Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal - AWS Config
Bei Verwendung von IAM-RollenBei Verwendung von servicegebundenen Rollen AWS Config Zugriff gewähren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal

Wichtig

Auf dieser Seite geht es darum, den Amazon S3 S3-Bucket für den AWS Config Lieferkanal einzurichten. Auf dieser Seite geht es nicht um den AWS::S3::Bucket Ressourcentyp, den der AWS Config Konfigurationsrekorder aufzeichnen kann. Weitere Informationen zum AWS Config Bereitstellungskanal finden Sie unter Den Lieferkanal verwalten.

Standardmäßig werden alle Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourceninhaber, das heißt, das AWS -Konto, das den Bucket erstellt hat, kann auf diesen Bucket zugreifen. Der Ressourceninhaber kann jedoch Zugriffsberechtigungen für weitere Ressourcen und Benutzer erteilen. Das Schreiben einer Zugriffsrichtlinie ist eine Möglichkeit dazu.

Wenn automatisch ein Amazon S3 S3-Bucket für Sie AWS Config erstellt wird (wenn Sie beispielsweise die AWS Config Konsole verwenden, um Ihren Lieferkanal einzurichten), werden diese Berechtigungen automatisch dem Amazon S3 S3-Bucket hinzugefügt. Wenn Sie jedoch einen vorhandenen Amazon-S3-Bucket angeben, müssen Sie sicherstellen, dass der S3-Bucket über die richtigen Berechtigungen verfügt.

Anmerkung

Ein Objekt erbt nicht die Berechtigungen von seinem Bucket. Wenn Sie beispielsweise einen Bucket erstellen und einem Benutzer Schreibzugriff erteilen, können Sie auf die Objekte dieses Benutzers nicht zugreifen, wenn Ihnen der Benutzer nicht explizit Zugriff erteilt.

Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von IAM-Rollen

Wenn Konfigurationsinformationen (Verlaufsdateien und Snapshots) an den Amazon S3 S3-Bucket in Ihrem Konto AWS Config gesendet werden, nimmt er die IAM-Rolle an, die Sie bei der Einrichtung zugewiesen haben. AWS Config Wenn AWS Config Konfigurationsinformationen an einen Amazon-S3-Bucket in einem anderen Konto sendet, versucht er zunächst, die IAM-Rolle zu verwenden. Dieser Versuch schlägt allerdings fehl, wenn die Zugriffsrichtlinie für den Bucket der IAM-Rolle keinen WRITE-Zugriff erteilt. In diesem Fall AWS Config sendet er die Informationen erneut, diesmal als AWS Config Service Principal. Bevor die Übermittlung erfolgreich sein kann, muss die Zugriffsrichtlinie WRITE Zugriff auf den config.amazonaws.com Prinzipalnamen gewähren. AWS Config ist dann der Besitzer der Objekte, die es an den S3-Bucket liefert. Sie müssen an den Amazon-S3-Bucket in einem anderen Konto eine Zugriffsrichtlinie anfügen (siehe Schritt 6 unten), um AWS Config Zugriff auf den Amazon-S3-Bucket zu erteilen.

Before AWS Config can deliver logs to your Amazon S3 Bucket AWS Config prüft, ob der Bucket existiert und in welcher AWS Region sich der Bucket befindet. AWS Config versucht, die Amazon S3 HeadBucketS3-API aufzurufen, um zu überprüfen, ob der Bucket existiert, und um die Bucket-Region abzurufen. Wenn bei der Standortüberprüfung keine Berechtigungen zum Auffinden des Buckets bereitgestellt werden, wird in den AWS CloudTrail Protokollen ein AccessDenied Fehler angezeigt. Die Übergabe des Protokolls an Ihren Amazon-S3-Bucket ist jedoch selbst dann erfolgreich, wenn Sie keine Berechtigungen zum Auffinden der Bucket-Position angeben.

Anmerkung

Wenn Sie der HeadBucket-API von Amazon S3 Berechtigung gewähren möchten, gewähren Sie die Berechtigung, die Aktion s3:ListBucket als Sid AWSConfigBucketExistenceCheck auszuführen, wie in Schritt 6 unten beschrieben.

Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen

Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, Objekte in Amazon S3 S3-Buckets abzulegen. Wenn Sie also eine serviceverknüpfte Rolle einrichten AWS Config , AWS Config werden stattdessen Konfigurationselemente als AWS Config Service Principal gesendet. Sie müssen dem Amazon S3-Bucket in Ihrem eigenen Konto oder einem anderen Konto eine Zugriffsrichtlinie hinzufügen, die in Schritt 6 unten beschrieben wird, um AWS Config Zugriff auf den Amazon S3 S3-Bucket zu gewähren.

AWS Config Zugriff auf den Amazon S3 S3-Bucket gewähren

Gehen Sie wie folgt vor, um einem Amazon-S3-Bucket in Ihrem eigenen oder einem anderen Konto eine Zugriffsrichtlinie hinzuzufügen. Die Zugriffsrichtlinie ermöglicht AWS Config das Senden von Konfigurationsinformationen an einen Amazon S3 S3-Bucket.

  1. Melden Sie sich AWS Management Console mit dem Konto an, das den S3-Bucket hat.

  2. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  3. Wählen Sie den Bucket aus, den Sie AWS Config für die Bereitstellung von Konfigurationselementen verwenden möchten, und wählen Sie dann Eigenschaften aus.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Wählen Sie Edit Bucket Policy.

  6. Kopieren Sie die folgende Richtlinie in das Fenster Bucket Policy Editor (Richtlinien-Editor für Buckets):

    Wichtig

    Als bewährte Sicherheitsmethode beim Zulassen des AWS Config Zugriffs auf einen Amazon S3 S3-Bucket empfehlen wir dringend, den Zugriff in der Bucket-Richtlinie mit der AWS:SourceAccount Bedingung einzuschränken. Wenn Ihre vorhandene Bucket-Richtlinie dieser bewährten Sicherheitsmethode nicht entspricht, sollten Sie die Bucket-Richtlinie unbedingt so bearbeiten, dass sie diesen Schutz enthält. Dadurch AWS Config wird sichergestellt, dass der Zugriff nur im Namen der erwarteten Benutzer gewährt wird.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    Anmerkung

    Wenn Sie Berechtigungen für Ihre IAM-Rolle statt für den AWS Config Service Principal Name (SPN) erteilen, stellen Sie sicher, dass Ihre IAM-Rolle über Berechtigungen für den kontoübergreifenden Bucket verfügt, um Fehler bei unzureichenden PutObjectACL Berechtigungen zu vermeiden. Ein Beispiel einer IAM-Rollenrichtlinie finden Sie unter IAM-Rollenrichtlinie für Ihren S3-Bucket.

  7. Ersetzen Sie die folgenden Werte in der Bucket-Richtlinie:

    • targetBucketName— Der Name des Amazon S3 S3-Buckets, an den Konfigurationselemente geliefert AWS Config werden.

    • [optional] Präfix: Optionale Addition zum Amazon-S3-Objektschlüssel, mit dem der Bucket ordnerähnlich organisiert werden kann.

    • sourceAccountId — Die ID des Kontos, für das Konfigurationselemente an den Ziel-Bucket geliefert AWS Config werden.

  8. Wählen Sie Save (Speichern) und dann Close (Schließen) aus.

Sie können die Bedingung AWS:SourceAccount in der Amazon-S3-Bucket-Richtlinie oben verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit dem Amazon-S3-Bucket interagiert, wenn er Operationen für bestimmte Konten ausführt. Wenn Sie planen, viele Konten derselben Organisation einzurichten AWS Config , um Konfigurationselemente an einen einzelnen Amazon S3 S3-Bucket zu liefern, empfehlen wir die Verwendung von IAM-Rollen anstelle von serviceverknüpften Rollen, sodass Sie Bedingungsschlüssel wie verwenden AWS Organizations können. AWS:PrincipalOrgID Weitere Informationen zur Verwaltung der Zugriffsberechtigungen für eine IAM-Rolle zur Verwendung mit AWS Config finden Sie unter Berechtigungen für die zugewiesene IAM-Rolle. AWS Config Weitere Informationen zur Verwaltung von Zugriffsberechtigungen für AWS Organizations finden Sie unter Zugriffsberechtigungen für Ihre AWS Organisation verwalten.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, dass der Config-Serviceprinzipal nur dann mit dem Amazon S3 S3-Bucket interagiert, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als AWS:SourceArn Eigenschaft immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:* wo sich die Region des Lieferkanals sourceRegion befindet. Dabei sourceAccountID handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanälen finden Sie unter Verwaltung des Lieferkanals. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1 des Kontos 123456789012 mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.