Autorizzazioni supportate a livello di risorsa per le operazioni API di AWS Config Rules - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni supportate a livello di risorsa per le operazioni API di AWS Config Rules

Le autorizzazioni a livello di risorsa indicano la possibilità di specificare le risorse su cui gli utenti sono autorizzati a eseguire operazioni. AWS Config supporta le autorizzazioni a livello di risorsa per determinate operazioni delle API di AWS Config Rules. Ciò significa che per determinate operazioni di AWS Config Rules, puoi controllare se gli utenti sono autorizzati a utilizzare tali operazioni in base a condizioni che devono essere soddisfatte o a specifiche risorse che gli utenti sono autorizzati a utilizzare.

La tabella seguente descrive le operazioni API di AWS Config Rules che attualmente supportano le autorizzazioni a livello di risorsa, nonché le risorse supportate (e gli ARN) per ciascuna operazione. Quando specifichi un ARN, puoi utilizzare il carattere jolly * nei percorsi, ad esempio quando non puoi o non vuoi specificare gli ID risorsa.

Importante

Se un'operazione API di AWS Config Rules non è presente in questa tabella, significa che non supporta le autorizzazioni a livello di risorsa. Se un'operazione di AWS Config Rules non supporta le autorizzazioni a livello di risorsa, puoi concedere agli utenti le autorizzazioni per utilizzare l'operazione, ma dovrai specificare il carattere jolly * per l'elemento di risorsa della tua dichiarazione di policy.

Operazione API Risorse

DeleteConfigRule

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

DeleteEvaluationResults

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeComplianceByConfigRule

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRuleEvaluationStatus

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRules

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

GetComplianceDetailsByConfigRule

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutConfigRule

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

StartConfigRulesEvaluation

Regola di configurazione

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutRemediationConfigurations

Configurazione di correzione

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DescribeRemediationConfigurations

Configurazione di correzione

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DeleteRemediationConfiguration

Configurazione di correzione

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

PutRemediationExceptions

Configurazione di correzione

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DescribeRemediationExceptions

Configurazione di correzione

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DeleteRemediationExceptions

Configurazione di correzione

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

Se, ad esempio, si desidera consentire l'accesso in lettura e negare l'accesso in scrittura a regole specifiche a utenti specifici.

Nella prima policy, è possibile consentire le operazioni in lettura di AWS Config Rules, ad esempio DescribeConfigRules e DescribeConfigRuleEvaluationStatus sulle regole specificate.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:DescribeConfigRules", "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }

Nella seconda policy, è possibile negare le operazioni di scrittura di AWS Config Rulessu un regola specifica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }

Con le autorizzazioni a livello di risorsa, è possibile consentire l'accesso in lettura e negare l'accesso in scrittura per eseguire azioni specifiche sulle operazioni API di AWS Config Rules.