification associée à la ressource	Chaîne
aws:TagKeys	Filtre l'accès en fonction de la présence de identifications obligatoires dans la demande	ArrayOfString

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Compute Optimizer

Amazon Connect