As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do AWS Config
AWS Config (prefixo do serviço:config) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Config
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| BatchGetAggregateResourceConfig | Concede permissão para retornar os itens de configuração atuais dos recursos que estão presentes em seu agregador AWS Config | Leitura | |||
| BatchGetResourceConfig | Concede permissão para retornar a configuração atual para um ou mais recursos solicitados | Read | |||
| DeleteAggregationAuthorization | Concede permissão para excluir a autorização concedida à conta agregadora de configuração especificada em uma região especificada | Escrever | |||
| DeleteConfigRule | Concede permissão para excluir a regra AWS Config especificada e todos os seus resultados de avaliação | Escrever | |||
| DeleteConfigurationAggregator | Concede permissão para excluir o agregador de configuração especificado e os dados agregados associados ao agregador | Write | |||
| DeleteConfigurationRecorder | Concede permissão para excluir o gravador de configuração | Escrever | |||
| DeleteConformancePack | Concede permissão para excluir o pacote de conformidade especificado e todas as regras de AWS Config e todos os resultados de avaliação dentro desse pacote de conformidade | Escrever | |||
| DeleteDeliveryChannel | Concede permissão para excluir o canal de entrega | Write | |||
| DeleteEvaluationResults | Concede permissão para excluir os resultados da avaliação para a regra de configuração especificada | Write | |||
| DeleteOrganizationConfigRule | Concede permissão para excluir a regra de configuração da organização especificada e todos os resultados de avaliação de todas as contas de membros dessa organização | Write | |||
| DeleteOrganizationConformancePack | Concede permissão para excluir o pacote de conformidade da organização especificado e todos os resultados de avaliação de todas as contas de membros dessa organização | Write | |||
| DeletePendingAggregationRequest | Concede permissão para excluir solicitações de autorização pendentes para uma conta agregadora especificada em uma região especificada | Write | |||
| DeleteRemediationConfiguration | Concede permissão para excluir a configuração de correção | Escrever | |||
| DeleteRemediationExceptions | Concede permissão para excluir uma ou mais exceções de remediação para chaves de recursos específicas para uma regra de configuração AWS específica | Escrever | |||
| DeleteResourceConfig | Concede permissão para registrar o estado de configuração de um recurso personalizado excluído | Write | |||
| DeleteRetentionConfiguration | Concede permissão para excluir a configuração de retenção | Escrever | |||
| DeleteStoredQuery | Concede permissão para excluir a consulta armazenada para um Conta da AWS em um Região da AWS | Escrever | |||
| DeliverConfigSnapshot | Concede permissão para agendar a entrega de um snapshot de configuração para o bucket do Amazon S3 no canal de entrega especificado | Read | |||
| DescribeAggregateComplianceByConfigRules | Concede permissão para devolver uma lista de regras compatíveis e não conformes com o número de recursos para regras compatíveis e não conformes | Read | |||
| DescribeAggregateComplianceByConformancePacks | Concede permissão para devolver uma lista de pacotes de compatibilidade compatíveis e não compatíveis, juntamente com a contagem de regras compatíveis, não compatíveis e totais dentro de cada pacote de compatibilidade | Read | |||
| DescribeAggregationAuthorizations | Concede permissão para devolver uma lista de autorizações concedidas a várias contas agregadoras e regiões | Lista | |||
| DescribeComplianceByConfigRule | Concede permissão para indicar se as regras de AWS Config especificadas estão em conformidade | Leitura | |||
| DescribeComplianceByResource | Concede permissão para indicar se os AWS recursos especificados estão em conformidade | Leitura | |||
| DescribeConfigRuleEvaluationStatus | Concede permissão para retornar informações de status para cada uma de suas regras de Config AWS gerenciadas | Leitura | |||
| DescribeConfigRules | Concede permissão para retornar detalhes sobre suas regras de AWS Config | Lista | |||
| DescribeConfigurationAggregatorSourcesStatus | Concede permissão para devolver informações de status para fontes dentro de um agregador | Read | |||
| DescribeConfigurationAggregators | Concede permissão para devolver os detalhes de um ou mais agregadores de configuração | List | |||
| DescribeConfigurationRecorderStatus | Concede permissão para devolver o status atual do gravador de configuração especificado | Read | |||
| DescribeConfigurationRecorders | Concede permissão para devolver os nomes de um ou mais gravadores de configuração especificados | List | |||
| DescribeConformancePackCompliance | Concede permissão para devolver informações de conformidade para cada regra nesse pacote de conformidade | Read | |||
| DescribeConformancePackStatus | Concede permissão para fornecer um ou mais status de implantação de pacotes de conformidade | Read | |||
| DescribeConformancePacks | Concede permissão para retornar uma lista de um ou mais pacotes de conformidade | List | |||
| DescribeDeliveryChannelStatus | Concede permissão para retornar o status atual do canal de entrega especificado | Read | |||
| DescribeDeliveryChannels | Concede permissão para devolver detalhes sobre o canal de entrega especificado | List | |||
| DescribeOrganizationConfigRuleStatuses | Concede permissão para fornecer status de implantação da regra de configuração da organização para uma organização | Read | |||
| DescribeOrganizationConfigRules | Concede permissão para devolver uma lista de regras de configuração da organização | List | |||
| DescribeOrganizationConformancePackStatuses | Concede permissão para fornecer status de implantação do pacote de conformidade da organização para uma organização | Read | |||
| DescribeOrganizationConformancePacks | Concede permissão para devolver uma lista de pacotes de conformidade da organização | List | |||
| DescribePendingAggregationRequests | Concede permissão para devolver uma lista de todas as solicitações de agregação pendentes | List | |||
| DescribeRemediationConfigurations | Concede permissão para devolver os detalhes de uma ou mais configurações de correção | List | |||
| DescribeRemediationExceptions | Concede permissão para devolver os detalhes de uma ou mais exceções de correção | List | |||
| DescribeRemediationExecutionStatus | Concede permissão para fornecer uma visualização detalhada de uma execução de remediação para um conjunto de recursos, incluindo estado, carimbos de data/hora e quaisquer mensagens de erro para etapas que falharam | Read | |||
| DescribeRetentionConfigurations | Concede permissão para devolver os detalhes de uma ou mais configurações de retenção | Lista | |||
| GetAggregateComplianceDetailsByConfigRule | Concede permissão para retornar os resultados da avaliação da regra AWS Config especificada para um recurso específico em uma regra | Leitura | |||
| GetAggregateConfigRuleComplianceSummary | Concede permissão para devolver o número de regras compatíveis e não conformes para uma ou mais contas e regiões em um agregador | Read | |||
| GetAggregateConformancePackComplianceSummary | Concede permissão para devolver o número de pacotes de compatibilidade compatíveis e não compatíveis para uma ou mais contas e regiões em um agregador | Leitura | |||
| GetAggregateDiscoveredResourceCounts | Concede permissão para retornar as contagens de recursos em todas as contas e regiões que estão presentes em seu AWS agregador Config | Leitura | |||
| GetAggregateResourceConfig | Concede permissão para devolver o item de configuração que é agregado para seu recurso específico em uma conta e região de origem específicas | Leitura | |||
| GetComplianceDetailsByConfigRule | Concede permissão para retornar os resultados da avaliação para a regra AWS Config especificada | Leitura | |||
| GetComplianceDetailsByResource | Concede permissão para retornar os resultados da avaliação para o AWS recurso especificado | Leitura | |||
| GetComplianceSummaryByConfigRule | Concede permissão para retornar o número de regras do AWS Config compatíveis e não compatíveis, até um máximo de 25 para cada | Leitura | |||
| GetComplianceSummaryByResourceType | Concede permissão para devolver o número de recursos que estão em conformidade e o número que não estão em conformidade | Leitura | |||
| GetConformancePackComplianceDetails | Concede permissão para devolver detalhes de conformidade de um pacote de conformidade para todos os AWS recursos monitorados pelo pacote de conformidade | Leitura | |||
| GetConformancePackComplianceSummary | Concede permissão para fornecer resumo de conformidade para um ou mais pacotes de conformidade | Leitura | |||
| GetCustomRulePolicy | Concede permissão para retornar a definição da política contendo a lógica da sua regra AWS Config Custom Policy | Leitura | |||
| GetDiscoveredResourceCounts | Concede permissão para retornar os tipos de recursos, o número de cada tipo de recurso e o número total de recursos que o AWS Config está registrando nessa região para seu Conta da AWS | Leitura | |||
| GetOrganizationConfigRuleDetailedStatus | Concede permissão para devolver status detalhado para cada conta de membro dentro de uma organização para uma determinada regra de configuração da organização | Read | |||
| GetOrganizationConformancePackDetailedStatus | Concede permissão para retornar status detalhado para cada conta de membro dentro de uma organização para um determinado pacote de conformidade da organização | Leitura | |||
| GetOrganizationCustomRulePolicy | Concede permissão para retornar a definição de política contendo a lógica da regra AWS Config Custom Policy da sua organização | Leitura | |||
| GetResourceConfigHistory | Concede permissão para devolver uma lista de itens de configuração para o recurso especificado | Leitura | |||
| GetResourceEvaluationSummary | Concede permissão para retornar o resumo das avaliações do recurso para um ID específico de avaliação de recurso | Leitura | |||
| GetStoredQuery | Concede permissão para devolver os detalhes de uma consulta armazenada específica | Read | |||
| ListAggregateDiscoveredResources | Concede permissão para aceitar um tipo de recurso e devolve uma lista de identificadores de recursos agregados para um tipo de recurso específico entre contas e regiões | Lista | |||
| ListConformancePackComplianceScores | Concede permissão para retornar a porcentagem de combinações de recursos e regras compatíveis em um pacote de conformidade em comparação com o número total de combinações possíveis de regras e recursos | Lista | |||
| ListDiscoveredResources | Concede permissão para aceitar um tipo de recurso e devolve uma lista de identificadores de recursos para os recursos desse tipo | Lista | |||
| ListResourceEvaluations | Concede permissão para listar os resumos de avaliação de recursos de um Conta da AWS em um Região da AWS | Lista | |||
| ListStoredQueries | Concede permissão para listar as consultas armazenadas para um Conta da AWS em um Região da AWS | Lista | |||
| ListTagsForResource | Concede permissão para listar as tags do AWS recurso Config | Leitura | |||
| PutAggregationAuthorization | Concede permissão para autorizar a conta e a região agregadora a coletar dados da conta e região de origem | Escrever | |||
| PutConfigRule | Concede permissão para adicionar ou atualizar uma regra AWS Config para avaliar se seus AWS recursos estão em conformidade com as configurações desejadas | Escrever | |||
| PutConfigurationAggregator | Concede permissão para criar e atualizar o agregador de configuração com as contas e regiões de origem selecionadas | Write |
iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutConfigurationRecorder | Concede permissão para criar um novo gravador de configuração para registrar as configurações de recursos selecionadas | Write | |||
| PutConformancePack | Concede permissão para criar ou atualizar um pacote de conformidade | Write |
iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument |
||
| PutDeliveryChannel | Concede permissão para criar um objeto de canal de entrega para fornecer informações de configuração a um bucket do Amazon S3 e tópico do Amazon SNS | Escrever | |||
| PutEvaluations | Concede permissão para ser usado por uma função AWS Lambda para fornecer resultados de avaliação ao Config AWS | Escrever | |||
| PutExternalEvaluation | Concede permissão para entregar o resultado da avaliação ao AWS Config | Escrever | |||
| PutOrganizationConfigRule | Concede permissão para adicionar ou atualizar a regra de configuração da organização para toda a organização, avaliando se seus AWS recursos estão em conformidade com as configurações desejadas | Escrever |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutOrganizationConformancePack | Concede permissão para adicionar ou atualizar o pacote de conformidade organizacional para toda a organização, avaliando se seus AWS recursos estão em conformidade com as configurações desejadas | Escrever |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject |
||
| PutRemediationConfigurations | Concede permissão para adicionar ou atualizar a configuração de remediação com uma regra AWS Config específica com o alvo ou a ação selecionada | Escrever |
iam:PassRole |
||
| PutRemediationExceptions | Concede permissão para adicionar ou atualizar exceções de remediação para recursos específicos para uma regra de Config AWS específica | Escrever | |||
| PutResourceConfig | Concede permissão para registrar o estado de configuração do recurso fornecido na solicitação | Escrever | |||
| PutRetentionConfiguration | Concede permissão para criar e atualizar a configuração de retenção com detalhes sobre o período de retenção (número de dias) em que o AWS Config armazena suas informações históricas | Escrever | |||
| PutStoredQuery | Concede permissão para salvar uma nova consulta ou atualiza uma consulta salva existente | Escrever | |||
| SelectAggregateResourceConfig | Concede permissão para aceitar um comando SELECT da linguagem de consulta estruturada (SQL) e um agregador para consultar o estado de configuração dos AWS recursos em várias contas e regiões, realizar a pesquisa correspondente e retornar configurações de recursos que correspondam às propriedades | Leitura | |||
| SelectResourceConfig | Concede permissão para aceitar um comando SELECT de linguagem de consulta estruturada (SQL), executa a pesquisa correspondente e retorna configurações de recursos correspondentes às propriedades | Read | |||
| StartConfigRulesEvaluation | Concede permissão para avaliar seus recursos em relação às regras de configuração especificadas | Escrever | |||
| StartConfigurationRecorder | Concede permissão para começar a gravar as configurações dos AWS recursos que você selecionou para gravar em seu Conta da AWS | Escrever | |||
| StartRemediationExecution | Concede permissão para executar uma remediação sob demanda para as regras de AWS Config especificadas em relação à última configuração de remediação conhecida | Escrever |
iam:PassRole |
||
| StartResourceEvaluation | Concede permissão para avaliar os detalhes do seu recurso em relação às regras de AWS Config em sua conta | Escrever |
cloudformation:DescribeType |
||
| StopConfigurationRecorder | Concede permissão para interromper a gravação das configurações dos AWS recursos que você selecionou para gravar em seu Conta da AWS | Escrever | |||
| TagResource | Concede permissão para associar as etiquetas especificadas a um recurso com o resourceArn especificado | Marcação | |||
| UntagResource | Concede permissão para excluir etiquetas especificadas de um recurso | Marcação | |||
Tipos de recursos definidos pelo AWS Config
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| AggregationAuthorization |
arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}
|
|
| ConfigurationAggregator |
arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}
|
|
| ConfigRule |
arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}
|
|
| ConformancePack |
arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}
|
|
| OrganizationConfigRule |
arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
|
|
| OrganizationConformancePack |
arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
|
|
| RemediationConfiguration |
arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
|
|
| StoredQuery |
arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}
|
Chaves de condição do AWS Config
AWS Config define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelo conjunto de valores permitido para cada uma das etiquetas | Segmento |
| aws:ResourceTag/${TagKey} | Filtra o acesso pelo valor-etiqueta associado ao recurso | String |
| aws:TagKeys | Filtra o acesso pela presença de etiquetas obrigatórias na solicitação | ArrayOfString |
