本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Config 的動作、資源和條件索引鍵
AWS Config (服務前置詞:config) 提供下列服務特定資源、動作和條件內容金鑰,以供 IAM 權限政策使用。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Config 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| BatchGetAggregateResourceConfig | 授予權限,以針對 AWS Config 彙總器中存在的資源傳回目前的組態項目 | 讀取 | |||
| BatchGetResourceConfig | 准許傳回一或多個所請求資源的目前組態 | 讀取 | |||
| DeleteAggregationAuthorization | 准許刪除特定區域中授予特定組態彙總帳戶的授權 | 寫入 | |||
| DeleteConfigRule | 授與刪除指定 AWS Config 規則及其所有評估結果的權限 | 寫入 | |||
| DeleteConfigurationAggregator | 准許刪除指定的組態彙總工具,以及與彙總工具相關聯的彙總資料 | 寫入 | |||
| DeleteConfigurationRecorder | 准許刪除組態記錄器 | 寫入 | |||
| DeleteConformancePack | 授予刪除指定的一致性套件、所有 AWS Config 規則及該合格性套件中所有評估結果的權限 | 寫入 | |||
| DeleteDeliveryChannel | 准許刪除傳送通道 | 寫入 | |||
| DeleteEvaluationResults | 准許刪除指定 Config 規則的評估結果 | 寫入 | |||
| DeleteOrganizationConfigRule | 准許從該組織的所有成員帳戶中,刪除指定的組織組態規則及其所有評估結果 | 寫入 | |||
| DeleteOrganizationConformancePack | 准許從該組織的所有成員帳戶中,刪除指定的組織符合性套件及其所有評估結果 | 寫入 | |||
| DeletePendingAggregationRequest | 准許刪除特定區域中特定彙總帳戶的待定授權請求 | 寫入 | |||
| DeleteRemediationConfiguration | 准許刪除修補組態 | 寫入 | |||
| DeleteRemediationExceptions | 授與刪除特定 AWS Config 規則之特定資源金鑰之一或多個補救例外的權限 | 寫入 | |||
| DeleteResourceConfig | 准許記錄已刪除之自訂資源的組態狀態 | 寫入 | |||
| DeleteRetentionConfiguration | 准許刪除保留組態 | 寫入 | |||
| DeleteStoredQuery | 授予刪除中儲存查詢 AWS 帳戶 的權限 AWS 區域 | 寫入 | |||
| DeliverConfigSnapshot | 准許排定在指定的傳送通道中將組態快照傳送到 Amazon S3 儲存貯體 | 讀取 | |||
| DescribeAggregateComplianceByConfigRules | 准許傳回合規和不合規規則的清單,以及合規和不合規規則的資源數量 | 讀取 | |||
| DescribeAggregateComplianceByConformancePacks | 准許傳回合規和不合規的一致性套件清單,註明每個一致性套件當中合規、不合規的規則數量和規則總數 | 讀取 | |||
| DescribeAggregationAuthorizations | 准許傳回授與各種彙總帳戶和區域的授權清單 | 清單 | |||
| DescribeComplianceByConfigRule | 授予指示指定的 AWS Config 規則是否符合標準的權限 | 讀取 | |||
| DescribeComplianceByResource | 授予指示指定 AWS 資源是否符合標準的權限 | 讀取 | |||
| DescribeConfigRuleEvaluationStatus | 授予傳回每個 AWS 受管 Config 規則之狀態資訊的權限 | 讀取 | |||
| DescribeConfigRules | 授予返回有關 AWS Config 規則詳細信息的權限 | 清單 | |||
| DescribeConfigurationAggregatorSourcesStatus | 准許傳回彙總工具內來源的狀態資訊 | 讀取 | |||
| DescribeConfigurationAggregators | 准許傳回一或多個組態彙總工具的詳細資訊 | 列出 | |||
| DescribeConfigurationRecorderStatus | 准許傳回特定組態記錄器的目前狀態 | 讀取 | |||
| DescribeConfigurationRecorders | 准許傳回一或多個特定組態記錄器的名稱 | 列出 | |||
| DescribeConformancePackCompliance | 准許傳回該符合性套件中每個規則的合規資訊 | 讀取 | |||
| DescribeConformancePackStatus | 准許提供一或多個符合性套件部署狀態 | 讀取 | |||
| DescribeConformancePacks | 准許傳回一或多個符合性套件的清單 | 列出 | |||
| DescribeDeliveryChannelStatus | 准許傳回特定傳送通道的目前狀態 | 讀取 | |||
| DescribeDeliveryChannels | 准許傳回特定傳送通道的詳細資訊 | 列出 | |||
| DescribeOrganizationConfigRuleStatuses | 准許提供組織的組織組態規則部署狀態 | 讀取 | |||
| DescribeOrganizationConfigRules | 准許傳回組織組態規則清單 | 列出 | |||
| DescribeOrganizationConformancePackStatuses | 准許提供組織的組織符合性套件部署狀態 | 讀取 | |||
| DescribeOrganizationConformancePacks | 准許傳回組織符合性套件的清單 | 列出 | |||
| DescribePendingAggregationRequests | 准許傳回所有擱置中的彙總請求清單 | 列出 | |||
| DescribeRemediationConfigurations | 准許傳回一或多個修補組態的詳細資訊 | 列出 | |||
| DescribeRemediationExceptions | 准許傳回一或多個修補例外狀況的詳細資訊 | 列出 | |||
| DescribeRemediationExecutionStatus | 准許提供一組資源的詳細「補救執行」檢視,包括失敗步驟的狀態、時間戳記和任何錯誤訊息 | 讀取 | |||
| DescribeRetentionConfigurations | 准許傳回一或多個保留組態的詳細資訊 | 清單 | |||
| GetAggregateComplianceDetailsByConfigRule | 授與傳回規則中特定資源之指定 AWS Config 規則評估結果之評估結果的權限 | 讀取 | |||
| GetAggregateConfigRuleComplianceSummary | 准許針對彙總工具中的一或多個帳戶和區域,傳回合規和不合規的規則數量 | 讀取 | |||
| GetAggregateConformancePackComplianceSummary | 准許針對彙總工具中的一或多個帳戶和區域,傳回合規和不合規的一致性套件數量 | 讀取 | |||
| GetAggregateDiscoveredResourceCounts | 授與在 AWS Config 彙總器中存在的帳號和區域之間傳回資源計數的權限 | 讀取 | |||
| GetAggregateResourceConfig | 准許傳回在特定來源帳戶和區域中針對特定資源而彙總的組態項目 | 讀取 | |||
| GetComplianceDetailsByConfigRule | 授與傳回指定 AWS Config 規則之評估結果的權限 | 讀取 | |||
| GetComplianceDetailsByResource | 授與傳回指定 AWS 資源之評估結果的權限 | 讀取 | |||
| GetComplianceSummaryByConfigRule | 授予傳回符合規範與不相容之 AWS Config 規則數目的權限,每個規則最多可傳回 25 個 | 讀取 | |||
| GetComplianceSummaryByResourceType | 准許傳回合規的資源數量和不合規的資源數量 | 讀取 | |||
| GetConformancePackComplianceDetails | 授予傳回符合性套件所有 AWS 資源之一致性套件之合規性詳細資訊的權限 | 讀取 | |||
| GetConformancePackComplianceSummary | 准許提供一或多個符合性套件的合規摘要 | 讀取 | |||
| GetCustomRulePolicy | 授與傳回包含 AWS Config 態自訂原則規則邏輯之原則定義的權限 | 讀取 | |||
| GetDiscoveredResourceCounts | 授與傳回資源類型、每種資源類型的數量,以及 Con AWS fig 在此區域中為您記錄的資源總數的權限 AWS 帳戶 | 讀取 | |||
| GetOrganizationConfigRuleDetailedStatus | 准許針對指定的組織組態規則,傳回組織內每個成員帳戶的詳細狀態 | 讀取 | |||
| GetOrganizationConformancePackDetailedStatus | 准許針對指定的組織符合性套件,傳回組織內每個成員帳戶的詳細狀態 | 讀取 | |||
| GetOrganizationCustomRulePolicy | 授與傳回包含組織 AWS Config 定自訂原則規則之邏輯之原則定義的權限 | 讀取 | |||
| GetResourceConfigHistory | 准許傳回特定資源的組態項目清單 | 讀取 | |||
| GetResourceEvaluationSummary | 准許針對特定的資源評估 ID 傳回資源評估摘要 | 讀取 | |||
| GetStoredQuery | 准許傳回存儲之特定查詢的詳細資訊 | 讀取 | |||
| ListAggregateDiscoveredResources | 准許接受資源類型,並傳回在帳戶和區域各處針對特定資源類型所彙總的資源識別符清單 | 清單 | |||
| ListConformancePackComplianceScores | 准許傳回一致性套件中合規規則資源組合佔可能的規則資源組合總數的百分比 | 清單 | |||
| ListDiscoveredResources | 准許接受資源類型,並傳回該類型之資源的資源識別符清單 | 清單 | |||
| ListResourceEvaluations | 授與列出 AWS 帳戶 中的資源評估摘要的權限 AWS 區域 | 清單 | |||
| ListStoredQueries | 授予列出中儲存查詢 AWS 帳戶 的權限 AWS 區域 | 清單 | |||
| ListTagsForResource | 授予列出 AWS Config 資源標籤的權限 | 讀取 | |||
| PutAggregationAuthorization | 准許授權彙總帳戶和區域從來源帳戶和區域收集資料 | 寫入 | |||
| PutConfigRule | 授予新增或更新 AWS Config 規則的權限,以評估您的 AWS 資源是否符合所需組態 | 寫入 | |||
| PutConfigurationAggregator | 准許以選取的來源帳戶和區域建立和更新組態彙總工具 | 寫入 |
iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutConfigurationRecorder | 准許建立新的組態記錄器,以記錄所選取的資源組態 | 寫入 | |||
| PutConformancePack | 准許建立或更新符合性套件 | 寫入 |
iam:CreateServiceLinkedRole iam:PassRole s3:GetObject s3:ListBucket ssm:GetDocument |
||
| PutDeliveryChannel | 准許建立傳送通道物件,以將組態資訊傳遞至 Amazon S3 儲存貯體和 Amazon SNS 主題 | 寫入 | |||
| PutEvaluations | 授予 AWS Lambda 函數用於將評估結果交付給 AWS Config 的權限 | 寫入 | |||
| PutExternalEvaluation | 授予將評估結果傳遞給 AWS Config 的權限 | 寫入 | |||
| PutOrganizationConfigRule | 授予新增或更新組織組織組態規則的權限,以評估您的 AWS 資源是否符合您想要的組態 | 寫入 |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators |
||
| PutOrganizationConformancePack | 授予新增或更新組織一致性套件的權限,以評估您的 AWS 資源是否符合您所需的組態 | 寫入 |
iam:CreateServiceLinkedRole iam:PassRole organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators s3:GetObject |
||
| PutRemediationConfigurations | 授與使用所選目標或動作的特定 AWS Config 規則來新增或更新修復組態的權限 | 寫入 |
iam:PassRole |
||
| PutRemediationExceptions | 授予針對特定 AWS Config 規則新增或更新特定資源之補救例外的權限 | 寫入 | |||
| PutResourceConfig | 准許記錄要求中提供之資源的組態狀態 | 寫入 | |||
| PutRetentionConfiguration | 授予 AWS Config 儲存您歷史資訊之保留期間 (天數) 詳細資料來建立及更新保留組態的權限 | 寫入 | |||
| PutStoredQuery | 准許儲存新的查詢或更新儲存的現有查詢 | 寫入 | |||
| SelectAggregateResourceConfig | 授與接受結構化查詢語言 (SQL) SELECT 命令和彙總器的權限,以查詢跨多個帳戶和區域的 AWS 資源組態、執行對應的搜尋,以及傳回符合屬性的資源組態 | 讀取 | |||
| SelectResourceConfig | 准許接受結構式查詢語言 (SQL) SELECT 命令、執行對應的搜尋,然後傳回符合屬性的資源組態 | 讀取 | |||
| StartConfigRulesEvaluation | 准許根據指定的 Config 規則來評估資源 | 寫入 | |||
| StartConfigurationRecorder | 授予權限,以開始記錄您選擇要在其中記錄的 AWS 資源的配置 AWS 帳戶 | 寫入 | |||
| StartRemediationExecution | 授與針對上次已知修復組態針對指定 AWS Config 規則執行隨選修復的權限 | 寫入 |
iam:PassRole |
||
| StartResourceEvaluation | 授予根據帳戶中的 AWS Config 規則評估資源詳細資料的權限 | 寫入 |
cloudformation:DescribeType |
||
| StopConfigurationRecorder | 授予停止記錄您選擇要在其中記錄的 AWS 資源配置的權限 AWS 帳戶 | 寫入 | |||
| TagResource | 准許將指定的標籤與具有特定 resourceArn 的資源關聯 | 標記 | |||
| UntagResource | 准許刪除資源中的指定標籤 | 標記 | |||
AWS Config 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| AggregationAuthorization |
arn:${Partition}:config:${Region}:${Account}:aggregation-authorization/${AggregatorAccount}/${AggregatorRegion}
|
|
| ConfigurationAggregator |
arn:${Partition}:config:${Region}:${Account}:config-aggregator/${AggregatorId}
|
|
| ConfigRule |
arn:${Partition}:config:${Region}:${Account}:config-rule/${ConfigRuleId}
|
|
| ConformancePack |
arn:${Partition}:config:${Region}:${Account}:conformance-pack/${ConformancePackName}/${ConformancePackId}
|
|
| OrganizationConfigRule |
arn:${Partition}:config:${Region}:${Account}:organization-config-rule/${OrganizationConfigRuleId}
|
|
| OrganizationConformancePack |
arn:${Partition}:config:${Region}:${Account}:organization-conformance-pack/${OrganizationConformancePackId}
|
|
| RemediationConfiguration |
arn:${Partition}:config:${Region}:${Account}:remediation-configuration/${RemediationConfigurationId}
|
|
| StoredQuery |
arn:${Partition}:config:${Region}:${Account}:stored-query/${StoredQueryName}/${StoredQueryId}
|
AWS Config 的條件索引鍵
AWS Config 會定義下列可在 IAM 政策Condition元素中使用的條件金鑰。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵資料表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用全域條件索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依每個標籤的允許值集來篩選存取 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源相關聯的標籤值篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在強制性標籤來篩選存取 | ArrayOfString |
