Ações, recursos e chaves de condição do AWS Config - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Config

O AWS Config (prefixo de serviço: config) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Config

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
BatchGetAggregateResourceConfig Concede permissão para retornar os itens de configuração atuais para recursos presentes no agregador do AWS Config Read

ConfigurationAggregator*

BatchGetResourceConfig Concede permissão para retornar a configuração atual para um ou mais recursos solicitados Read
DeleteAggregationAuthorization Concede permissão para excluir a autorização concedida à conta agregadora de configuração especificada em uma região especificada Write

AggregationAuthorization*

DeleteConfigRule Concede permissão para excluir a regra especificada do AWS Config e todos os resultados de avaliação Write

ConfigRule*

DeleteConfigurationAggregator Concede permissão para excluir o agregador de configuração especificado e os dados agregados associados ao agregador Write

ConfigurationAggregator*

DeleteConfigurationRecorder Concede permissão para excluir o gravador de configuração Write
DeleteConformancePack Concede permissão para excluir o pacote de conformidade especificado, todas as regras do AWS Config e todos os resultados de avaliação desse pacote de conformidade Write
DeleteDeliveryChannel Concede permissão para excluir o canal de entrega Write
DeleteEvaluationResults Concede permissão para excluir os resultados da avaliação para a regra de configuração especificada Write

ConfigRule*

DeleteOrganizationConfigRule Concede permissão para excluir a regra de configuração da organização especificada e todos os resultados de avaliação de todas as contas de membros dessa organização Write
DeleteOrganizationConformancePack Concede permissão para excluir o pacote de conformidade da organização especificado e todos os resultados de avaliação de todas as contas de membros dessa organização Write
DeletePendingAggregationRequest Concede permissão para excluir solicitações de autorização pendentes para uma conta agregadora especificada em uma região especificada Write
DeleteRemediationConfiguration Concede permissão para excluir a configuração de correção Write

RemediationConfiguration*

DeleteRemediationExceptions Concede permissão para excluir uma ou mais exceções de correção para chaves de recursos específicas para uma regra específica do AWS Config Write
DeleteResourceConfig Concede permissão para registrar o estado de configuração de um recurso personalizado excluído Write
DeleteRetentionConfiguration Concede permissão para excluir a configuração de retenção Write
DeleteStoredQuery Concede permissão para excluir a consulta armazenada de uma Conta da AWS em uma Região da AWS Write

StoredQuery*

DeliverConfigSnapshot Concede permissão para agendar a entrega de um snapshot de configuração para o bucket do Amazon S3 no canal de entrega especificado Read
DescribeAggregateComplianceByConfigRules Concede permissão para devolver uma lista de regras compatíveis e não conformes com o número de recursos para regras compatíveis e não conformes Read

ConfigurationAggregator*

DescribeAggregateComplianceByConformancePacks Concede permissão para devolver uma lista de pacotes de compatibilidade compatíveis e não compatíveis, juntamente com a contagem de regras compatíveis, não compatíveis e totais dentro de cada pacote de compatibilidade Read

ConfigurationAggregator*

DescribeAggregationAuthorizations Concede permissão para devolver uma lista de autorizações concedidas a várias contas agregadoras e regiões List
DescribeComplianceByConfigRule Concede permissão para indicar se as regras especificadas do AWS Config estão compatíveis Read

ConfigRule*

DescribeComplianceByResource Concede permissão para indicar se os recursos especificados da AWS estão compatíveis Read
DescribeConfigRuleEvaluationStatus Concede permissão para retornar informações de status para cada uma das regras do Config gerenciadas pela AWS Read

ConfigRule*

DescribeConfigRules Concede permissão para retornar detalhes sobre suas regras do AWS Config List

ConfigRule*

DescribeConfigurationAggregatorSourcesStatus Concede permissão para devolver informações de status para fontes dentro de um agregador Read

ConfigurationAggregator*

DescribeConfigurationAggregators Concede permissão para devolver os detalhes de um ou mais agregadores de configuração List
DescribeConfigurationRecorderStatus Concede permissão para devolver o status atual do gravador de configuração especificado Read
DescribeConfigurationRecorders Concede permissão para devolver os nomes de um ou mais gravadores de configuração especificados List
DescribeConformancePackCompliance Concede permissão para devolver informações de conformidade para cada regra nesse pacote de conformidade Read
DescribeConformancePackStatus Concede permissão para fornecer um ou mais status de implantação de pacotes de conformidade Read
DescribeConformancePacks Concede permissão para retornar uma lista de um ou mais pacotes de conformidade List
DescribeDeliveryChannelStatus Concede permissão para retornar o status atual do canal de entrega especificado Read
DescribeDeliveryChannels Concede permissão para devolver detalhes sobre o canal de entrega especificado List
DescribeOrganizationConfigRuleStatuses Concede permissão para fornecer status de implantação da regra de configuração da organização para uma organização Read
DescribeOrganizationConfigRules Concede permissão para devolver uma lista de regras de configuração da organização List
DescribeOrganizationConformancePackStatuses Concede permissão para fornecer status de implantação do pacote de conformidade da organização para uma organização Read
DescribeOrganizationConformancePacks Concede permissão para devolver uma lista de pacotes de conformidade da organização List
DescribePendingAggregationRequests Concede permissão para devolver uma lista de todas as solicitações de agregação pendentes List
DescribeRemediationConfigurations Concede permissão para devolver os detalhes de uma ou mais configurações de correção List

RemediationConfiguration*

DescribeRemediationExceptions Concede permissão para devolver os detalhes de uma ou mais exceções de correção List
DescribeRemediationExecutionStatus Concede permissão para fornecer uma visualização detalhada de uma execução de remediação para um conjunto de recursos, incluindo estado, carimbos de data/hora e quaisquer mensagens de erro para etapas que falharam Read

RemediationConfiguration*

DescribeRetentionConfigurations Concede permissão para devolver os detalhes de uma ou mais configurações de retenção List
GetAggregateComplianceDetailsByConfigRule Concede permissão para retornar os resultados da avaliação para a regra especificada do AWS Config para um recurso específico em uma regra Read

ConfigurationAggregator*

GetAggregateConfigRuleComplianceSummary Concede permissão para devolver o número de regras compatíveis e não conformes para uma ou mais contas e regiões em um agregador Read

ConfigurationAggregator*

GetAggregateConformancePackComplianceSummary Concede permissão para devolver o número de pacotes de compatibilidade compatíveis e não compatíveis para uma ou mais contas e regiões em um agregador Read

ConfigurationAggregator*

GetAggregateDiscoveredResourceCounts Concede permissão para devolver as contagens de recursos entre contas e regiões que estão presentes no agregador do AWS Config Read

ConfigurationAggregator*

GetAggregateResourceConfig Concede permissão para devolver o item de configuração que é agregado para seu recurso específico em uma conta e região de origem específicas Read

ConfigurationAggregator*

GetComplianceDetailsByConfigRule Concede permissão para retornar os resultados da avaliação para a regra especificada do AWS Config Read

ConfigRule*

GetComplianceDetailsByResource Concede permissão para retornar os resultados da avaliação para o recurso especificado da AWS Read
GetComplianceSummaryByConfigRule Concede permissão para retornar o número de regras do AWS Config compatíveis e não compatíveis, até um máximo de 25 para cada Read
GetComplianceSummaryByResourceType Concede permissão para devolver o número de recursos que estão em conformidade e o número que não estão em conformidade Read
GetConformancePackComplianceDetails Concede permissão para retornar detalhes de conformidade de um pacote de conformidade para todos os recursos da AWS monitorados pelo pacote de conformidade Read
GetConformancePackComplianceSummary Concede permissão para fornecer resumo de conformidade para um ou mais pacotes de conformidade Read
GetDiscoveredResourceCounts Concede permissão para retornar os tipos de recursos, o número de cada tipo de recurso e o número total de recursos que o AWS Config está registrando nessa região para a Conta da AWS Read
GetOrganizationConfigRuleDetailedStatus Concede permissão para devolver status detalhado para cada conta de membro dentro de uma organização para uma determinada regra de configuração da organização Read
GetOrganizationConformancePackDetailedStatus Concede permissão para retornar status detalhado para cada conta de membro dentro de uma organização para um determinado pacote de conformidade da organização Read
GetResourceConfigHistory Concede permissão para devolver uma lista de itens de configuração para o recurso especificado Read
GetStoredQuery Concede permissão para devolver os detalhes de uma consulta armazenada específica Read

StoredQuery*

ListAggregateDiscoveredResources Concede permissão para aceitar um tipo de recurso e devolve uma lista de identificadores de recursos agregados para um tipo de recurso específico entre contas e regiões List

ConfigurationAggregator*

ListDiscoveredResources Concede permissão para aceitar um tipo de recurso e devolve uma lista de identificadores de recursos para os recursos desse tipo List
ListStoredQueries Concede permissão para listar as consultas armazenadas de uma Conta da AWS em uma Região da AWS List

StoredQuery*

ListTagsForResource Concede permissão para listar as etiquetas do recurso do AWS Config Read

AggregationAuthorization

ConfigRule

ConfigurationAggregator

PutAggregationAuthorization Concede permissão para autorizar a conta e a região agregadora a coletar dados da conta e região de origem Write

AggregationAuthorization*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigRule Concede permissão para adicionar ou atualizar uma regra do AWS Config para avaliar se seus recursos da AWS estão compatíveis com as configurações desejadas Write

ConfigRule*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationAggregator Concede permissão para criar e atualizar o agregador de configuração com as contas e regiões de origem selecionadas Write

ConfigurationAggregator*

aws:RequestTag/${TagKey}

aws:TagKeys

PutConfigurationRecorder Concede permissão para criar um novo gravador de configuração para registrar as configurações de recursos selecionadas Write
PutConformancePack Concede permissão para criar ou atualizar um pacote de conformidade Write
PutDeliveryChannel Concede permissão para criar um objeto de canal de entrega para fornecer informações de configuração a um bucket do Amazon S3 e tópico do Amazon SNS Write
PutEvaluations Concede permissão para ser usada por uma função do AWS Lambda para fornecer resultados de avaliação ao AWS Config Write
PutExternalEvaluation Concede permissão para entregar o resultado da avaliação ao AWS Config Write
PutOrganizationConfigRule Concede permissão para adicionar ou atualizar a regra de configuração da organização para toda a organização avaliando se seus recursos da AWS estão compatíveis com as configurações desejadas Write
PutOrganizationConformancePack Concede permissão para adicionar ou atualizar o pacote de conformidade da organização para toda a organização, avaliando se seus recursos da AWS estão compatíveis com as configurações desejadas Write
PutRemediationConfigurations Concede permissão para adicionar ou atualizar a configuração de correção com uma regra específica do AWS Config com o destino ou ação selecionados Write

RemediationConfiguration*

iam:PassRole

PutRemediationExceptions Concede permissão para adicionar ou atualizar exceções de correção para recursos específicos para uma regra específica do AWS Config Write
PutResourceConfig Concede permissão para registrar o estado de configuração do recurso fornecido na solicitação Write
PutRetentionConfiguration Concede permissão para criar e atualizar as configurações de retenção com detalhes sobre o período de retenção (número de dias) em que o AWS Config armazena as informações do histórico Write
PutStoredQuery Concede permissão para salvar uma nova consulta ou atualiza uma consulta salva existente Write

StoredQuery*

aws:RequestTag/${TagKey}

aws:TagKeys

SelectAggregateResourceConfig Concede permissão para aceitar um comando SELECT de linguagem de consulta estruturada (SQL) e um agregador para consultar o estado de configuração dos recursos da AWS em várias contas e regiões, realiza a pesquisa correspondente e retorna configurações de recursos correspondentes às propriedades Read
SelectResourceConfig Concede permissão para aceitar um comando SELECT de linguagem de consulta estruturada (SQL), executa a pesquisa correspondente e retorna configurações de recursos correspondentes às propriedades Read
StartConfigRulesEvaluation Concede permissão para avaliar seus recursos em relação às regras de configuração especificadas Write

ConfigRule*

StartConfigurationRecorder Concede permissão para iniciar o registro de configurações dos recursos da AWS que você selecionou para registrar na Conta da AWS Write
StartRemediationExecution Concede permissão para executar uma correção sob demanda para as regras especificadas do AWS Config em relação à última configuração de correção conhecida Write

RemediationConfiguration*

iam:PassRole

StopConfigurationRecorder Concede permissão para interromper o registro de configurações dos recursos da AWS que você selecionou para registrar na Conta da AWS Write
TagResource Concede permissão para associar as etiquetas especificadas a um recurso com o resourceArn especificado Marcação

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permissão para excluir etiquetas especificadas de um recurso Marcação

AggregationAuthorization

ConfigRule

ConfigurationAggregator

ConformancePack

aws:TagKeys

Tipos de recursos definidos pelo AWS Config

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
AggregationAuthorization arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}

aws:ResourceTag/${TagKey}

ConfigurationAggregator arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}

aws:ResourceTag/${TagKey}

ConfigRule arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}

aws:ResourceTag/${TagKey}

ConformancePack arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}

aws:ResourceTag/${TagKey}

OrganizationConfigRule arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
OrganizationConformancePack arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
RemediationConfiguration arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
StoredQuery arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}

Chaves de condição do AWS Config

O AWS Config define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra ações com base no conjunto de valores permitidos para cada uma das etiquetas String
aws:ResourceTag/${TagKey} Filtra ações com base no etiqueta-value associado ao recurso String
aws:TagKeys Filtra ações com base na presença de etiquetas obrigatórias na solicitação ArrayOfString