Berechtigungen für die IAM-Rolle wurden zugewiesen AWS Config - AWS Config
Erstellen von IAM-RollenrichtlinienVerwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für die IAM-Rolle wurden zugewiesen AWS Config

Mit einer IAM-Rolle können Sie eine Reihe von Berechtigungen definieren. AWS Config übernimmt die Rolle, die Sie ihr zuweisen, um in Ihren S3-Bucket zu schreiben, in Ihrem SNS-Thema zu veröffentlichen und Anfragen Describe oder List API-Anfragen zu stellen, um Konfigurationsdetails für Ihre AWS Ressourcen abzurufen. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen oder zu aktualisieren, fügt sie AWS Config automatisch die erforderlichen Berechtigungen für Sie hinzu. Weitere Informationen finden Sie unter Einrichtung AWS Config mit der Konsole.

Erstellen von IAM-Rollenrichtlinien

Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen, fügt der Rolle AWS Config automatisch die erforderlichen Berechtigungen für Sie zu.

Wenn Sie die AWS CLI zum Einrichten AWS Config oder Aktualisieren einer vorhandenen IAM-Rolle verwenden, müssen Sie die Richtlinie manuell aktualisieren, damit AWS Config Sie auf Ihren S3-Bucket zugreifen, in Ihrem SNS-Thema veröffentlichen und Konfigurationsdetails zu Ihren Ressourcen abrufen können.

Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle

Sie können eine IAM-Vertrauensrichtlinie erstellen, die es Ihnen ermöglicht, eine Rolle anzunehmen und diese AWS Config zur Nachverfolgung Ihrer Ressourcen zu verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie unter Rollenbegriffe und -Konzepte im IAM-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für AWS Config Rollen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Sie können die obige Bedingung AWS:SourceAccount in der IAM-Rollenvertrauensbeziehung verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit der AWS -IAM-Rolle interagiert, wenn er Operationen für bestimmte Konten ausführt.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, dass der Config-Dienstprinzipal nur dann die IAM-Rolle übernimmt, wenn er Operationen im Namen des Eigentümerkontos ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird die AWS:SourceArn Eigenschaft immer auf die Region gesetzt, arn:aws:config:sourceRegion:sourceAccountID:* in der sourceRegion sich der Konfigurationsrekorder sourceAccountID befindet, und auf die ID des Kontos, das den Konfigurationsrekorder enthält. Weitere Informationen zum AWS Config Konfigurationsrekorder finden Sie unter Den Konfigurationsrekorder verwalten. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er die IAM-Rolle nur im Namen eines Konfigurations-Recorders in der Region us-east-1 des Kontos 123456789012 übernimmt: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

IAM-Rollenrichtlinie für Ihren S3-Bucket

Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihren S3-Bucket zuzugreifen:

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::myBucketName"
    }
  ]
}

IAM-Rollenrichtlinie für KMS-Schlüssel

Die folgende Beispielrichtlinie erteilt die AWS Config Erlaubnis, KMS-basierte Verschlüsselung für neue Objekte für die S3-Bucket-Lieferung zu verwenden:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

IAM-Rollenrichtlinie für ein Amazon-SNS-Thema

Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihr SNS-Thema zuzugreifen:

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Wenn Ihr SNS-Thema verschlüsselt ist, finden Sie zusätzliche Anweisungen zur Einrichtung im Thema Konfigurieren von AWS KMS -Berechtigungen im Entwicklerhandbuch für Amazon Simple Notification Service.

IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails

Um Ihre AWS Ressourcenkonfigurationen aufzuzeichnen, AWS Config sind IAM-Berechtigungen erforderlich, um die Konfigurationsdetails zu Ihren Ressourcen abzurufen.

Verwenden Sie die AWS verwaltete Richtlinie AWS_ ConfigRole und fügen Sie sie der IAM-Rolle hinzu, der Sie sie zuweisen. AWS Config AWS aktualisiert diese Richtlinie jedes Mal, wenn Unterstützung für einen AWS Ressourcentyp AWS Config hinzugefügt AWS Config wird. Das bedeutet, dass Sie weiterhin über die erforderlichen Berechtigungen zum Abrufen von Konfigurationsdetails verfügen, solange der Rolle diese verwaltete Richtlinie zugewiesen ist.

Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, AWS Config hängt AWS_ ConfigRole für Sie an.

Wenn Sie den verwenden AWS CLI, verwenden Sie den attach-role-policy Befehl und geben Sie den Amazon-Ressourcennamen (ARN) für ConfigRoleAWS_ an:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung

AWS Config zeichnet Benachrichtigungen auf und sendet Benachrichtigungen, wenn ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.

Es wird empfohlen, entweder AWSServiceRoleForConfig (siehe Verwenden von servicegebundenen Rollen für AWS Config) oder eine benutzerdefinierte IAM-Rolle zu verwenden, die die AWS_ConfigRole-verwaltete Richtlinie verwendet. Weitere Informationen zu bewährten Methoden für die Aufzeichnung von Konfigurationen finden Sie unter Bewährte Methoden für AWS Config.

Wenn Sie Berechtigungen auf Objektebene für Ihre Bucket-Aufzeichnung verwalten müssen, stellen Sie sicher, dass in der S3-Bucket-Richtlinie config.amazonaws.com (der AWS Config Dienstprinzipalname) Zugriff auf alle S3-bezogenen Berechtigungen aus der AWS_ConfigRole verwalteten Richtlinie gewährt wird. Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.