Berechtigungen für den KMS-Schlüssel für den AWS Config Lieferkanal - AWS Config
Bei Verwendung von IAM-RollenBei Verwendung von servicegebundenen Rollen AWS Config Zugriff gewähren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für den KMS-Schlüssel für den AWS Config Lieferkanal

Verwenden Sie die Informationen in diesem Thema, wenn Sie eine Richtlinie für einen AWS KMS Schlüssel für Ihren S3-Bucket erstellen möchten, die es Ihnen ermöglicht, KMS-basierte Verschlüsselung für Objekte zu verwenden, die von AWS Config für die S3-Bucket-Zustellung bereitgestellt wurden.

Erforderliche Berechtigungen für den KMS-Schlüssel bei Verwendung von IAM-Rollen (S3-Bucket-Übermittlung)

Wenn Sie die Einrichtung AWS Config mithilfe einer IAM-Rolle einrichten, können Sie die folgende Berechtigungsrichtlinie an den KMS-Schlüssel anhängen:


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
Anmerkung

Wenn die IAM-Rolle, die Amazon S3 S3-Bucket-Richtlinie oder der AWS KMS Schlüssel keinen angemessenen Zugriff auf ermöglichen AWS Config, schlägt AWS Config der Versuch fehl, Konfigurationsinformationen an den Amazon S3 S3-Bucket zu senden. In diesem Fall AWS Config sendet er die Informationen erneut, diesmal als AWS Config Service Principal. In diesem Fall müssen Sie dem Schlüssel eine unten aufgeführte Berechtigungsrichtlinie beifügen, um AWS Config Zugriff auf die Verwendung des AWS KMS Schlüssels bei der Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.

Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery)

Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, auf den AWS KMS Schlüssel zuzugreifen. Wenn Sie also eine dienstbezogene AWS Config Rolle einrichten, AWS Config werden Informationen stattdessen als AWS Config Dienstprinzipal gesendet. Sie müssen dem Schlüssel eine unten aufgeführte Zugriffsrichtlinie beifügen, um Zugriff AWS Config auf die Verwendung des AWS KMS Schlüssels bei der AWS KMS Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.

AWS Config Zugriff auf den AWS KMS Schlüssel gewähren

Diese Richtlinie ermöglicht AWS Config die Verwendung eines AWS KMS Schlüssels bei der Übermittlung von Informationen an einen Amazon S3 S3-Bucket

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Ersetzen Sie die folgenden Werte in der Schlüsselrichtlinie:

  • myKMSKeyARN — Der ARN des AWS KMS Schlüssels, der zum Verschlüsseln von Daten im Amazon S3 S3-Bucket verwendet AWS Config wird, an den Konfigurationselemente geliefert werden.

  • sourceAccountID – Die ID des Kontos, für das AWS Config Konfigurationselemente übermittelt.

Sie können die AWS:SourceAccount Bedingung in der obigen AWS KMS Schlüsselrichtlinie verwenden, um den Config-Dienstprinzipal so zu beschränken, dass er nur mit dem AWS KMS Schlüssel interagiert, wenn er Operationen für bestimmte Konten ausführt.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, dass der Config-Serviceprinzipal nur dann mit dem Amazon S3 S3-Bucket interagiert, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als AWS:SourceArn Eigenschaft immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:* wo sich die Region des Lieferkanals sourceRegion befindet. Dabei sourceAccountID handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanälen finden Sie unter Verwaltung des Lieferkanals. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1 des Kontos 123456789012 mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.