Die Berechtigungen für die IAM-Rolle, dieAWS Config - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Berechtigungen für die IAM-Rolle, dieAWS Config

EinAWS Identity and Access ManagementMit der IAM (IAM) -Rolle können Sie eine Reihe von Berechtigungen definieren.AWS Confignimmt die von Ihnen zugewiesene Rolle an, um Schreibvorgänge bei Ihrem S3-Bucket, Veröffentlichungen an Ihr SNS-Thema sowieDescribeoder .ListAPI-Anforderungen, um Konfigurationsdetails für IhreAWSRessourcen schätzen. Weitere Informationen zu IAM-Rollen finden Sie unterIAM-RollenimIAM-Benutzerhandbuch.

Wenn Sie dieAWS Config-Konsole zum Erstellen oder Aktualisieren einer IAM-RolleAWS Configfügt automatisch die erforderlichen Berechtigungen für Sie an. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole .

IAM-Rollenrichtlinien erstellen

Wenn Sie dieAWS ConfigSo erstellen Sie eine IAM-RolleAWS Configfügt die erforderlichen Berechtigungen für Sie automatisch hinzu.

Wenn Sie die FunktionAWS CLIEinrichtenAWS ConfigWenn Sie eine vorhandene IAM-Rolle aktualisieren, müssen Sie die Richtlinie manuell aktualisieren, damitAWS ConfigUm auf Ihren S3-Bucket zuzugreifen, Veröffentlichungen an Ihr SNS-Thema sowie Konfigurationsdetails zu Ihren -Ressourcen abzurufen.

Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle

Sie können eine IAM-Vertrauensrichtlinie erstellen, dieAWS ConfigSie können eine Rolle annehmen und zum Nachverfolgen Ihrer Ressourcen verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie unterÜbernehmen einer RolleimIAM-Benutzerhandbuch.

Im folgenden Beispiel wird eine Vertrauensrichtlinie für AWS Config-Rollen dargestellt:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

IAM-Rollenrichtlinie für Amazon S3 Bucket

Das folgende Beispiel für Policy-BerechtigungenAWS ConfigBerechtigungen für den Zugriff auf Ihren Amazon S3 Bucket:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }

IAM-Rollenrichtlinie für KMS-Schlüssel

Das folgende Beispiel für Policy-BerechtigungenAWS ConfigBerechtigungen für die Verwendung von KMS-basierter Verschlüsselung für neue Objekte für die S3-Bucket-Bereitstellung:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }

IAM-Rollenrichtlinie für Amazon SNS Thema

Die folgende Beispielrichtlinie erteilt AWS Config die Berechtigungen für den Zugriff auf Ihr SNS-Thema:

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

Weitere Informationen zum SNS-Thema finden Sie unterKonfigurierenAWS KMSBerechtigungenimEntwickleranleitung für Amazon Simple Notification Service.

IAM-Rollenrichtlinie zum Abrufen von Konfigurationsdetails

So zeichnen Sie IhreAWSRessourcenkonfigurationenAWS Configbenötigt IAM-Berechtigungen, um die Konfigurationsdetails zu Ihren -Ressourcen abzurufen.

Verwenden derAWSVerwaltete RichtlinieAWS_ConfigRoleund fügen Sie es der IAM-Rolle zu, die Sie zuweisenAWS Config.AWSaktualisiert diese Richtlinie jedes MalAWS Configbietet jetzt Unterstützung für eineAWSRessourcentyp, was bedeutetAWS Configsolange über die erforderlichen Berechtigungen für den Abruf von Konfigurationsdetails verfügt, wie der Rolle diese verwaltete Richtlinie angefügt ist.

Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, wirdAWS Configfügt denAWS_ConfigRolefür Sie.

Wenn Sie die OptionAWS CLIverwenden Sie denattach-role-policyund geben Sie den Amazon-Ressourcennamen (ARN) fürAWS_ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Verwalten von Berechtigungen für S3-Bucket-Aufzeichnung

AWS Configführt Aufzeichnungen durch und übermittelt Benachrichtigungen, sobald ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.

Es wird empfohlen, entweder dieAWSServiceRoleForConfig(sieheVerwenden von serviceverknüpften Rollen fürAWS Config) oder eine benutzerdefinierte IAM-Rolle, die dieAWS_ConfigRole-verwaltete Richtlinie. Weitere Informationen zu bewährten Methoden für die Konfigurationsaufzeichnung finden Sie unterAWS ConfigBewährte Methoden.

Wenn Sie Berechtigungen auf Objektebene für Ihre Bucket-Aufzeichnung verwalten müssen, stellen Sie sicher, dass in der S3-Bucket-Richtlinieconfig.amazonaws.com(dieAWS Config-Dienstprinzipalname) Zugriff auf alle S3-bezogenen Berechtigungen von derAWS_ConfigRole-verwaltete Richtlinie. Weitere Informationen finden Sie unterBerechtigungen für den Amazon S3 Bucket.