Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity-based esempi di politiche per AWS Config
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell’autorizzazione per creare o modificare risorse AWS Config . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Config, incluso il formato degli ARN per ciascun tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Registrati per un Account AWS](#sign-up-for-aws)
+ [Utilizzo della console](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Read-only accesso a AWS Config](#read-only-config-permission)
+ [Accesso completo a AWS Config](#full-config-permission)
+ [Controllo dell'accesso alle AWS Config regole](#supported-resource-level-permissions)
+ [Controllo dell'accesso ai dati aggregati](#resource-level-permission)
## Best practice per le policy
Identity-based le politiche determinano se qualcuno può creare, accedere o eliminare AWS Config risorse nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Registrati per un Account AWS
Per iniziare AWS, hai bisogno di un Account AWS. Per informazioni sulla creazione di un Account AWS, vedi Guida [introduttiva a un Account AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) nella *Guida Gestione dell'account AWS di riferimento*.
## Utilizzo di AWS Config console
Per accedere alla AWS Config console, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Config risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Config console, allega anche la policy AWS Config `{{AWSConfigUserAccess}}` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
È necessario concedere agli utenti le autorizzazioni con AWS Config cui interagire. Per gli utenti che necessitano dell'accesso completo a AWS Config, utilizza la policy [Accesso completo alla](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) politica AWS Config gestita.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Read-only accesso a AWS Config
L'esempio seguente mostra una policy AWS gestita, `AWSConfigUserAccess` che concede l'accesso in sola lettura a. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Nelle istruzioni della policy, l'elemento `Effect` specifica se le operazioni sono consentite o negate. L'elemento `Action` elenca le operazioni specifiche che l'utente è autorizzato a eseguire. L'`Resource`elemento elenca le AWS risorse su cui l'utente è autorizzato a eseguire tali azioni. Per le politiche che controllano l'accesso alle AWS Config azioni, l'`Resource`elemento è sempre impostato su`*`, un carattere jolly che significa «tutte le risorse».
I valori nell'elemento `Action` corrispondono alle API supportate dai servizi. Le azioni sono precedute da un che indica che si riferiscono `config:` ad azioni. AWS Config Puoi utilizzare il carattere jolly `*` nell'elemento `Action`, come negli esempi seguenti:
+ `"Action": ["config:*ConfigurationRecorder"]`
Ciò consente tutte le AWS Config azioni che terminano con "ConfigurationRecorder" (`StartConfigurationRecorder`,`StopConfigurationRecorder`).
+ `"Action": ["config:*"]`
Ciò consente tutte le AWS Config azioni, ma non le azioni per altri AWS servizi.
+ `"Action": ["*"]`
Ciò consente tutte le AWS azioni. Questa autorizzazione è adatta a un utente che funge da AWS amministratore del tuo account.
La policy di sola lettura non concede autorizzazioni all'utente per operazioni come `StartConfigurationRecorder`, `StopConfigurationRecorder` e `DeleteConfigurationRecorder`. Gli utenti con questa policy non possono avviare, arrestare o cancellare la registrazione della configurazione. Per l'elenco delle AWS Config azioni, consulta l'[AWS Config API Reference](https://docs.aws.amazon.com/config/latest/APIReference/).
## Accesso completo a AWS Config
L'esempio seguente mostra una politica che garantisce l'accesso completo a AWS Config. Concede agli utenti il permesso di eseguire tutte le AWS Config azioni. Consente inoltre agli utenti di gestire i file nei bucket Amazon S3 e gli argomenti Amazon SNS nell'account a cui è associato l'utente.
**Importante**
Questa policy concede autorizzazioni ampie. Prima di concedere l'accesso completo, prendi in considerazione l'idea di iniziare con un set di autorizzazioni minimo e concedere le autorizzazioni aggiuntive quando necessario. Questa è una best practice preferibile ad iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Resource-Level Autorizzazioni supportate per AWS Config Regola le azioni dell'API
Resource-level le autorizzazioni si riferiscono alla capacità di specificare su quali risorse gli utenti possono eseguire azioni. AWS Config supporta le autorizzazioni a livello di risorsa per determinate azioni dell'API delle regole. AWS Config Ciò significa che per determinate azioni delle AWS Config regole, è possibile controllare le condizioni in base alle quali gli utenti sono autorizzati a utilizzare tali azioni. Queste condizioni possono essere azioni da eseguire o specifiche risorse che gli utenti sono autorizzati a utilizzare.
La tabella seguente descrive le azioni dell'API delle AWS Config regole che attualmente supportano le autorizzazioni a livello di risorsa. Descrive inoltre le risorse supportate e i relativi ARN per ogni azione. Quando specifichi un ARN, puoi utilizzare il carattere jolly \* nei percorsi, ad esempio quando non puoi o non vuoi specificare gli ID risorsa.
**Importante**
Se un'azione API della AWS Config regola non è elencata in questa tabella, significa che non supporta le autorizzazioni a livello di risorsa. Se un'azione della AWS Config regola non supporta le autorizzazioni a livello di risorsa, è possibile concedere agli utenti le autorizzazioni per utilizzare l'azione, ma è necessario specificare un\* per l'elemento risorsa della dichiarazione politica.
****
| Operazione API | Resources |
| --- | --- |
| DeleteConfigRule | Regola di configurazione
rule/configarn:aws:config ::config- {{region:accountID}} -rule- {{ID}} |
| DeleteEvaluationResults | Regola di configurazione
arn: aws:config:: config {{region:accountID}} - -regola- rule/config {{ID}} |
| DescribeComplianceByConfigRule | Regola di configurazione
arn: aws:config:: config {{region:accountID}} - -regola- rule/config {{ID}} |
| DescribeConfigRuleEvaluationStatus | Regola di configurazione
arn: aws:config:: config {{region:accountID}} - -regola- rule/config {{ID}} |
| GetComplianceDetailsByConfigRule | Regola di configurazione
arn: aws:config:: config {{region:accountID}} - -regola- rule/config {{ID}} |
| PutConfigRule | Regola di configurazione
arn: aws:config:: config {{region:accountID}} - -regola- rule/config {{ID}} |
| StartConfigRulesEvaluation | Regola di configurazione
arn: aws:config:: config {{region:accountID}} - -regola- rule/config {{ID}} |
| PutRemediationConfigurations | Configurazione di correzione
arn:aws:config ::configurazione-riparazione/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DescribeRemediationConfigurations | Configurazione di correzione
arn:aws:config ::configurazione-riparazione/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DeleteRemediationConfiguration | Configurazione di correzione
arn:aws:config ::configurazione-riparazione/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| PutRemediationExceptions | Configurazione di correzione
arn:aws:config ::configurazione-riparazione/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DescribeRemediationExceptions | Configurazione di correzione
arn:aws:config ::configurazione-riparazione/ {{region:accountId}} {{config rule name/remediation configuration id}} |
| DeleteRemediationExceptions | Configurazione di correzione
arn:aws:config ::configurazione-riparazione/ {{region:accountId}} {{config rule name/remediation configuration id}} |
Se, ad esempio, si desidera consentire l'accesso in lettura e negare l'accesso in scrittura a regole specifiche a utenti specifici.
Nella prima policy, consenti alla regola di leggere le azioni, ad esempio sulle regole specificate. AWS Config `DescribeConfigRuleEvaluationStatus`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:{{us-east-1}}:{{123456789012}}:config-rule/config-rule-{{ID}}",
"arn:aws:config:{{us-east-1}}:{{123456789012}}:config-rule/config-rule-{{ID}}"
]
}
]
}
```
------
Nella seconda politica, neghi alla AWS Config regola le azioni di scrittura sulla regola specifica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:{{us-east-1}}:{{123456789012}}:config-rule/config-rule-{{ID}}"
}
]
}
```
------
Con le autorizzazioni a livello di risorsa, puoi consentire l'accesso in lettura e negare l'accesso in scrittura per eseguire azioni specifiche sulle azioni dell'API delle regole. AWS Config
## Resource-Level Autorizzazioni Multi-Account Multi-Region supportate per l'aggregazione dei dati
Puoi utilizzare le autorizzazioni a livello di risorsa per controllare la capacità di un utente di eseguire azioni specifiche sull'aggregazione dei dati multi-regione multi-account. Le seguenti AWS Config `Aggregator` API supportano le autorizzazioni a livello di risorsa:
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Ad esempio, puoi limitare l'accesso ai dati delle risorse da parte di utenti specifici creando due aggregatori `AccessibleAggregator` e `InAccessibleAggregator` e allegando una policy IAM che consente l'accesso a `AccessibleAggregator`, ma lo nega a `InAccessibleAggregator`.
**Policy IAM per AccessibleAggregator**
Tramite questa policy, puoi consentire l'accesso alle azioni dell'aggregatore supportate per il nome della risorsa Amazon (ARN) AWS Config specificato. In questo esempio, l' AWS Config ARN è. `arn:aws:config:ap-northeast-1:{{AccountID}}:config-aggregator/config-aggregator-mocpsqhs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:{{111122223333}}:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**Policy IAM per InAccessibleAggregator**
Tramite questa policy, puoi negare l'accesso alle azioni dell'aggregatore supportate per l'ARN AWS Config specificato. In questo esempio, l' AWS Config ARN è. `arn:aws:config:ap-northeast-1:{{AccountID}}:config-aggregator/config-aggregator-pokxzldx`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:{{111122223333}}:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Se un utente del gruppo di sviluppatori tenta di eseguire una di queste azioni sull'ARN AWS Config specificato, quell'utente riceverà un'eccezione di accesso negato.
**Verifica delle autorizzazioni di accesso degli utenti**
Per mostrare gli aggregatori creati, esegui il comando AWS CLI seguente:
```
aws configservice describe-configuration-aggregators
```
Quando il comando è completato correttamente, potrai vedere i dettagli di tutti gli aggregatori associati all'account. In questo esempio, sono `AccessibleAggregator` e `InAccessibleAggregator`:
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**Nota**
Alla voce `account-aggregation-sources` inserisci un elenco separato da virgole di ID account AWS per i quali desideri aggregare i dati. Racchiudi l'ID account tra parentesi quadre e assicurati di fare l'escape delle virgolette (ad esempio, `"[{\"AccountIds\": [\"{{AccountID1}}\",\"{{AccountID2}}\",\"{{AccountID3}}\"],\"AllAwsRegions\": true}]"`).
Collega la seguente policy IAM per negare l'accesso a `InAccessibleAggregator` o l'aggregatore a cui desideri negare l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:{{111122223333}}:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Quindi, puoi confermare che la policy IAM funge da limitazione dell'accesso a un aggregatore specifico:
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name {{rule name}} --account-id {{AccountID}} --aws-region {{AwsRegion}}
```
Il comando deve restituire un'eccezione di accesso negato:
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::{{AccountID}}:{{user/}} is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:{{AwsRegion}}-1:{{AccountID}}:config-aggregator/config-aggregator-pokxzldx
```