Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen für den Amazon S3 S3-Bucket für AWS Config Übermittlungskanal
Wichtig
Auf dieser Seite geht es um die Einrichtung des Amazon S3 S3-Buckets für AWS Config Lieferkanal. Auf dieser Seite geht es nicht um den AWS::S3::Bucket
Ressourcentyp, den AWS Config Der Konfigurationsrekorder kann aufzeichnen. Für weitere Informationen über AWS Config Lieferkanal finden Sie unter Den Lieferkanal verwalten.
Standardmäßig werden alle Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Besitzer der Ressource, das ist AWS-Konto der den Bucket erstellt hat, kann auf diesen Bucket zugreifen. Der Ressourceninhaber kann jedoch Zugriffsberechtigungen für weitere Ressourcen und Benutzer erteilen. Das Schreiben einer Zugriffsrichtlinie ist eine Möglichkeit dazu.
Wenn AWS Config erstellt automatisch einen Amazon S3 S3-Bucket für Sie (z. B. wenn Sie AWS Config Konsole zum Einrichten Ihres Lieferkanals), werden diese Berechtigungen automatisch zum Amazon S3 S3-Bucket hinzugefügt. Wenn Sie jedoch einen vorhandenen Amazon-S3-Bucket angeben, müssen Sie sicherstellen, dass der S3-Bucket über die richtigen Berechtigungen verfügt.
Anmerkung
Ein Objekt erbt nicht die Berechtigungen von seinem Bucket. Wenn Sie beispielsweise einen Bucket erstellen und einem Benutzer Schreibzugriff erteilen, können Sie auf die Objekte dieses Benutzers nicht zugreifen, wenn Ihnen der Benutzer nicht explizit Zugriff erteilt.
Inhalt
Erforderliche Berechtigungen für den Amazon S3 S3-Bucket bei der Verwendung von IAM Rollen
Wann AWS Config sendet Konfigurationsinformationen (Verlaufsdateien und Snapshots) an den Amazon S3 S3-Bucket in Ihrem Konto. Er nimmt die IAM Rolle an, die Sie bei der Einrichtung zugewiesen haben AWS Config. Wann AWS Config
sendet Konfigurationsinformationen an einen Amazon S3 S3-Bucket in einem anderen Konto und versucht zunächst, die IAM Rolle zu verwenden. Dieser Versuch schlägt jedoch fehl, wenn die Zugriffsrichtlinie für den Bucket keinen WRITE
Zugriff auf die IAM Rolle gewährt. In diesem Fall AWS Config sendet die Informationen erneut, diesmal als AWS Config Dienstleiter. Bevor die Bereitstellung erfolgreich sein kann, muss die Zugriffsrichtlinie WRITE
Zugriff auf den config.amazonaws.com
Prinzipalnamen gewähren. AWS Config ist dann der Besitzer der Objekte, die es an den S3-Bucket liefert. Sie müssen dem Amazon S3 S3-Bucket in einem anderen Konto eine Zugriffsrichtlinie hinzufügen, die in Schritt 6 unten beschrieben wird, um sie zu gewähren AWS Config
Zugriff auf den Amazon S3 S3-Bucket.
Vor AWS Config kann Logs an Ihren Amazon S3 S3-Bucket liefern AWS Config prüft, ob und in welchem Bucket der Bucket existiert AWS Region, in der sich der Bucket befindet. AWS Config versucht, Amazon S3 aufzurufen HeadBucketAPI, um zu überprüfen, ob der Bucket existiert, und um die Bucket-Region abzurufen. Wenn bei der Standortüberprüfung keine Berechtigungen zum Auffinden des Buckets bereitgestellt werden, wird ein AccessDenied
Fehler in angezeigt AWS CloudTrail Logs. Die Übergabe des Protokolls an Ihren Amazon-S3-Bucket ist jedoch selbst dann erfolgreich, wenn Sie keine Berechtigungen zum Auffinden der Bucket-Position angeben.
Anmerkung
Um die Erlaubnis für Amazon S3 zu erteilen HeadBucket
API, geben Sie die Erlaubnis, die s3:ListBucket
Aktion als Sid auszuführenAWSConfigBucketExistenceCheck
, wie in Schritt 6 unten beschrieben.
Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen
Das Tool AWS Config Die serviceverknüpfte Rolle ist nicht berechtigt, Objekte in Amazon S3 S3-Buckets abzulegen. Also, wenn Sie einrichten AWS Config mithilfe einer serviceverknüpften Rolle AWS Config sendet Konfigurationselemente als AWS Config Stattdessen Service Principal. Sie müssen dem Amazon S3 S3-Bucket in Ihrem eigenen Konto oder einem anderen Konto, das Sie gewähren möchten, eine Zugriffsrichtlinie, wie in Schritt 6 unten beschrieben, anhängen AWS Config Zugriff auf den Amazon S3 S3-Bucket.
Gewährung AWS Config Zugriff auf den Amazon S3 Bucket
Gehen Sie wie folgt vor, um einem Amazon-S3-Bucket in Ihrem eigenen oder einem anderen Konto eine Zugriffsrichtlinie hinzuzufügen. Die Zugriffsrichtlinie ermöglicht AWS Config um Konfigurationsinformationen an einen Amazon S3 S3-Bucket zu senden.
-
Melden Sie sich an bei AWS Management Console mit dem Konto, das den S3-Bucket hat.
Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie den gewünschten Bucket aus AWS Config zur Bereitstellung von Konfigurationselementen verwenden, und wählen Sie dann Eigenschaften aus.
-
Wählen Sie Permissions (Berechtigungen).
-
Wählen Sie Edit Bucket Policy.
-
Kopieren Sie die folgende Richtlinie in das Fenster Bucket Policy Editor (Richtlinien-Editor für Buckets):
Wichtig
Als bewährte Sicherheitsmethode beim Zulassen AWS Config Wenn Sie Zugriff auf einen Amazon S3 S3-Bucket haben, empfehlen wir dringend, den Zugriff in der Bucket-Richtlinie mit der
AWS:SourceAccount
Bedingung einzuschränken. Wenn Ihre vorhandene Bucket-Richtlinie dieser bewährten Sicherheitsmethode nicht entspricht, sollten Sie die Bucket-Richtlinie unbedingt so bearbeiten, dass sie diesen Schutz enthält. Dadurch wird sichergestellt, dass AWS Config wird nur im Namen der erwarteten Benutzer Zugriff gewährt.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/[optional] prefix
/AWSLogs/sourceAccountID
/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "AWS:SourceAccount": "sourceAccountID
" } } } ] }Anmerkung
Wenn Sie Ihrer IAM Rolle Berechtigungen gewähren, anstatt AWS Config Stellen Sie sicher, dass Ihre IAM Rolle über
PutObjectACL
Berechtigungen für einen kontoübergreifenden Bucket verfügt, um Fehler bei unzureichenden Berechtigungen zu vermeiden. SPN Ein Beispiel für IAM eine Rollenrichtlinie finden Sie unter. IAMRollenrichtlinie für Ihren S3-Bucket -
Ersetzen Sie die folgenden Werte in der Bucket-Richtlinie:
-
amzn-s3-demo-bucket
— Der Name des Amazon S3 S3-Buckets, zu dem AWS Config liefert Konfigurationselemente. -
[optional] prefix
— Eine optionale Ergänzung zum Amazon S3 S3-Objektschlüssel, mit deren Hilfe eine ordnerähnliche Organisation im Bucket erstellt werden kann. -
sourceAccountID
— Die ID des Kontos, für das AWS Config liefert Konfigurationselemente an den Ziel-Bucket.
-
-
Wählen Sie Save (Speichern) und dann Close (Schließen) aus.
Sie können die Bedingung AWS:SourceAccount
in der Amazon-S3-Bucket-Richtlinie oben verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit dem Amazon-S3-Bucket interagiert, wenn er Operationen für bestimmte Konten ausführt. Wenn Sie die Einrichtung planen AWS Config Für viele Konten derselben Organisation empfehlen wir, für die Bereitstellung von Konfigurationselementen an einen einzelnen Amazon S3 S3-Bucket IAM Rollen anstelle von serviceverknüpften Rollen zu verwenden, damit Sie AWS Organizations Schlüssel für Bedingungen wieAWS:PrincipalOrgID
. Weitere Informationen zur Verwaltung von Zugriffsberechtigungen für eine IAM Rolle zur Verwendung mit AWS Config, siehe Berechtigungen für die IAM Rolle, die zugewiesen ist AWS Config. Weitere Informationen zur Verwaltung von Zugriffsberechtigungen für AWS Organizations, siehe Verwaltung von Zugriffsberechtigungen für AWS Organisation.
AWS Config unterstützt auch die AWS:SourceArn
Bedingung, die den Config-Serviceprinzipal darauf beschränkt, nur mit dem Amazon S3 S3-Bucket zu interagieren, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle. Bei der Verwendung des AWS Config Service Principal, als AWS:SourceArn
Eigenschaft wird immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:*
wo sich die Region des Lieferkanals sourceRegion
befindet. Dabei sourceAccountID
handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanäle, siehe Den Lieferkanal verwalten. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1
des Kontos 123456789012
mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}
.