Best Practices für Richtlinien Melden Sie sich an für ein AWS-Konto Verwenden der Konsole Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer Read-only Zugriff auf AWS Config Voller Zugriff auf AWS Config Kontrolle des Zugriffs auf AWS Config Regeln Steuern des Zugriffs auf aggregierte Daten

Identity-based politische Beispiele für AWS Config

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Config -Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Config, einschließlich des Formats der ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Config in der Service Authorization Reference.

Themen

Best Practices für Richtlinien
Melden Sie sich an für ein AWS-Konto
Verwenden der Konsole
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Read-only Zugriff auf AWS Config
Voller Zugriff auf AWS Config
Kontrolle des Zugriffs auf AWS Config Regeln
Steuern des Zugriffs auf aggregierte Daten

Best Practices für Richtlinien

Identity-based Richtlinien legen fest, ob jemand AWS Config Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:

Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien oder Von AWS verwaltete Richtlinien für Auftragsfunktionen im IAM-Benutzerhandbuch.
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Best Practices für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Um loszulegen AWS, benötigen Sie eine AWS-Konto. Informationen zum Erstellen eines AWS-Konto finden Sie unter Erste Schritte mit einem AWS-Konto im AWS -Kontenverwaltung Referenzhandbuch.

Verwendung der AWS Config Konsole

Um auf die AWS Config Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Config Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die AWS Config Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Config AWSConfigUserAccess AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.

Sie müssen Benutzern Berechtigungen für die Interaktion mit ihnen erteilen AWS Config. Verwenden Sie für Benutzer, die vollen Zugriff auf benötigen AWS Config, die Richtlinie Vollzugriff auf AWS Config verwaltet.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Read-only Zugriff auf AWS Config

Das folgende Beispiel zeigt eine AWS verwaltete Richtlinie, AWSConfigUserAccess die nur Lesezugriff auf gewährt. AWS Config

In den Richtlinienanweisungen gibt das Element Effect an, ob die Aktionen zugelassen oder verweigert werden. Das Element Action listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das Resource Element listet die AWS Ressourcen auf, auf denen der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf AWS Config Aktionen steuern, ist das Resource Element immer auf gesetzt*, ein Platzhalter, der „alle Ressourcen“ bedeutet.

Die Werte im Element Action entsprechen den APIs, die von den Services unterstützt werden. Den Aktionen wird ein vorangestellt, config: um darauf hinzuweisen, dass sie sich auf Aktionen beziehen AWS Config . Sie können das Platzhalterzeichen * im Element Action beispielsweise wie folgt verwenden:

"Action": ["config:*ConfigurationRecorder"]

Dies erlaubt alle AWS Config Aktionen, die mit "ConfigurationRecorder" (StartConfigurationRecorder,StopConfigurationRecorder) enden.
"Action": ["config:*"]

Dies erlaubt alle AWS Config Aktionen, aber keine Aktionen für andere AWS Dienste.
"Action": ["*"]

Dies ermöglicht alle AWS Aktionen. Diese Berechtigung ist für einen Benutzer geeignet, der als AWS Administrator für Ihr Konto fungiert.

Die Richtlinie für den schreibgeschützten Zugriff erteilt Benutzern keine Berechtigung für die Aktionen (z. B. StartConfigurationRecorder, StopConfigurationRecorder und DeleteConfigurationRecorder). Benutzer mit dieser Richtlinie dürfen den Configuration Recorder weder starten noch beenden oder löschen. Eine Liste der AWS Config Aktionen finden Sie in der AWS Config API-Referenz.

Voller Zugriff auf AWS Config

Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt AWS Config. Sie gewährt Benutzern die Berechtigung, alle AWS Config Aktionen auszuführen. Darüber hinaus können Benutzer Dateien in Amazon-S3-Buckets verwalten und Amazon-SNS-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.

Wichtig

Diese Richtlinie gewährt umfassende Berechtigungen. Bevor Sie Vollzugriff gewähren, sollten Sie gegebenenfalls mit einem Mindestsatz von Berechtigungen beginnen und zusätzliche Berechtigungen nach Bedarf gewähren. Diese Methode ist besser, als anfangs zu weit gefasste Berechtigungen zu gewähren und dann später zu versuchen, sie zu begrenzen.

JSON


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:AddPermission",
                "sns:CreateTopic",
                "sns:DeleteTopic",
                "sns:GetTopicAttributes",
                "sns:ListPlatformApplications",
                "sns:ListTopics",
                "sns:SetTopicAttributes"
            ],
            "Resource": "*"   
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketNotification",
                "s3:GetBucketPolicy",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketVersioning",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions",
                "s3:PutBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:PutRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreatePolicy",
                "iam:CreatePolicyVersion",
                "iam:DeletePolicyVersion",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "config.amazonaws.com",
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "config:*",
                "tag:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListDocuments",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
        
    ]
}

Unterstützte Resource-Level Berechtigungen für AWS Config API-Aktionen für Regeln

Resource-level Berechtigungen bezieht sich auf die Fähigkeit, anzugeben, auf welchen Ressourcen Benutzer Aktionen ausführen dürfen. AWS Config unterstützt Berechtigungen auf Ressourcenebene für bestimmte AWS Config Regel-API-Aktionen. Das bedeutet, dass Sie für bestimmte AWS Config Regelaktionen die Bedingungen steuern können, unter denen Benutzer diese Aktionen verwenden dürfen. Diese Bedingungen können Aktionen sein, die erfüllt sein müssen, oder bestimmte Ressourcen, die von den Benutzern verwendet werden dürfen.

In der folgenden Tabelle werden die AWS Config Regel-API-Aktionen beschrieben, die derzeit Berechtigungen auf Ressourcenebene unterstützen. Sie enthält außerdem die unterstützten Ressourcen und ihre ARNs für jede Aktion. Wenn Sie einen ARN angeben, können Sie den Platzhalter * in Ihren Pfaden verwenden, beispielsweise wenn Sie keine genauen Ressourcen-IDs angeben können oder möchten.

Wichtig

Wenn eine AWS Config Regel-API-Aktion in dieser Tabelle nicht aufgeführt ist, unterstützt sie keine Berechtigungen auf Ressourcenebene. Wenn eine AWS Config Regelaktion keine Berechtigungen auf Ressourcenebene unterstützt, können Sie Benutzern Berechtigungen zur Verwendung der Aktion gewähren. Sie müssen jedoch für das Ressourcenelement Ihrer Richtlinienerklärung ein Sternchen angeben.

API-Aktion	Ressourcen
DeleteConfigRule	Konfigurationsregel arn:aws:config ::config- -rule- `region:accountID` rule/config `ID`
DeleteEvaluationResults	Konfigurationsregel arn:aws:config ::config `region:accountID` - -rule rule/config - `ID`
DescribeComplianceByConfigRule	Konfigurationsregel arn:aws:config ::config `region:accountID` - -rule rule/config - `ID`
DescribeConfigRuleEvaluationStatus	Konfigurationsregel arn:aws:config ::config `region:accountID` - -rule rule/config - `ID`
GetComplianceDetailsByConfigRule	Konfigurationsregel arn:aws:config ::config `region:accountID` - -rule rule/config - `ID`
PutConfigRule	Konfigurationsregel arn:aws:config ::config `region:accountID` - -rule rule/config - `ID`
StartConfigRulesEvaluation	Konfigurationsregel arn:aws:config ::config `region:accountID` - -rule rule/config - `ID`
PutRemediationConfigurations	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DescribeRemediationConfigurations	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DeleteRemediationConfiguration	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
PutRemediationExceptions	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DescribeRemediationExceptions	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`
DeleteRemediationExceptions	Korrekturkonfiguration arn:aws:config ::remediation-configuration/ `region:accountId` `config rule name/remediation configuration id`

Angenommen, Sie möchten bestimmten Benutzern den Lesezugriff auf bestimmte Regeln erteilen und den Schreibzugriff verweigern.

In der ersten Richtlinie erlauben Sie der Regel Leseaktionen, z. B. für die angegebenen Regeln AWS Config . DescribeConfigRuleEvaluationStatus

In der zweiten Richtlinie verweigern Sie den AWS Config Regelschreibaktionen für die jeweilige Regel.

Mit Berechtigungen auf Ressourcenebene können Sie Lesezugriff gewähren und Schreibzugriff verweigern, um bestimmte Aktionen für AWS Config Regel-API-Aktionen auszuführen.

Unterstützte Resource-Level Berechtigungen für die Datenaggregation Multi-Account Multi-Region

Mit Berechtigungen auf Ressourcenebene können Sie steuern, welche spezifischen Aktionen die Benutzer für die Datenaggregation für mehrere Konten und Regionen ausführen dürfen. Die folgenden AWS Config Aggregator APIs unterstützen Berechtigungen auf Ressourcenebene:

Sie können beispielsweise den Zugriff bestimmter Benutzer auf Ressourcendaten einschränken, indem Sie zwei Aggregatoren erstellen, AccessibleAggregator und InAccessibleAggregator, und eine IAM-Richtlinie anhängen, die den Zugriff auf AccessibleAggregator ermöglicht und auf InAccessibleAggregator verweigert.

IAM-Richtlinie für AccessibleAggregator

In dieser Richtlinie gewähren Sie Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -Amazon-Ressourcennamen (ARN). In diesem Beispiel ist der AWS Config ARNarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs.

IAM-Richtlinie für InAccessibleAggregator

In dieser Richtlinie verweigern Sie den Zugriff auf die unterstützten Aggregatoraktionen für den von Ihnen angegebenen AWS Config -ARN. In diesem Beispiel ist der AWS Config ARNarn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx.

Wenn ein Benutzer der Entwicklergruppe versucht, eine dieser Aktionen mit dem von Ihnen angegebenen AWS Config -ARN auszuführen, erhält dieser Benutzer die Ausnahme „Zugriff verweigert“.

Prüfen von Benutzerzugriffsberechtigungen

Führen Sie den folgenden AWS CLI -Befehl aus, um die von Ihnen erstellten Aggregatoren anzuzeigen:


aws configservice describe-configuration-aggregators

Wenn der Befehl erfolgreich abgeschlossen wurde, können Sie die Details aller Aggregatoren sehen, die mit Ihrem Konto verknüpft sind. In diesem Beispiel sind das AccessibleAggregator und InAccessibleAggregator:


{
    "ConfigurationAggregators": [
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "AccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        },
        {
            "ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
            "CreationTime": 1517942461.442,
            "ConfigurationAggregatorName": "InAccessibleAggregator",
            "AccountAggregationSources": [
                {
                    "AllAwsRegions": true,
                    "AccountIds": [
                        "AccountID1",
                        "AccountID2",
                        "AccountID3"
                    ]
                }
            ],
            "LastUpdatedTime": 1517942461.455
        }
    ]
}

Anmerkung

Geben Sie für account-aggregation-sources eine durch Kommas getrennte Liste der AWS -Konto-IDs ein, für die Daten aggregiert werden sollen. Setzen Sie die Konto-IDs in eckige Klammern und achten Sie darauf, Anführungszeichen mit einem Escape-Zeichen zu versehen (z. B. "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

Fügen Sie die folgende IAM-Richtlinie an, um Zugriff auf InAccessibleAggregator oder den gewünschten Aggregator zu verweigern.

Als Nächstes können Sie bestätigen, dass mit der IAM-Richtlinie der Zugriff auf bestimmte Regeln für einen bestimmten Aggregator eingeschränkt werden kann:


aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion

Der Befehl sollte eine Ausnahme des Typs „Zugriff verweigert“ zurückgeben:


An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not 
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wie AWS Config funktioniert mit IAM

AWS verwaltete Richtlinien