Berechtigungen für den Amazon S3 Bucket - AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für den Amazon S3 Bucket

Standardmäßig werden alle Amazon S3 Buckets und -Objekte als privat eingestuft. Nur der Ressourceninhaber, der das AWS Konto ist, in dem der Bucket erstellt wurde, kann auf diesen Bucket zugreifen. Der Ressourceninhaber kann jedoch Zugriffsberechtigungen für weitere Ressourcen und Benutzer erteilen. Das Schreiben einer Zugriffsrichtlinie ist eine Möglichkeit dazu.

Wenn AWS Config automatisch für Sie einen Amazon S3 Bucket erstellt (z. B., wenn Sie die AWS Config Konsole verwenden, um Ihren Übermittlungskanal einzurichten), werden diese Berechtigungen dem Amazon S3 Bucket automatisch hinzugefügt. Wenn Sie jedoch einen vorhandenen Amazon S3 Bucket angeben, müssen Sie sicherstellen, dass der S3-Bucket über die richtigen Berechtigungen verfügt.

Anmerkung

Ein Objekt erbt nicht die Berechtigungen von seinem Bucket. Wenn Sie beispielsweise einen Bucket erstellen und einem Benutzer Schreibzugriff erteilen, können Sie auf die Objekte dieses Benutzers nicht zugreifen, wenn Ihnen der Benutzer nicht explizit Zugriff erteilt.

Erforderliche Berechtigungen für den Amazon S3 Bucket bei Verwendung von IAM-Rollen

Wenn AWS Config Konfigurationsinformationen (Verlaufsdateien und Snapshots) an Amazon S3 Bucket in Ihrem Konto sendet, nimmt die bei der Einrichtung von AWS Config zugewiesene IAM-Rolle an. Wenn AWS Config Konfigurationsinformationen an einen Amazon S3 Bucket in einem anderen Konto sendet, wird zunächst versucht, die IAM-Rolle zu verwenden. Dieser Versuch ist allerdings nicht erfolgreich, wenn die Zugriffsrichtlinie für den BucketWRITEZugriff auf die IAM-Rolle. In diesem Fall sendet AWS Config die Informationen erneut als Prinzipal des AWS-Config-Services. Bevor die Bereitstellung erfolgreich durchgeführt werden kann, muss die ZugriffsrichtlinieWRITEZugriff auf denconfig.amazonaws.comPrinzipalname. AWS Config wird dann Inhaber der Objekte, die es dem S3-Bucket übermittelt. Sie müssen an den Amazon S3 Bucket in einem anderen Konto eine Zugriffsrichtlinie anfügen (siehe Schritt 6 unten), um AWS Config Zugriff auf den Amazon S3-Bucket zu gewähren.

Bevor AWS Config Protokolle an Ihren Amazon S3 Bucket übermitteln kann, prüft AWS Config, ob der Bucket vorhanden ist und in welcher AWS-Region sich der Bucket befindet. AWS Config versucht, Amazon S3 aufzurufenHeadBucketAPI, um zu überprüfen, ob der Bucket vorhanden ist, und um die Bucket-Region abzurufen. Wenn bei der Überprüfung der Position keine Berechtigungen zum Auffinden des Buckets erteilt werden, wird unterAccessDenied-Fehler in AWS CloudTrail Protokollen. Die Übermittlung des Protokolls an Ihren Amazon S3 Bucket ist jedoch erfolgreich, wenn Sie keine Berechtigungen zum Auffinden der Bucket-Position angeben.

Erforderliche Berechtigungen für den Amazon S3 Bucket bei Verwendung von serviceverknüpften Rollen

Wenn Sie AWS Config mithilfe einer serviceverknüpften Rolle einrichten, müssen Sie an den Amazon S3 Bucket in Ihrem eigenen oder einem anderen Konto eine Zugriffsrichtlinie anfügen (siehe Schritt 6 unten), um AWS Config-Zugriff auf den Amazon S3-Bucket zu gewähren. Es wird nicht empfohlen, serviceverknüpfte Rollen für die kontoübergreifende Einrichtung von AWS Config zu verwenden.

Gewähren von AWS Config Zugriff auf den Amazon S3 Bucket

Gehen Sie wie folgt vor, um einem Amazon S3 Bucket in Ihrem eigenen oder einem anderen Konto eine Zugriffsrichtlinie hinzuzufügen. Mit der Zugriffsrichtlinie kann AWS Config Konfigurationsinformationen an den Amazon S3 Bucket senden.

  1. Melden Sie sich mit dem Konto mit den S3-Bucket bei der AWS Managementkonsole an.

  2. Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

  3. Wählen Sie den Bucket aus, den AWS Config zum Übermitteln der Konfigurationselemente verwenden soll, und wählen Sie dannEigenschaften.

  4. Wählen Sie Permissions.

  5. Wählen Sie Edit Bucket Policy.

  6. Kopieren Sie die folgende Richtlinie in das Fenster Bucket Policy Editor (Richtlinien-Editor für Buckets):

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": [ "config.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::targetBucketName" }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": [ "config.amazonaws.com" ] }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::targetBucketName" }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "config.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
    Anmerkung

    AWS Config ist Eigentum von AWS und gehört nicht speziell zu einem Ihrer AWS-Konten oder verknüpften Konten in Ihrer AWS-Organisation. Dies bedeutet, dass der Service nicht mit organisations-ID oder organisationseinheiten basierten Bedingungen funktioniert.

    Anmerkung

    Stellen Sie beim Erteilen von Berechtigungen für Ihre IAM-Rolle anstelle von AWS Config Service Principal Name (SPN) sicher, dass Ihre IAM-RollePutObjectACL-Berechtigung für kontoübergreifenden Bucket, um unzureichende Berechtigungsfehler Siehe Beispiel der IAM-Rollenrichtlinie unter IAM-Rollenrichtlinie für Amazon S3 Bucket.

  7. Ersetzen Sie die folgenden Werte in der Bucket-Richtlinie:

    • TargetBucketName— Der Name des Amazon S3 Buckets, dem AWS Config Konfigurationselemente übermittelt.

    • [optional] Präfix— Eine optionaler Zusatz zum Amazon S3 Objektschlüssel, mit dem der Bucket ordnerähnlich organisiert werden kann.

    • SourceAccountId-withoutHens— Die ID des Kontos, für das AWS Config Konfigurationselemente an den Ziel-Bucket übermittelt.

  8. Wählen Sie Save (Speichern) und dann Close (Schließen) aus.