Descripción del rol de IAM del perfil de configuración

Puede crear el rol de IAM que proporciona acceso a los datos de configuración mediante AWS AppConfig. O puede crear el rol de IAM usted mismo. Si crea el rol utilizando AWS AppConfig, el sistema lo crea y especifica una de las siguientes políticas de permisos, según el tipo de fuente de configuración que elija.

El origen de configuración es un secreto en Secrets Manager

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
             ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret_name-a1b2c3"
            ]
        }
    ]
}

El origen de configuración es un parámetro en Parameter Store

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/parameter_name"
            ]
        }
    ]
    }

El origen de configuración es un documento de SSM

JSON

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/document_name"
            ]
        }
    ]
}

Si crea el rol mediante AWS AppConfig, el sistema también crea la siguiente relación de confianza para el rol.

JSON

{

  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}