Berechtigungen für die IAM Rolle, die zugewiesen sind AWS Config - AWS Config
Erstellen von IAM-RollenrichtlinienVerwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für die IAM Rolle, die zugewiesen sind AWS Config

Mit einer IAM Rolle können Sie eine Reihe von Berechtigungen definieren. AWS Config nimmt die Rolle an, die Sie ihr zuweisen, um in Ihren S3-Bucket zu schreiben, zu Ihrem SNS Thema zu veröffentlichen und Anfragen zu stellen Describe oder List API Anfragen zum Abrufen von Konfigurationsdetails für Ihre AWS Ressourcen zu stellen. Weitere Informationen zu IAM Rollen finden Sie unter IAMRollen im IAMBenutzerhandbuch.

Wenn Sie die AWS Config Konsole verwenden, um eine IAM Rolle zu erstellen oder zu aktualisieren, fügt sie Ihnen AWS Config automatisch die erforderlichen Berechtigungen zu. Weitere Informationen finden Sie unter Einrichtung AWS Config mit der Konsole.

Erstellen von IAM-Rollenrichtlinien

Wenn Sie die AWS Config Konsole verwenden, um eine IAM Rolle zu erstellen, fügt der Rolle AWS Config automatisch die erforderlichen Berechtigungen für Sie zu.

Wenn Sie die AWS CLI zum Einrichten AWS Config oder Aktualisieren einer vorhandenen IAM Rolle verwenden, müssen Sie die Richtlinie manuell aktualisieren, damit AWS Config Sie auf Ihren S3-Bucket zugreifen, Beiträge zu Ihrem SNS Thema veröffentlichen und Konfigurationsdetails zu Ihren Ressourcen abrufen können.

Ihrer Rolle eine IAM Vertrauensrichtlinie hinzufügen

Sie können eine IAM Vertrauensrichtlinie erstellen, die es Ihnen ermöglicht, eine Rolle AWS Config zu übernehmen und sie zur Nachverfolgung Ihrer Ressourcen zu verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie im IAMBenutzerhandbuch unter Begriffe und Konzepte für Rollen.

Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für AWS Config Rollen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Sie können die AWS:SourceAccount Bedingung in der obigen IAM Rollenvertrauensbeziehung verwenden, um den Config-Dienstprinzipal so zu beschränken, dass er nur mit der AWS IAM Rolle interagiert, wenn er Operationen für bestimmte Konten ausführt.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, die den Config-Dienstprinzipal darauf beschränkt, die IAM Rolle nur zu übernehmen, wenn er Operationen im Namen des Eigentümerkontos ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird die AWS:SourceArn Eigenschaft immer auf die Region gesetzt, arn:aws:config:sourceRegion:sourceAccountID:* in der sourceRegion sich der Konfigurationsrekorder sourceAccountID befindet, und auf die ID des Kontos, das den Konfigurationsrekorder enthält. Weitere Informationen zum AWS Config Konfigurationsrekorder finden Sie unter Den Konfigurationsrekorder verwalten. Fügen Sie beispielsweise die folgende Bedingung hinzu, beschränken Sie den Config-Dienstprinzipal so, dass er die IAM Rolle nur im Namen eines Konfigurationsrekorders in der us-east-1 Region des Kontos übernimmt123456789012:"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

IAMRollenrichtlinie für Ihren S3-Bucket

Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihren S3-Bucket zuzugreifen:

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

IAMRollenrichtlinie für KMS Key

Die folgende Beispielrichtlinie erteilt die AWS Config Erlaubnis, die KMS basierte Verschlüsselung für neue Objekte für die S3-Bucket-Lieferung zu verwenden:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

IAMRollenrichtlinie für Amazon SNS Topic

Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihr SNS Thema zuzugreifen:

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Wenn Ihr SNS Thema verschlüsselt ist, finden Sie weitere Anweisungen zur Einrichtung unter Configuring AWS KMS Permissions im Amazon Simple Notification Service Developer Guide.

IAMRollenrichtlinie für das Abrufen von Konfigurationsdetails

Um Ihre AWS Ressourcenkonfigurationen aufzuzeichnen, AWS Config sind IAM Berechtigungen zum Abrufen der Konfigurationsdetails zu Ihren Ressourcen erforderlich.

Verwenden Sie die AWS verwaltete Richtlinie AWS_ConfigRoleund fügen Sie sie der IAM Rolle hinzu, der Sie sie zuweisen AWS Config. AWS aktualisiert diese Richtlinie jedes Mal, wenn Unterstützung für einen AWS Ressourcentyp AWS Config hinzugefügt AWS Config wird. Das bedeutet, dass Sie weiterhin über die erforderlichen Berechtigungen zum Abrufen von Konfigurationsdetails verfügen, solange der Rolle diese verwaltete Richtlinie zugewiesen ist.

Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, AWS Config hängt die AWS_ConfigRolefür Sie an.

Wenn Sie den verwenden AWS CLI, verwenden Sie den attach-role-policy Befehl und geben Sie den Amazon-Ressourcennamen (ARN) an für AWS_ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung

AWS Config zeichnet Benachrichtigungen auf und sendet Benachrichtigungen, wenn ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.

Es wird empfohlen, entweder die AWSServiceRoleForConfig (siehe Verwenden von dienstverknüpften Rollen für AWS Config) oder eine benutzerdefinierte IAM Rolle zu verwenden, die die AWS_ConfigRole verwaltete Richtlinie verwendet. Weitere Informationen zu bewährten Methoden für die Aufzeichnung von Konfigurationen finden Sie unter Bewährte Methoden für AWS Config.

Wenn Sie Berechtigungen auf Objektebene für Ihre Bucket-Aufzeichnung verwalten müssen, stellen Sie sicher, dass in der S3-Bucket-Richtlinie config.amazonaws.com (der AWS Config Dienstprinzipalname) Zugriff auf alle S3-bezogenen Berechtigungen aus der AWS_ConfigRole verwalteten Richtlinie gewährt wird. Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.