Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen für die IAM-Rolle wurden zugewiesen AWS Config
Mit einer IAM-Rolle können Sie eine Reihe von Berechtigungen definieren. AWS Config übernimmt die Rolle, die Sie ihr zuweisen, um in Ihren S3-Bucket zu schreiben, in Ihrem SNS-Thema zu veröffentlichen und Anfragen Describe
oder List
API-Anfragen zu stellen, um Konfigurationsdetails für Ihre AWS Ressourcen abzurufen. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.
Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen oder zu aktualisieren, fügt sie AWS Config automatisch die erforderlichen Berechtigungen für Sie hinzu. Weitere Informationen finden Sie unter Einrichtung AWS Config mit der Konsole.
Richtlinien und Compliance-Ergebnisse
IAM-Richtlinien und andere Richtlinien, die in verwaltet werden, AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.
Inhalt
- Erstellen von IAM-Rollenrichtlinien
- Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle
- IAM-Rollenrichtlinie für Ihren S3-Bucket
- IAM-Rollenrichtlinie für KMS-Schlüssel
- IAM-Rollenrichtlinie für ein Amazon-SNS-Thema
- IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails
- Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung
Erstellen von IAM-Rollenrichtlinien
Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen, AWS Config werden der Rolle automatisch die erforderlichen Berechtigungen für Sie zugewiesen.
Wenn Sie die AWS CLI zum Einrichten AWS Config oder Aktualisieren einer vorhandenen IAM-Rolle verwenden, müssen Sie die Richtlinie manuell aktualisieren, damit AWS Config Sie auf Ihren S3-Bucket zugreifen, in Ihrem SNS-Thema veröffentlichen und Konfigurationsdetails zu Ihren Ressourcen abrufen können.
Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle
Sie können eine IAM-Vertrauensrichtlinie erstellen, die es Ihnen ermöglicht, eine Rolle anzunehmen und diese AWS Config zur Nachverfolgung Ihrer Ressourcen zu verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie unter Rollenbegriffe und -Konzepte im IAM-Benutzerhandbuch.
Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für AWS Config Rollen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
Sie können die obige Bedingung AWS:SourceAccount
in der IAM-Rollenvertrauensbeziehung verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit der AWS
-IAM-Rolle interagiert, wenn er Operationen für bestimmte Konten ausführt.
AWS Config unterstützt auch die AWS:SourceArn
Bedingung, dass der Config-Dienstprinzipal nur dann die IAM-Rolle übernimmt, wenn er Operationen im Namen des Eigentümerkontos ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als AWS:SourceArn
Eigenschaft immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:*
wo sich die Region des vom Kunden verwalteten Konfigurationsrekorders sourceRegion
befindet. Dabei sourceAccountID
handelt es sich um die ID des Kontos, das den vom Kunden verwalteten Konfigurationsrekorder enthält.
Fügen Sie beispielsweise die folgende Bedingung hinzu, beschränken Sie den Config-Dienstprinzipal so, dass er die IAM-Rolle nur im Namen eines vom Kunden verwalteten Konfigurationsrekorders in der us-east-1
Region des Kontos übernimmt123456789012
:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
.
IAM-Rollenrichtlinie für Ihren S3-Bucket
Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihren S3-Bucket zuzugreifen:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-bucket
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket
" } ] }
IAM-Rollenrichtlinie für KMS-Schlüssel
Die folgende Beispielrichtlinie erteilt die AWS Config Erlaubnis, KMS-basierte Verschlüsselung für neue Objekte für die S3-Bucket-Lieferung zu verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
IAM-Rollenrichtlinie für ein Amazon-SNS-Thema
Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihr SNS-Thema zuzugreifen:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
Wenn Ihr SNS-Thema verschlüsselt ist, finden Sie zusätzliche Anweisungen zur Einrichtung im Thema Konfigurieren von AWS KMS -Berechtigungen im Entwicklerhandbuch für Amazon Simple Notification Service.
IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails
Es wird empfohlen, die AWS Config dienstverknüpfte Rolle zu verwenden:. AWSServiceRoleForConfig
Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich. Weitere Informationen finden Sie unter Verwenden von Service-verknüpften Rollen für AWS Config.
Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, AWS Config hängt die für Sie an. AWSServiceRoleForConfig
Wenn Sie den verwenden AWS CLI, verwenden Sie den attach-role-policy
Befehl und geben Sie den Amazon-Ressourcennamen (ARN) an für AWSServiceRoleForConfig:
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig
Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung
AWS Config zeichnet Benachrichtigungen auf und sendet Benachrichtigungen, wenn ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.
Es wird empfohlen, die AWS Config serviceverknüpfte Rolle zu verwenden:AWSServiceRoleForConfig
. Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich. Weitere Informationen finden Sie unter Verwenden von Service-verknüpften Rollen für AWS Config.