Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen für den KMS-Schlüssel für den AWS Config Lieferkanal
Verwenden Sie die Informationen in diesem Thema, wenn Sie eine Richtlinie für einen AWS KMS Schlüssel für Ihren S3-Bucket erstellen möchten, mit der Sie KMS-basierte Verschlüsselung für Objekte verwenden können, die von AWS Config für die S3-Bucket-Zustellung bereitgestellt wurden.
Inhalt
Erforderliche Berechtigungen für den KMS-Schlüssel bei Verwendung von IAM-Rollen (S3-Bucket-Übermittlung)
Wenn Sie die Einrichtung AWS Config mithilfe einer IAM-Rolle einrichten, können Sie die folgende Berechtigungsrichtlinie an den KMS-Schlüssel anhängen:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "
account-id1
", "account-id2
", "account-id3
" ] } } ] }
Anmerkung
Wenn die IAM-Rolle, die Amazon S3 S3-Bucket-Richtlinie oder der AWS KMS Schlüssel keinen angemessenen Zugriff auf ermöglichen AWS Config, schlägt AWS Config der Versuch fehl, Konfigurationsinformationen an den Amazon S3 S3-Bucket zu senden. In diesem Fall AWS Config sendet er die Informationen erneut, diesmal als AWS Config Service Principal. In diesem Fall müssen Sie dem Schlüssel eine unten aufgeführte Berechtigungsrichtlinie beifügen, um AWS Config Zugriff auf die Verwendung des AWS KMS Schlüssels bei der Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.
Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery)
Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, auf den AWS KMS Schlüssel zuzugreifen. Wenn Sie also eine dienstbezogene AWS Config Rolle einrichten, AWS Config werden Informationen stattdessen als AWS Config Dienstprinzipal gesendet. Sie müssen dem Schlüssel eine unten aufgeführte Zugriffsrichtlinie beifügen, um Zugriff AWS Config auf die Verwendung des AWS KMS Schlüssels bei der AWS KMS Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.
AWS Config Zugriff auf den AWS KMS Schlüssel gewähren
Diese Richtlinie ermöglicht AWS Config die Verwendung eines AWS KMS Schlüssels bei der Übermittlung von Informationen an einen Amazon S3 S3-Bucket
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } } ] }
Ersetzen Sie die folgenden Werte in der Schlüsselrichtlinie:
-
myKMSKeyARN
— Der ARN des AWS KMS Schlüssels, der zur Verschlüsselung von Daten im Amazon S3 S3-Bucket verwendet AWS Config wird, an den Konfigurationselemente geliefert werden. -
sourceAccountID
— Die ID des Kontos, für das Konfigurationselemente geliefert AWS Config werden.
Sie können die AWS:SourceAccount
Bedingung in der obigen AWS KMS Schlüsselrichtlinie verwenden, um den Config-Dienstprinzipal so zu beschränken, dass er nur mit dem AWS KMS Schlüssel interagiert, wenn er Operationen für bestimmte Konten ausführt.
AWS Config unterstützt auch die AWS:SourceArn
Bedingung, dass der Config-Serviceprinzipal nur dann mit dem Amazon S3 S3-Bucket interagiert, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als AWS:SourceArn
Eigenschaft immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:*
wo sich die Region des Lieferkanals sourceRegion
befindet. Dabei sourceAccountID
handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanälen finden Sie unter Verwaltung des Lieferkanals. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1
des Kontos 123456789012
mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}
.