AWS Config のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Config のアクション、リソース、および条件キー

AWS Config (サービスプレフィックス: config) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Config で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchGetAggregateResourceConfig AWS Config アグリゲータに存在するリソースの現在の設定項目を返すアクセス許可を付与します Read

ConfigurationAggregator*

BatchGetResourceConfig 要求された 1 つまたは複数のリソースの現在の設定を返すアクセス許可を付与します Read
DeleteAggregationAuthorization 指定されたリージョン内の指定された設定アグリゲータアカウントに付与されているアクセス承認を削除します 書き込み

AggregationAuthorization*

DeleteConfigRule 指定された AWS Config ルールとそのすべての評価結果を削除するアクセス許可を付与します 書き込み

ConfigRule*

DeleteConfigurationAggregator 指定された設定アグリゲータとそのアグリゲータに関連付けられている集約データを削除するアクセス許可を付与します 書き込み

ConfigurationAggregator*

DeleteConfigurationRecorder 設定レコーダーを削除するアクセス許可を付与します 書き込み
DeleteConformancePack 指定されたコンフォーマンスパック、すべての AWS Config ルール、およびそのコンフォーマンスパック内のすべての評価結果を削除するアクセス許可を付与します 書き込み
DeleteDeliveryChannel 配信チャネルを削除するアクセス許可を付与します 書き込み
DeleteEvaluationResults 指定された Config ルールの評価結果を削除するアクセス許可を付与します 書き込み

ConfigRule*

DeleteOrganizationConfigRule 指定された組織設定ルールと、その組織内のすべてのメンバーアカウントの評価結果を削除するアクセス許可を付与します 書き込み
DeleteOrganizationConformancePack 指定された組織コンフォーマンスパックと、その組織内のすべてのメンバーアカウントの評価結果を削除するアクセス許可を付与します 書き込み
DeletePendingAggregationRequest 指定されたリージョン内の指定されたアグリゲータアカウントの保留中の権限リクエストを削除するアクセス許可を付与します 書き込み
DeleteRemediationConfiguration 修正設定を削除するアクセス許可を付与します 書き込み

RemediationConfiguration*

DeleteRemediationExceptions 特定の AWS Config ルールの特定のリソースキーに対する 1 つ以上の修復例外を削除するアクセス許可を付与します。 書き込み
DeleteResourceConfig 削除されたカスタムリソースの設定状態を記録するアクセス許可を付与します 書き込み
DeleteRetentionConfiguration 保持存設定を削除するアクセス許可を付与します 書き込み
DeleteStoredQuery AWS リージョンの AWS アカウント用に保存されたクエリを削除するアクセス許可を付与します 書き込み

StoredQuery*

DeliverConfigSnapshot 指定された配信チャネルの Amazon S3 バケットへの設定スナップショットの配信をスケジュールするアクセス許可を付与します Read
DescribeAggregateComplianceByConfigRules 準拠および非準拠ルールのリソース数で準拠および非準拠ルールに返すアクセス許可を付与します Read

ConfigurationAggregator*

DescribeAggregateComplianceByConformancePacks 各コンフォーマンスパック内の準拠ルール数、非準拠ルール、および合計ルール数とともに、準拠および非準拠の準拠パックの一覧を返すアクセス許可を付与します。 Read

ConfigurationAggregator*

DescribeAggregationAuthorizations さまざまなアグリゲータアカウントおよびリージョンに付与された権限のリストを返すアクセス許可を付与します。 リスト
DescribeComplianceByConfigRule 指定された AWS Config ルールが準拠しているかどうかを示すアクセス許可を付与します Read

ConfigRule*

DescribeComplianceByResource 指定された AWS リソースが準拠しているかどうかを示すアクセス許可を付与します Read
DescribeConfigRuleEvaluationStatus AWS マネージド Config ルールのステータス情報を返すアクセス許可を付与します Read

ConfigRule*

DescribeConfigRules AWS Config ルールの詳細を返すアクセス許可を付与します リスト

ConfigRule*

DescribeConfigurationAggregatorSourcesStatus アグリゲータ内のソースのステータス情報を返すアクセス許可を付与します Read

ConfigurationAggregator*

DescribeConfigurationAggregators 1 つ以上の設定アグリゲータの詳細を返すアクセス許可を付与します。 リスト
DescribeConfigurationRecorderStatus 指定された設定レコーダーの現在のステータスを返すアクセス許可を付与します。 Read
DescribeConfigurationRecorders 指定された 1 つまたは複数の設定レコーダーの名前を返すアクセス許可を付与します リスト
DescribeConformancePackCompliance そのコンフォーマンスパック内の各ルールのコンプライアンス情報を返すアクセス許可を付与します Read
DescribeConformancePackStatus 1 つまたは複数のコンフォーマンスパックの展開ステータスを提供するアクセス許可を付与します Read
DescribeConformancePacks 1 つまたは複数のコンフォーマンスパックのリストを返すアクセス許可を付与します リスト
DescribeDeliveryChannelStatus 指定された配信チャネルの現在のステータスを返すアクセス許可を付与します Read
DescribeDeliveryChannels 指定された配信チャネルの詳細を返すアクセス許可を付与します。 リスト
DescribeOrganizationConfigRuleStatuses 組織の設定ルールの展開状態を提供するアクセス許可を付与します Read
DescribeOrganizationConfigRules 組織設定ルールのリストを返すアクセス許可を付与します リスト
DescribeOrganizationConformancePackStatuses 組織のコンフォーマンスパックの展開ステータスを提供するためのアクセス許可を付与します Read
DescribeOrganizationConformancePacks 組織のコンフォーマンスパックのリストを返すアクセス許可を付与します リスト
DescribePendingAggregationRequests 保留中のすべてのアグリゲーションリクエストのリストを返すアクセス許可を付与します リスト
DescribeRemediationConfigurations 1 つまたは複数の修正設定の詳細を返すアクセス許可を付与します リスト

RemediationConfiguration*

DescribeRemediationExceptions 1 つまたは複数の修正例外の詳細を返すアクセス許可を付与します リスト
DescribeRemediationExecutionStatus 状態、タイムスタンプ、失敗したステップのエラーメッセージなど、一連のリソースに対する修正実行の詳細ビューを提供します Read

RemediationConfiguration*

DescribeRetentionConfigurations 1つ以上の保持設定の詳細を返すアクセス許可を付与します リスト
GetAggregateComplianceDetailsByConfigRule ルール内の特定のリソースの指定された AWS Config ルールの評価結果を返すアクセス許可を付与します Read

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary アグリゲータ内の 1 つ以上のアカウントとリージョンに対する準拠ルールおよび非準拠ルールの数を返すアクセス許可を付与します Read

ConfigurationAggregator*

GetAggregateConformancePackComplianceSummary アグリゲータ内の 1 つ以上のアカウントとリージョンに対する準拠コンフォーマンスパックおよび非準拠コンフォーマンスパックの数を返すアクセス許可を付与します。 Read

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts AWS Config アグリゲータに存在するアカウントとリージョン全体のリソース数を返すアクセス許可を付与します Read

ConfigurationAggregator*

GetAggregateResourceConfig 特定のソースアカウントとリージョンの特定のリソースに対してアグリゲートされた設定項目を返すアクセス許可を付与します Read

ConfigurationAggregator*

GetComplianceDetailsByConfigRule 指定された AWS Config ルールの評価結果を返すアクセス許可を付与します Read

ConfigRule*

GetComplianceDetailsByResource 指定された AWS リソースの評価結果を返すアクセス許可を付与します Read
GetComplianceSummaryByConfigRule 準拠および非準拠の AWS Config ルールの数を返すアクセス許可を付与します。それぞれのルールは最大 25 個までです Read
GetComplianceSummaryByResourceType 準拠しているリソースの数と準拠していないリソースの数を返すアクセス許可を付与します Read
GetConformancePackComplianceDetails コンフォーマンスパックによってモニタリングされるすべての AWS リソースのコンフォーマンスパックのコンプライアンス詳細を返すアクセス許可を付与します Read
GetConformancePackComplianceSummary 1 つまたは複数のコンフォーマンスパックに対するコンプライアンス概要を提供するアクセス許可を付与します Read
GetDiscoveredResourceCounts AWS Config がこのリージョンで AWS アカウントについて記録しているリソースタイプ、各リソースタイプの数、およびリソースの総数を返すアクセス許可を付与します Read
GetOrganizationConfigRuleDetailedStatus 特定の組織設定ルールについて、組織内の各メンバーアカウントの詳細なステータスを返すアクセス許可を付与します Read
GetOrganizationConformancePackDetailedStatus 特定の組織コンフォーマンスパックについて、組織内の各メンバーアカウントの詳細なステータスを返すアクセス許可を付与します Read
GetResourceConfigHistory 指定されたリソースの設定項目のリストを返すアクセス許可を付与します Read
GetStoredQuery 特定の保存されたクエリの詳細を返すアクセス許可を付与します Read

StoredQuery*

ListAggregateDiscoveredResources リソースタイプを許容し、アカウントとリージョン全体で特定のリソースタイプについてアグリゲートされたリソース識別子を一覧表示するアクセス許可を付与します リスト

ConfigurationAggregator*

ListDiscoveredResources リソースタイプを受け入れ、そのタイプのリソースのリソース識別子のリストを返すアクセス許可を付与します リスト
ListStoredQueries AWS リージョンの AWS アカウント用に保存されたクエリを一覧表示するアクセス許可を付与します リスト

StoredQuery*

ListTagsForResource AWS Config リソースのタグを一覧表示するアクセス許可を付与します。 Read

AggregationAuthorization

ConfigRule

ConfigurationAggregator

PutAggregationAuthorization アグリゲータアカウントとリージョンに、ソースアカウントとリージョンからデータを収集するアクセス許可を付与します 書き込み

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule AWS リソースが目的の設定に準拠しているかどうかを評価する AWS Config ルールを追加または更新しするアクセス許可を付与します 書き込み

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator 選択したソースアカウントとリージョンを使用して設定アグリゲータを作成および更新するアクセス許可を付与します 書き込み

ConfigurationAggregator*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder 選択したリソース設定を記録する新しい設定レコーダーを作成するアクセス許可を付与します。 書き込み
PutConformancePack コンフォーマンスパックを作成または更新するアクセス許可を付与します 書き込み
PutDeliveryChannel Amazon S3 バケットおよび Amazon SNS トピックに設定情報を配信する配信チャネルオブジェクトを作成するアクセス許可を付与します 書き込み
PutEvaluations 評価結果を AWS Config に配信するために AWS Lambda 関数により使用されるアクセス許可を付与します 書き込み
PutExternalEvaluation 評価結果を AWS Config に配信するアクセス許可を付与します 書き込み
PutOrganizationConfigRule AWS リソースが目的の設定に準拠しているかどうかを評価する組織全体の組織設定ルールを追加または更新します。 書き込み
PutOrganizationConformancePack AWS リソースが目的の設定に準拠しているかどうかを評価する、組織全体の組織コンフォーマンスパックを追加または更新するアクセス許可を付与します 書き込み
PutRemediationConfigurations 選択されたターゲットまたはアクションを使用して、修正設定を特定の AWS Config ルールとともに追加、または特定の AWS Config ルールで更新するアクセス許可を付与します 書き込み

RemediationConfiguration*

PutRemediationExceptions 特定の AWS Config ルールの特定のリソースに対する修正例外を追加または更新するアクセス許可を付与します 書き込み
PutResourceConfig リクエストで提供されたリソースの設定状態を記録するアクセス許可を付与します 書き込み
PutRetentionConfiguration AWS Config が履歴情報を保存する保持期間 (日数) についての詳細を作成および更新するアクセス許可を付与します 書き込み
PutStoredQuery 新しいクエリを保存する権限を付与するか、既存の保存されたクエリを更新する 書き込み

StoredQuery*

SelectAggregateResourceConfig 構造化クエリ言語 (SQL) の SELECT コマンドとアグリゲータを受け入れ、複数のアカウントおよびリージョン間で AWS リソースのクエリを実行し、対応する検索を実行して、プロパティに一致するリソース設定を返すアクセス許可を付与します Read
SelectResourceConfig 構造化クエリ言語 (SQL) の SELECT コマンドを受け入れ、対応する検索を実行し、プロパティに一致するリソース設定を返すアクセス許可を付与します Read
StartConfigRulesEvaluation 指定した Config ルールに対してリソースを評価するアクセス許可を付与します 書き込み

ConfigRule*

StartConfigurationRecorder AWS アカウントに記録するように選択した AWS リソースの記録設定を開始するアクセス許可を付与します 書き込み
StartRemediationExecution 最後の既知の修正設定に対して、指定された AWS Config ルールのオンデマンド修正を実行するアクセス許可を付与します 書き込み

RemediationConfiguration*

StopConfigurationRecorder AWS アカウントに記録するように選択した AWS リソースの記録設定を停止するアクセス許可を付与します 書き込み
TagResource 指定された resourceRN のリソースに指定されたタグを関連付けるアクセス許可を付与します タグ付け

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースからタグを削除するアクセス許可を付与します タグ付け

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:TagKeys

AWS Config で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

ConformancePack arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}

aws:ResourceTag/${TagKey}

OrganizationConfigRule arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
OrganizationConformancePack arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
RemediationConfiguration arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
StoredQuery arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}

AWS Config の条件キー

AWS Config では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグで許可されている値のセットに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられている tag-value に基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内の必須タグのプレゼンスに基づいてアクションをフィルタリングします 文字列