AWS Config 규칙 API 작업에 지원되는 리소스 수준 권한 - AWS Config

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS Config 규칙 API 작업에 지원되는 리소스 수준 권한

리소스 수준 권한은 사용자가 작업을 수행할 수 있는 리소스를 지정할 수 있는 기능입니다. AWS Config는 특정 AWS Config 규칙 API 작업에 대해 리소스 수준 권한을 부분적으로 지원합니다. 즉, 필요 조건을 지정하거나 사용 가능한 특정 리소스를 지정하여 사용자가 특정 AWS Config 규칙 작업을 사용할 수 있는지 여부를 제어할 수 있습니다.

다음 테이블에서는 현재 리소스 수준 권한을 지원하는 AWS Config 규칙 API 작업뿐 아니라 각 작업에 지원되는 리소스와 해당 ARN을 보여 줍니다. ARN을 지정할 때, 예를 들어, 정확한 리소스 ID를 지정할 수 없거나 지정하길 원치 않는 경우에는 경로에 * 와일드카드를 사용할 수 있습니다.

중요

이 표에 표시되지 않은 AWS Config 규칙 API 작업은 리소스 수준 권한을 지원하지 않습니다. AWS Config 규칙 작업이 리소스 수준 권한을 지원하지 않는 경우 사용자에게 작업 사용 권한을 부여할 때 정책 명령문의 리소스 요소를 *로 지정해야 합니다.

API 작업 리소스

DeleteConfigRule

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

DeleteEvaluationResults

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeComplianceByConfigRule

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRuleEvaluationStatus

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

DescribeConfigRules

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

GetComplianceDetailsByConfigRule

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutConfigRule

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

StartConfigRulesEvaluation

Config 규칙

arn:aws:config:region:accountID:config-rule/config-rule-ID

PutRemediationConfigurations

문제 해결 구성

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DescribeRemediationConfigurations

문제 해결 구성

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DeleteRemediationConfiguration

문제 해결 구성

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

PutRemediationExceptions

문제 해결 구성

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DescribeRemediationExceptions

문제 해결 구성

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

DeleteRemediationExceptions

문제 해결 구성

arn:aws:config:region:accountId:remediation-configuration/config rule name/remediation configuration id

예를 들어, 특정 사용자에게 특정 규칙에 대해 읽기 액세스를 허용하고 쓰기 액세스를 거부할 수 있습니다.

첫 번째 정책에서 지정된 규칙에 대해 AWS Config 규칙 읽기 작업(DescribeConfigRules, DescribeConfigRuleEvaluationStatus 등)을 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "config:DescribeConfigRules", "config:StartConfigRulesEvaluation", "config:DescribeComplianceByConfigRule", "config:DescribeConfigRuleEvaluationStatus", "config:GetComplianceDetailsByConfigRule" ], "Resource": [ "arn:aws:config:region:accountID:config-rule/config-rule-ID", "arn:aws:config:region:accountID:config-rule/config-rule-ID" ] } ] }

두 번째 정책에서는 특정 규칙에 대해 AWS Config 규칙 쓰기 작업을 거부합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults" ], "Resource": "arn:aws:config:region:accountID:config-rule/config-rule-ID" } ] }

리소스 수준 권한을 사용하여 AWS Config 규칙 API 작업 시 특정 작업에 대해 읽기 액세스를 허용하고 쓰기 액세스를 거부할 수 있습니다.