翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のアイデンティティベースのポリシーの例 AWS Config
デフォルトでは、ユーザーとロールには作成または変更するアクセス許可がありません AWS Config リソースの使用料金を見積もることができます。また、 を使用してタスクを実行することはできません。 AWS Management Console, AWS Command Line Interface (AWS CLI)、または AWS API。必要なリソースに対してアクションを実行するアクセス許可をユーザーに付与するために、IAM管理者はIAMポリシーを作成できます。その後、管理者はIAMポリシーをロールに追加し、ユーザーはロールを引き受けることができます。
これらのポリシードキュメント例を使用してIAMアイデンティティベースのJSONポリシーを作成する方法については、「 ユーザーガイド」のIAM「ポリシーの作成IAM」を参照してください。
で定義されるアクションとリソースタイプの詳細については、「」を参照してください。 AWS Config各リソースタイプの の形式を含む については、ARNs「 のアクション、リソース、および条件キー」を参照してください。 AWS Config 「サービス認証リファレンス」の「」。
トピック
ポリシーのベストプラクティス
ID ベースのポリシーは、誰かが作成、アクセス、または削除できるどうかを決定します。 AWS Config アカウントの リソース。これらのアクションでは、 のコストが発生する可能性があります。 AWS アカウント。 アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従ってください。
-
の使用を開始する AWS 管理ポリシーと最小特権のアクセス許可への移行 – ユーザーとワークロードへのアクセス許可の付与を開始するには、 を使用します。 AWS 多くの一般的なユースケースにアクセス許可を付与する マネージドポリシー。これらは で利用できます。 AWS アカウント。 を定義してアクセス許可をさらに減らすことをお勧めします。 AWS ユースケースに固有の カスタマー管理ポリシー。詳細については、「」を参照してくださいAWS マネージドポリシーまたは AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。
-
最小特権のアクセス許可を適用する – IAMポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、「 ユーザーガイド」の「 のポリシーとアクセス許可IAMIAM」を参照してください。
-
IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。特定の を通じてサービスアクションが使用されている場合、条件を使用してサービスアクションへのアクセスを許可することもできます。 AWS のサービスまたは AWS CloudFormation。 詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。
-
IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、「 ユーザーガイド」のIAM「Access Analyzer ポリシーの検証IAM」を参照してください。
-
多要素認証を要求する (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合 AWS アカウントのセキュリティを強化するMFAには、 をオンにします。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 IAMユーザーガイド」のMFA「 で保護されたAPIアクセスの設定」を参照してください。
のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAMIAM」を参照してください。
にサインアップする AWS アカウント
をお持ちでない場合 AWS アカウントで、次の手順を実行して作成します。
にサインアップするには AWS アカウント
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
にサインアップするとき AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーはすべての にアクセスできます AWS のサービス アカウントの および リソース。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
にサインアップした後 AWS アカウント、 をセキュリティで保護する AWS アカウントのルートユーザー、有効化 AWS IAM Identity Center、および 管理ユーザーを作成して、日常的なタスクにルートユーザーを使用しないようにします。
のセキュリティ保護 AWS アカウントのルートユーザー
-
にサインインします。AWS Management Console
ルートユーザーを選択し、 AWS アカウント E メールアドレス。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、「」の「ルートユーザーとしてサインインする」を参照してください。 AWS サインイン ユーザーガイド。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、「 の仮想MFAデバイスの有効化」を参照してください。 AWS アカウントIAM ユーザーガイドのルートユーザー (コンソール)。
管理アクセスを持つユーザーを作成する
-
IAM Identity Center を有効にします。
手順については、「 の有効化」を参照してください。 AWS IAM Identity Center ()AWS IAM Identity Center ユーザーガイド。
-
IAM Identity Center で、ユーザーに管理アクセス権を付与します。
の使用に関するチュートリアル IAM アイデンティティセンターディレクトリ ID ソースとして、「デフォルトを使用してユーザーアクセスを設定する」を参照してください。 IAM アイデンティティセンターディレクトリ ()AWS IAM Identity Center ユーザーガイド。
管理アクセス権を持つユーザーとしてサインインする
-
IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、「 へのサインイン」を参照してください。 AWS の アクセスポータル AWS サインイン ユーザーガイド。
追加のユーザーにアクセス権を割り当てる
-
IAM Identity Center で、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。
手順については、「」の「アクセス許可セットの作成」を参照してください。 AWS IAM Identity Center ユーザーガイド。
-
グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「」の「グループの追加」を参照してください。 AWS IAM Identity Center ユーザーガイド。
以下を使用 AWS Config コンソール
にアクセスするには AWS Config コンソールでは、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の詳細を一覧表示および表示できます。 AWS Config の リソース AWS アカウント。 最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。 AWS CLI または AWS API。代わりに、実行しようとしているAPIオペレーションに一致するアクションのみへのアクセスを許可します。
ユーザーとロールが引き続き を使用できるようにするには AWS Config コンソール、 もアタッチします。 AWS Config AWSConfigUserAccess
とやり取りするためのアクセス許可をユーザーに付与する必要があります AWS Config。 へのフルアクセスを必要とするユーザーの場合 AWS Config、 へのフルアクセスを使用します。 AWS Config マネージドポリシー。
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。の「アクセス許可セットの作成」の手順に従います。 AWS IAM Identity Center ユーザーガイド。
-
ID プロバイダーIAMを通じて で管理されるユーザー:
ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) のロールの作成」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」のIAM「 ユーザーのロールの作成」の手順に従います。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 ユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール)IAM」の指示に従います。
-
自分の権限の表示をユーザーに許可する
この例では、IAMユーザーがユーザー ID にアタッチされているインラインポリシーと管理ポリシーを表示できるようにするポリシーを作成する方法を示します。このポリシーには、コンソールで、または を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。 AWS CLI または AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
への読み取り専用アクセス AWS Config
次の例は、 AWS への読み取り専用アクセスAWSConfigUserAccessを許可する マネージドポリシー AWS Config.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:Deliver*", "config:List*", "config:Select*", "tag:GetResources", "tag:GetTagKeys", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
このポリシーステートメントの Effect 要素で、アクションが許可されるか拒否されるかを指定します。Action 要素には、ユーザーによる実行を許可する特定のアクションを指定します。Resource 要素には、 AWS ユーザーがこれらのアクションを実行できる リソース。へのアクセスを制御するポリシーの場合 AWS Config アクション、 Resource要素は常に に設定されます。これは*「すべてのリソース」を意味するワイルドカードです。
Action 要素の値は、サービスがサポートAPIsする に対応します。アクションの前に が付きconfig:、 を参照していることを示します。 AWS Config アクション。次の例に示すように、* ワイルドカード文字を Action 要素で使用できます。
-
"Action": ["config:*ConfigurationRecorder"]これにより、すべての AWS Config 「」で終わる アクション ConfigurationRecorder(
StartConfigurationRecorder、StopConfigurationRecorder)。 -
"Action": ["config:*"]これにより、すべての AWS Config アクション。他の のアクションは不可 AWS サービス。
-
"Action": ["*"]これにより、すべての AWS アクション。このアクセス許可は、 として機能するユーザーに適しています。 AWS アカウントの 管理者。
読み取り専用ポリシーでは、StartConfigurationRecorder、StopConfigurationRecorder、DeleteConfigurationRecorder などのアクションに対するアクセス許可をユーザーに付与することはできません。このポリシーを持つユーザーが、設定レコーダーの開始、停止、または削除を行うことはできません。のリストの場合 AWS Config アクション、「」を参照してください。 AWS Config API リファレンス 。
へのフルアクセス AWS Config
次の例は、 へのフルアクセスを許可するポリシーを示しています。 AWS Config。 これにより、すべての を実行するアクセス許可がユーザーに付与されます。 AWS Config アクション。また、ユーザーは Amazon S3 バケット内のファイルを管理し、ユーザーが関連付けられているアカウントの Amazon SNSトピックを管理できます。
重要
このポリシーによって、広範なアクセスが許可されます。フルアクセスを付与する前にまず最小限のアクセス許可から開始し、必要に応じて追加のアクセス許可を付与することを検討してください。この方法は、寛容なアクセス許可から開始して、後でそれを厳しくするよりも安全です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:GetTopicAttributes", "sns:ListPlatformApplications", "sns:ListTopics", "sns:SetTopicAttributes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListBucketVersions", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:GetRole", "iam:GetRolePolicy", "iam:ListRolePolicies", "iam:ListRoles", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:CreateServiceLinkedRole" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "config.amazonaws.com", "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "config:*", "tag:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:DescribeDocument", "ssm:GetDocument", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListDocuments", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
でサポートされているリソースレベルのアクセス許可 AWS Config ルールAPIアクション
リソースレベルのアクセス許可とは、ユーザーがアクションを実行できるリソースを指定できる機能を意味します。 AWS Config は、特定の のリソースレベルのアクセス許可をサポートします。 AWS Config ルールAPIアクション。つまり、 AWS Config ルールアクションでは、ユーザーがこれらのアクションを使用できる条件を制御できます。これらの条件には、アクションの要件や、ユーザーが使用できる特定のリソースなどがあります。
次の表では、 について説明します。 AWS Config 現在リソースレベルのアクセス許可をサポートしている ルールAPIアクション。また、各アクションARNsでサポートされているリソースと についても説明します。を指定する場合ARN、パスに * ワイルドカードを使用できます。例えば、正確なリソース を指定できない、または指定しない場合は、 ですIDs。
重要
の場合 AWS Config ルールAPIアクションは、この表には記載されていないため、リソースレベルのアクセス許可はサポートされていません。の場合 AWS Config ルールアクションはリソースレベルのアクセス許可をサポートしていません。ユーザーに アクションを使用するアクセス許可を付与できますが、ポリシーステートメントのリソース要素に * を指定する必要があります。
| API アクション | リソース |
|---|---|
DeleteConfigRule |
Config ルール arn:aws:config: |
DeleteEvaluationResults |
Config ルール arn:aws:config: |
DescribeComplianceByConfigRule |
Config ルール arn:aws:config: |
DescribeConfigRuleEvaluationStatus |
Config ルール arn:aws:config: |
GetComplianceDetailsByConfigRule |
Config ルール arn:aws:config: |
PutConfigRule |
Config ルール arn:aws:config: |
StartConfigRulesEvaluation |
Config ルール arn:aws:config: |
PutRemediationConfigurations |
修復の設定 arn:aws:config: |
DescribeRemediationConfigurations |
修復の設定 arn:aws:config: |
DeleteRemediationConfiguration |
修復の設定 arn:aws:config: |
PutRemediationExceptions |
修復の設定 arn:aws:config: |
DescribeRemediationExceptions |
修復の設定 arn:aws:config: |
DeleteRemediationExceptions |
修復の設定 arn:aws:config: |
例えば、特定のルールで特定のユーザーに読み取りアクセスを許可して、書き込みアクセスを拒否するとします。
最初のポリシーでは、 を許可します。 AWS Config ルールは、指定されたルールDescribeConfigRuleEvaluationStatusに対する などの読み取りアクションを読み取ります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }
2 番目のポリシーでは、 AWS Config ルールは、特定のルールに対してアクションを書き込みます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }
リソースレベルのアクセス許可を使用すると、読み取りアクセスを許可し、書き込みアクセスを拒否して、 で特定のアクションを実行できます。 AWS Config ルールAPIアクション。
マルチアカウント、マルチリージョンのデータ集約でサポートされるリソースレベルのアクセス許可。
ユーザーがマルチアカウントマルチリージョンのデータ集約に対して特定のアクションを実行する機能を管理するには、リソースレベルのアクセス許可を使用します。以下のようになります AWS Config
Aggregator APIs はリソースレベルのアクセス許可をサポートします。
例えば、2 つのアグリゲータを作成し、 へのアクセスを許可するAccessibleAggregatorが、 へのアクセスを拒否する IAMポリシーをアAccessibleAggregatorInAccessibleAggregatorタッチすることで、特定のユーザーからのリソースデータへのアクセスを制限できますInAccessibleAggregator。
IAM のポリシー AccessibleAggregator
このポリシーでは、 でサポートされているアグリゲータアクションへのアクセスを許可します。 AWS Config
指定した Amazon リソースネーム (ARN)。この例では、 AWS Config ARN は ですarn:aws:config:ap-northeast-1:。AccountID:config-aggregator/config-aggregator-mocpsqhs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigAllow", "Effect": "Allow", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs" } ] }
IAM のポリシー InAccessibleAggregator
このポリシーでは、 でサポートされているアグリゲータアクションへのアクセスを拒否します。 AWS Config ARN 指定した 。この例では、 AWS Config ARN は ですarn:aws:config:ap-northeast-1:。AccountID:config-aggregator/config-aggregator-pokxzldx
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigDeny", "Effect": "Deny", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ] }
デベロッパーグループのユーザーが でこれらのアクションのいずれかを実行しようとする場合 AWS Config ARN 指定したユーザーにはアクセス拒否の例外が発生します。
ユーザーのアクセス許可の確認
作成したアグリゲータを表示するには、以下を実行します。 AWS CLI コマンド:
aws configservice describe-configuration-aggregators
コマンドが正常に完了すると、アカウントに関連付けられているすべてのアグリゲーターの詳細を確認できます。この例では、AccessibleAggregator および InAccessibleAggregator のようになります。
{ "ConfigurationAggregators": [ { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "AccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 }, { "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "InAccessibleAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.455 } ] }
注記
には、 のカンマ区切りリストaccount-aggregation-sourcesを入力します。 AWS
データを集約する IDs アカウント。アカウントを角括IDs弧で囲み、必ず引用符 (例: ) をエスケープします"[{\"AccountIds\": [\"。AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"
以下のIAMポリシーをアタッチしてInAccessibleAggregator、 またはアクセスを拒否するアグリゲータへのアクセスを拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigDeny", "Effect": "Deny", "Action": [ "config:BatchGetAggregateResourceConfig", "config:DeleteConfigurationAggregator", "config:DescribeAggregateComplianceByConfigRules", "config:DescribeAggregateComplianceByConformancePacks", "config:DescribeConfigurationAggregatorSourcesStatus", "config:GetAggregateComplianceDetailsByConfigRule", "config:GetAggregateConfigRuleComplianceSummary", "config:GetAggregateConformancePackComplianceSummary", "config:GetAggregateDiscoveredResourceCounts", "config:GetAggregateResourceConfig", "config:ListAggregateDiscoveredResources", "config:PutConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx" } ] }
次に、IAMポリシーが特定のアグリゲータのルールへのアクセスを制限するために機能していることを確認できます。
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-namerule name--account-idAccountID--aws-regionAwsRegion
このコマンドではアクセス拒否の例外が返されます。
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/is not authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
