Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identity-based exemples de politiques pour AWS Config
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS Config . Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par AWS Config, y compris le format des ARN pour chacun des types de ressources, voir [Actions, ressources et clés de condition AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Inscrivez-vous pour un Compte AWS](#sign-up-for-aws)
+ [Utilisation de la console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Read-only accès à AWS Config](#read-only-config-permission)
+ [Accès complet à AWS Config](#full-config-permission)
+ [Contrôle de l'accès aux AWS Config règles](#supported-resource-level-permissions)
+ [Contrôle de l'accès aux données agrégées](#resource-level-permission)
## Bonnes pratiques en matière de politiques
Identity-based les politiques déterminent si quelqu'un peut créer, accéder ou supprimer AWS Config des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Inscrivez-vous pour un Compte AWS
Pour commencer AWS, vous avez besoin d'un Compte AWS. Pour plus d'informations sur la création d'un Compte AWS, voir [Getting started with an Compte AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) dans le *Guide de Gestion de compte AWS référence*.
## Utilisation de AWS Config console
Pour accéder à la AWS Config console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS Config des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la AWS Config console, associez également la politique AWS Config `{{AWSConfigUserAccess}}` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Vous devez autoriser les utilisateurs à interagir avec AWS Config. Pour les utilisateurs qui ont besoin d'un accès complet à AWS Config, utilisez la politique [Accès complet à](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) la AWS Config gestion.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Read-only accès à AWS Config
L'exemple suivant montre une politique AWS gérée `AWSConfigUserAccess` qui accorde un accès en lecture seule à. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Dans les déclarations de politique, l'élément `Effect` spécifie si les actions sont autorisées ou refusées. L'élément `Action` répertorie les actions spécifiques que l'utilisateur est autorisé à effectuer. L'`Resource`élément répertorie les AWS ressources sur lesquelles l'utilisateur est autorisé à effectuer ces actions. Pour les politiques qui contrôlent l'accès aux AWS Config actions, l'`Resource`élément est toujours défini sur`*`, un caractère générique qui signifie « toutes les ressources ».
Les valeurs dans l'élément `Action` correspondent aux API prises en charge par les services. Les actions sont `config:` précédées de ce qui indique qu'elles font référence à AWS Config des actions. Vous pouvez utiliser le caractère générique `*` dans l'élément `Action`, comme dans les exemples suivants :
+ `"Action": ["config:*ConfigurationRecorder"]`
Cela autorise toutes les AWS Config actions qui se terminent par ConfigurationRecorder "" (`StartConfigurationRecorder`,`StopConfigurationRecorder`).
+ `"Action": ["config:*"]`
Cela permet toutes les AWS Config actions, mais pas les actions pour les autres AWS services.
+ `"Action": ["*"]`
Cela permet toutes les AWS actions. Cette autorisation convient à un utilisateur qui agit en tant qu' AWS administrateur de votre compte.
La stratégie en lecture seule n'accorde pas l'autorisation à l'utilisateur pour les actions `StartConfigurationRecorder`, `StopConfigurationRecorder` et `DeleteConfigurationRecorder`. Les utilisateurs disposant de cette stratégie ne sont pas autorisés à démarrer, arrêter ou supprimer l'enregistreur de configuration. Pour la liste des AWS Config actions, consultez la [référence de AWS Config l'API](https://docs.aws.amazon.com/config/latest/APIReference/).
## Accès complet à AWS Config
L'exemple suivant montre une politique qui accorde un accès complet à AWS Config. Il accorde aux utilisateurs l'autorisation d'effectuer toutes les AWS Config actions. Ils sont aussi autorisés à gérer les fichiers dans des compartiments Amazon S3, ainsi que les rubriques Amazon SNS du compte auquel ils sont associés.
**Important**
Cette politique accorde des autorisations étendues. Avant d'accorder un accès complet, commencez avec un ensemble d'autorisations minimum et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Resource-Level Autorisations prises en charge pour AWS Config Actions de l'API de règles
Resource-level les autorisations font référence à la capacité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. AWS Config prend en charge les autorisations au niveau des ressources pour certaines actions d'API de AWS Config règles. Cela signifie que pour certaines actions de AWS Config règles, vous pouvez contrôler les conditions dans lesquelles les utilisateurs sont autorisés à utiliser ces actions. Ces conditions peuvent être des actions qui doivent être réalisées, ou des ressources spécifiques que les utilisateurs sont autorisés à utiliser.
Le tableau suivant décrit les actions d'API de AWS Config règles qui prennent actuellement en charge les autorisations au niveau des ressources. Il décrit également les ressources prises en charge et leurs ARN pour chaque action. Lorsque vous spécifiez un ARN, vous pouvez utiliser le caractère générique \* dans vos chemins ; par exemple, quand vous ne voulez ou ne pouvez pas spécifier des ID de ressource exacts.
**Important**
Si une action d'API de AWS Config règle n'est pas répertoriée dans ce tableau, cela signifie qu'elle ne prend pas en charge les autorisations au niveau des ressources. Si une action de AWS Config règle ne prend pas en charge les autorisations au niveau des ressources, vous pouvez autoriser les utilisateurs à utiliser l'action, mais vous devez spécifier un \* pour l'élément ressource de votre déclaration de politique.
****
| Action d'API | Ressources |
| --- | --- |
| DeleteConfigRule | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| DeleteEvaluationResults | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| DescribeComplianceByConfigRule | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| DescribeConfigRuleEvaluationStatus | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| GetComplianceDetailsByConfigRule | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| PutConfigRule | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| StartConfigRulesEvaluation | Règle de configuration
arn:aws:config ::config- -rule- {{region:accountID}} rule/config {{ID}} |
| PutRemediationConfigurations | Configuration de la correction
arn:aws:config ::remediation-configuration/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DescribeRemediationConfigurations | Configuration de la correction
arn:aws:config ::remediation-configuration/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DeleteRemediationConfiguration | Configuration de la correction
arn:aws:config ::remediation-configuration/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| PutRemediationExceptions | Configuration de la correction
arn:aws:config ::remediation-configuration/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DescribeRemediationExceptions | Configuration de la correction
arn:aws:config ::remediation-configuration/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DeleteRemediationExceptions | Configuration de la correction
arn:aws:config ::remediation-configuration/ {{region:accountId}} {{config rule name/remediation configuration id}} |
Par exemple, vous voulez autoriser l'accès en lecture et refuser l'accès en écriture à des règles spécifiques à des utilisateurs spécifiques.
Dans la première politique, vous autorisez les actions de lecture des AWS Config règles, par exemple `DescribeConfigRuleEvaluationStatus` sur les règles spécifiées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:{{us-east-1}}:{{123456789012}}:config-rule/config-rule-{{ID}}",
"arn:aws:config:{{us-east-1}}:{{123456789012}}:config-rule/config-rule-{{ID}}"
]
}
]
}
```
------
Dans la seconde politique, vous refusez les actions d'écriture de AWS Config règles sur la règle spécifique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:{{us-east-1}}:{{123456789012}}:config-rule/config-rule-{{ID}}"
}
]
}
```
------
Avec les autorisations au niveau des ressources, vous pouvez autoriser l'accès en lecture et refuser l'accès en écriture pour effectuer des actions spécifiques sur les actions de l'API de AWS Config règles.
## Resource-Level Autorisations prises en charge pour l'agrégation Multi-Account Multi-Region de données
Vous pouvez utiliser des autorisations au niveau des ressources pour contrôler la capacité d'un utilisateur à effectuer des actions spécifiques sur des regroupements de données de plusieurs comptes et plusieurs régions. Les AWS Config `Aggregator` API suivantes prennent en charge les autorisations au niveau des ressources :
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Vous pouvez par exemple restreindre l'accès aux données des ressources pour des utilisateurs spécifiques en créant deux agrégateurs `AccessibleAggregator` et `InAccessibleAggregator` et en attachant une politique IAM qui autorise l'accès à `AccessibleAggregator` en refusant l'accès à `InAccessibleAggregator`.
**Politique IAM pour AccessibleAggregator**
Cette politique vous permet d'autoriser l'accès aux actions de l'agrégateur pris en charge pour l'Amazon Resource Name (ARN) AWS Config que vous spécifiez. Dans cet exemple, l' AWS Config ARN est`arn:aws:config:ap-northeast-1:{{AccountID}}:config-aggregator/config-aggregator-mocpsqhs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:{{111122223333}}:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**Politique IAM pour InAccessibleAggregator**
Cette politique vous permet de refuser l'accès aux actions de l'agrégateur pris en charge pour l'ARN AWS Config que vous spécifiez. Dans cet exemple, l' AWS Config ARN est`arn:aws:config:ap-northeast-1:{{AccountID}}:config-aggregator/config-aggregator-pokxzldx`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:{{111122223333}}:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Si un utilisateur du groupe de développeurs tente d'effectuer l'une de ces actions sur l'ARN AWS Config que vous avez spécifié, il obtiendra une exception de refus d'accès.
**Vérification des autorisations d'accès des utilisateurs**
Pour afficher les agrégateurs que vous avez créés, exécutez la commande AWS CLI suivante :
```
aws configservice describe-configuration-aggregators
```
Une fois la commande exécutée, vous pourrez consulter les détails de tous les agrégateurs associés à votre compte. Dans cet exemple, il s'agit des agrégateurs `AccessibleAggregator` et `InAccessibleAggregator` :
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**Note**
Pour `account-aggregation-sources`, entrez une liste d'ID de compte AWS séparés par des virgules, pour lesquels vous souhaitez regrouper les données. Placez les ID de compte entre crochets avec une mise en échappement (par exemple, `"[{\"AccountIds\": [\"{{AccountID1}}\",\"{{AccountID2}}\",\"{{AccountID3}}\"],\"AllAwsRegions\": true}]"`).
Attachez la politique IAM suivante pour refuser l'accès à `InAccessibleAggregator` ou à l'agrégateur auquel vous souhaitez refuser l'accès.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:{{111122223333}}:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Vous pouvez ensuite confirmer que la politique IAM fonctionne pour limiter l'accès aux règles pour un agrégateur spécifique :
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name {{rule name}} --account-id {{AccountID}} --aws-region {{AwsRegion}}
```
La commande doit renvoyer une exception d'accès rejeté :
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::{{AccountID}}:{{user/}} is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:{{AwsRegion}}-1:{{AccountID}}:config-aggregator/config-aggregator-pokxzldx
```