Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk AWS Config
AWS Config (awalan layanan:config) menyediakan sumber daya khusus layanan, tindakan, dan kunci konteks kondisi berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh AWS Config
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| BatchGetAggregateResourceConfig | Memberikan izin untuk mengembalikan item konfigurasi saat ini untuk sumber daya yang ada di agregator AWS Config Anda | Baca | |||
| BatchGetResourceConfig | Memberikan izin untuk mengembalikan konfigurasi saat ini untuk satu atau beberapa sumber daya yang diminta | Baca | |||
| DeleteAggregationAuthorization | Memberikan izin untuk menghapus otorisasi yang diberikan ke akun agregator konfigurasi yang ditentukan di wilayah tertentu | Tulis | |||
| DeleteConfigRule | Memberikan izin untuk menghapus aturan AWS Config yang ditentukan dan semua hasil evaluasinya | Tulis | |||
| DeleteConfigurationAggregator | Memberikan izin untuk menghapus agregator konfigurasi yang ditentukan dan data agregat yang terkait dengan agregator | Tulis | |||
| DeleteConfigurationRecorder | Memberikan izin untuk menghapus perekam konfigurasi | Tulis | |||
| DeleteConformancePack | Memberikan izin untuk menghapus paket kesesuaian yang ditentukan dan semua aturan AWS Config dan semua hasil evaluasi dalam paket kesesuaian tersebut | Tulis | |||
| DeleteDeliveryChannel | Memberikan izin untuk menghapus saluran pengiriman | Tulis | |||
| DeleteEvaluationResults | Memberikan izin untuk menghapus hasil evaluasi untuk aturan Config yang ditentukan | Tulis | |||
| DeleteOrganizationConfigRule | Memberikan izin untuk menghapus aturan konfigurasi organisasi yang ditentukan dan semua hasil evaluasinya dari semua akun anggota di organisasi tersebut | Tulis | |||
| DeleteOrganizationConformancePack | Memberikan izin untuk menghapus paket kesesuaian organisasi yang ditentukan dan semua hasil evaluasinya dari semua akun anggota di organisasi tersebut | Tulis | |||
| DeletePendingAggregationRequest | Memberikan izin untuk menghapus permintaan otorisasi yang tertunda untuk akun agregator tertentu di wilayah tertentu | Tulis | |||
| DeleteRemediationConfiguration | Memberikan izin untuk menghapus konfigurasi remediasi | Tulis | |||
| DeleteRemediationExceptions | Memberikan izin untuk menghapus satu atau beberapa pengecualian remediasi untuk kunci sumber daya tertentu untuk Aturan Konfigurasi tertentu AWS | Tulis | |||
| DeleteResourceConfig | Memberikan izin untuk merekam status konfigurasi untuk sumber daya kustom yang telah dihapus | Tulis | |||
| DeleteRetentionConfiguration | Memberikan izin untuk menghapus konfigurasi retensi | Tulis | |||
| DeleteStoredQuery | Memberikan izin untuk menghapus kueri tersimpan untuk Akun AWS sebuah Wilayah AWS | Tulis | |||
| DeliverConfigSnapshot | Memberikan izin untuk menjadwalkan pengiriman snapshot konfigurasi ke bucket Amazon S3 di saluran pengiriman yang ditentukan | Baca | |||
| DescribeAggregateComplianceByConfigRules | Memberikan izin untuk mengembalikan daftar aturan yang sesuai dan tidak patuh dengan jumlah sumber daya untuk aturan yang sesuai dan tidak patuh | Baca | |||
| DescribeAggregateComplianceByConformancePacks | Memberikan izin untuk mengembalikan daftar paket kesesuaian yang sesuai dan tidak sesuai dengan jumlah aturan yang sesuai, tidak patuh, dan total dalam setiap paket kesesuaian | Baca | |||
| DescribeAggregationAuthorizations | Memberikan izin untuk mengembalikan daftar otorisasi yang diberikan ke berbagai akun agregator dan wilayah | Daftar | |||
| DescribeComplianceByConfigRule | Memberikan izin untuk menunjukkan apakah aturan AWS Config yang ditentukan sesuai | Baca | |||
| DescribeComplianceByResource | Memberikan izin untuk menunjukkan apakah AWS sumber daya yang ditentukan sesuai | Baca | |||
| DescribeConfigRuleEvaluationStatus | Memberikan izin untuk mengembalikan informasi status untuk setiap aturan Config AWS terkelola | Baca | |||
| DescribeConfigRules | Memberikan izin untuk mengembalikan detail tentang aturan AWS Config | Daftar | |||
| DescribeConfigurationAggregatorSourcesStatus | Memberikan izin untuk mengembalikan informasi status untuk sumber dalam agregator | Baca | |||
| DescribeConfigurationAggregators | Memberikan izin untuk mengembalikan detail satu atau beberapa agregator konfigurasi | Daftar | |||
| DescribeConfigurationRecorderStatus | Memberikan izin untuk mengembalikan status perekam konfigurasi yang ditentukan saat ini | Baca | |||
| DescribeConfigurationRecorders | Memberikan izin untuk mengembalikan nama satu atau lebih perekam konfigurasi yang ditentukan | Daftar | |||
| DescribeConformancePackCompliance | Memberikan izin untuk mengembalikan informasi kepatuhan untuk setiap aturan dalam paket kesesuaian tersebut | Baca | |||
| DescribeConformancePackStatus | Memberikan izin untuk memberikan satu atau beberapa status penyebaran paket kesesuaian | Baca | |||
| DescribeConformancePacks | Memberikan izin untuk mengembalikan daftar satu atau beberapa paket kesesuaian | Daftar | |||
| DescribeDeliveryChannelStatus | Memberikan izin untuk mengembalikan status saat ini dari saluran pengiriman yang ditentukan | Baca | |||
| DescribeDeliveryChannels | Memberikan izin untuk mengembalikan detail tentang saluran pengiriman yang ditentukan | Daftar | |||
| DescribeOrganizationConfigRuleStatuses | Memberikan izin untuk memberikan status penerapan aturan konfigurasi organisasi untuk organisasi | Baca | |||
| DescribeOrganizationConfigRules | Memberikan izin untuk mengembalikan daftar aturan konfigurasi organisasi | Daftar | |||
| DescribeOrganizationConformancePackStatuses | Memberikan izin untuk memberikan status penyebaran paket kesesuaian organisasi untuk organisasi | Baca | |||
| DescribeOrganizationConformancePacks | Memberikan izin untuk mengembalikan daftar paket kesesuaian organisasi | Daftar | |||
| DescribePendingAggregationRequests | Memberikan izin untuk mengembalikan daftar semua permintaan agregasi yang tertunda | Daftar | |||
| DescribeRemediationConfigurations | Memberikan izin untuk mengembalikan detail satu atau lebih konfigurasi remediasi | Daftar | |||
| DescribeRemediationExceptions | Memberikan izin untuk mengembalikan rincian satu atau lebih pengecualian remediasi | Daftar | |||
| DescribeRemediationExecutionStatus | Memberikan izin untuk memberikan tampilan terperinci tentang Eksekusi Remediasi untuk sekumpulan sumber daya termasuk status, stempel waktu, dan pesan kesalahan apa pun untuk langkah-langkah yang gagal | Baca | |||
| DescribeRetentionConfigurations | Memberikan izin untuk mengembalikan detail satu atau beberapa konfigurasi retensi | Daftar | |||
| GetAggregateComplianceDetailsByConfigRule | Memberikan izin untuk mengembalikan hasil evaluasi untuk aturan AWS Config yang ditentukan untuk sumber daya tertentu dalam aturan | Baca | |||
| GetAggregateConfigRuleComplianceSummary | Memberikan izin untuk mengembalikan jumlah aturan yang sesuai dan tidak patuh untuk satu atau beberapa akun dan wilayah dalam agregator | Baca | |||
| GetAggregateConformancePackComplianceSummary | Memberikan izin untuk mengembalikan jumlah paket kesesuaian yang sesuai dan tidak sesuai untuk satu atau beberapa akun dan wilayah dalam agregator | Baca | |||
| GetAggregateDiscoveredResourceCounts | Memberikan izin untuk mengembalikan jumlah sumber daya di seluruh akun dan wilayah yang ada di agregator Config AWS Anda | Baca | |||
| GetAggregateResourceConfig | Memberikan izin untuk mengembalikan item konfigurasi yang digabungkan untuk sumber daya spesifik Anda di akun sumber dan wilayah tertentu | Baca | |||
| GetComplianceDetailsByConfigRule | Memberikan izin untuk mengembalikan hasil evaluasi untuk aturan Config yang ditentukan AWS | Baca | |||
| GetComplianceDetailsByResource | Memberikan izin untuk mengembalikan hasil evaluasi untuk sumber daya yang ditentukan AWS | Baca | |||
| GetComplianceSummaryByConfigRule | Memberikan izin untuk mengembalikan jumlah aturan AWS Config yang sesuai dan tidak sesuai, hingga maksimum 25 untuk masing-masing | Baca | |||
| GetComplianceSummaryByResourceType | Memberikan izin untuk mengembalikan jumlah sumber daya yang sesuai dan nomor yang tidak sesuai | Baca | |||
| GetConformancePackComplianceDetails | Memberikan izin untuk mengembalikan rincian kepatuhan paket kesesuaian untuk semua AWS sumber daya yang dipantau oleh paket kesesuaian | Baca | |||
| GetConformancePackComplianceSummary | Memberikan izin untuk memberikan ringkasan kepatuhan untuk satu atau beberapa paket kesesuaian | Baca | |||
| GetCustomRulePolicy | Memberikan izin untuk mengembalikan definisi kebijakan yang berisi logika untuk aturan Kebijakan Kustom AWS Config Anda | Baca | |||
| GetDiscoveredResourceCounts | Memberikan izin untuk mengembalikan jenis sumber daya, jumlah setiap jenis sumber daya, dan jumlah total sumber daya yang direkam AWS Config di wilayah ini untuk Anda Akun AWS | Baca | |||
| GetOrganizationConfigRuleDetailedStatus | Memberikan izin untuk mengembalikan status terperinci untuk setiap akun anggota dalam organisasi untuk aturan konfigurasi organisasi tertentu | Baca | |||
| GetOrganizationConformancePackDetailedStatus | Memberikan izin untuk mengembalikan status terperinci untuk setiap akun anggota dalam organisasi untuk paket kesesuaian organisasi tertentu | Baca | |||
| GetOrganizationCustomRulePolicy | Memberikan izin untuk menampilkan definisi kebijakan yang berisi logika untuk aturan Kebijakan Kustom AWS Config organisasi Anda | Baca | |||
| GetResourceConfigHistory | Memberikan izin untuk mengembalikan daftar item konfigurasi untuk sumber daya yang ditentukan | Baca | |||
| GetResourceEvaluationSummary | Memberikan izin untuk mengembalikan ringkasan evaluasi sumber daya untuk ID evaluasi sumber daya tertentu | Baca | |||
| GetStoredQuery | Memberikan izin untuk mengembalikan detail kueri tersimpan tertentu | Baca | |||
| ListAggregateDiscoveredResources | Memberikan izin untuk menerima jenis sumber daya dan mengembalikan daftar pengidentifikasi sumber daya yang digabungkan untuk jenis sumber daya tertentu di seluruh akun dan wilayah | Daftar | |||
| ListConformancePackComplianceScores | Memberikan izin untuk mengembalikan persentase kombinasi aturan-sumber daya yang sesuai dalam paket kesesuaian dibandingkan dengan jumlah total kemungkinan kombinasi aturan-sumber daya | Daftar | |||
| ListDiscoveredResources | Memberikan izin untuk menerima jenis sumber daya dan mengembalikan daftar pengidentifikasi sumber daya untuk sumber daya jenis itu | Daftar | |||
| ListResourceEvaluations | Memberikan izin untuk membuat daftar ringkasan evaluasi sumber daya untuk dalam Akun AWS Wilayah AWS | Daftar | |||
| ListStoredQueries | Memberikan izin untuk membuat daftar kueri yang disimpan untuk sebuah Akun AWS Wilayah AWS | Daftar | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan tag untuk sumber daya AWS Config | Baca | |||
| PutAggregationAuthorization | Memberikan izin untuk mengotorisasi akun agregator dan wilayah untuk mengumpulkan data dari akun sumber dan wilayah | Tulis | |||
| PutConfigRule | Memberikan izin untuk menambah atau memperbarui aturan AWS Config untuk mengevaluasi apakah sumber daya AWS Anda sesuai dengan konfigurasi yang Anda inginkan | Tulis | |||
| PutConfigurationAggregator | Memberikan izin untuk membuat dan memperbarui agregator konfigurasi dengan akun dan wilayah sumber yang dipilih | Tulis |
iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutConfigurationRecorder | Memberikan izin untuk membuat perekam konfigurasi baru untuk merekam konfigurasi sumber daya yang dipilih | Tulis | |||
| PutConformancePack | Memberikan izin untuk membuat atau memperbarui paket kesesuaian | Tulis |
iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument |
||
| PutDeliveryChannel | Memberikan izin untuk membuat objek saluran pengiriman untuk mengirimkan informasi konfigurasi ke bucket Amazon S3 dan topik Amazon SNS | Tulis | |||
| PutEvaluations | Memberikan izin untuk digunakan oleh fungsi AWS Lambda untuk memberikan hasil evaluasi ke Config AWS | Tulis | |||
| PutExternalEvaluation | Memberikan izin untuk mengirimkan hasil evaluasi ke Config AWS | Tulis | |||
| PutOrganizationConfigRule | Memberikan izin untuk menambah atau memperbarui aturan konfigurasi organisasi untuk seluruh organisasi Anda mengevaluasi apakah AWS sumber daya Anda sesuai dengan konfigurasi yang Anda inginkan | Tulis |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutOrganizationConformancePack | Memberikan izin untuk menambah atau memperbarui paket kesesuaian organisasi untuk seluruh organisasi Anda mengevaluasi apakah AWS sumber daya Anda sesuai dengan konfigurasi yang Anda inginkan | Tulis |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject |
||
| PutRemediationConfigurations | Memberikan izin untuk menambah atau memperbarui konfigurasi remediasi dengan aturan AWS Config tertentu dengan target atau tindakan yang dipilih | Tulis |
iam:PassRole |
||
| PutRemediationExceptions | Memberikan izin untuk menambah atau memperbarui pengecualian remediasi untuk sumber daya tertentu untuk aturan Config tertentu AWS | Tulis | |||
| PutResourceConfig | Memberikan izin untuk merekam status konfigurasi untuk sumber daya yang disediakan dalam permintaan | Tulis | |||
| PutRetentionConfiguration | Memberikan izin untuk membuat dan memperbarui konfigurasi retensi dengan rincian tentang periode retensi (jumlah hari) bahwa AWS Config menyimpan informasi historis Anda | Tulis | |||
| PutStoredQuery | Memberikan izin untuk menyimpan kueri baru atau memperbarui kueri tersimpan yang sudah ada | Tulis | |||
| SelectAggregateResourceConfig | Memberikan izin untuk menerima perintah SELECT bahasa kueri terstruktur (SQL) dan agregator untuk menanyakan status konfigurasi AWS sumber daya di beberapa akun dan wilayah, melakukan pencarian yang sesuai, dan mengembalikan konfigurasi sumber daya yang cocok dengan properti | Baca | |||
| SelectResourceConfig | Memberikan izin untuk menerima perintah SELECT bahasa kueri terstruktur (SQL), melakukan pencarian yang sesuai, dan mengembalikan konfigurasi sumber daya yang cocok dengan properti | Baca | |||
| StartConfigRulesEvaluation | Memberikan izin untuk mengevaluasi sumber daya Anda terhadap aturan Config yang ditentukan | Tulis | |||
| StartConfigurationRecorder | Memberikan izin untuk mulai merekam konfigurasi AWS sumber daya yang telah Anda pilih untuk direkam Akun AWS | Tulis | |||
| StartRemediationExecution | Memberikan izin untuk menjalankan remediasi sesuai permintaan untuk aturan AWS Config yang ditentukan terhadap konfigurasi remediasi terakhir yang diketahui | Tulis |
iam:PassRole |
||
| StartResourceEvaluation | Memberikan izin untuk mengevaluasi detail sumber daya Anda terhadap aturan AWS Config di akun Anda | Tulis |
cloudformation:DescribeType |
||
| StopConfigurationRecorder | Memberikan izin untuk menghentikan perekaman konfigurasi sumber AWS daya yang telah Anda pilih untuk direkam Akun AWS | Tulis | |||
| TagResource | Memberikan izin untuk mengaitkan tag yang ditentukan ke sumber daya dengan ResourcEarn yang ditentukan | Penandaan | |||
| UntagResource | Memberikan izin untuk menghapus tag tertentu dari sumber daya | Penandaan | |||
Jenis sumber daya yang ditentukan oleh AWS Config
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| AggregationAuthorization |
arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}
|
|
| ConfigurationAggregator |
arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}
|
|
| ConfigRule |
arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}
|
|
| ConformancePack |
arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}
|
|
| OrganizationConfigRule |
arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
|
|
| OrganizationConformancePack |
arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
|
|
| RemediationConfiguration |
arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
|
|
| StoredQuery |
arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}
|
Kunci kondisi untuk AWS Config
AWS Config mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Memfilter akses dengan kumpulan nilai yang diizinkan untuk masing-masing tag | String |
| aws:ResourceTag/${TagKey} | Memfilter akses berdasarkan nilai tag yang terkait dengan sumber daya | String |
| aws:TagKeys | Memfilter akses dengan adanya tag wajib dalam permintaan | ArrayOfString |
