Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para el rol de IAM asignado a AWS Config
Un rol de IAM le permite definir un conjunto de permisos. AWS Config asume la función que se le asigna para escribir en su bucket de S3, publicar en su tema de SNS y realizar solicitudes Describe o solicitudes a la List API para obtener detalles de configuración de sus AWS recursos. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en la guía del usuario de IAM.
Cuando utilizas la AWS Config consola para crear o actualizar un rol de IAM, te asigna AWS Config automáticamente los permisos necesarios. Para obtener más información, consulte Configuración AWS Config con la consola.
Contenido
Creación de políticas de roles de IAM
Cuando utiliza la AWS Config consola para crear un rol de IAM, le asigna AWS Config automáticamente los permisos necesarios al rol.
Si lo utiliza AWS CLI para configurar AWS Config o actualizar un rol de IAM existente, debe actualizar manualmente la política para poder acceder AWS Config a su bucket de S3, publicar en su tema de SNS y obtener los detalles de configuración de sus recursos.
Adición de una política de confianza de IAM a su rol
Puede crear una política de confianza de IAM que le permita asumir una función y utilizarla AWS Config para realizar un seguimiento de sus recursos. Para obtener más información sobre las políticas de confianza, consulte Términos y conceptos de roles en la Guía del usuario de IAM.
El siguiente es un ejemplo de política de confianza para los AWS Config roles:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Puede utilizar la condición AWS:SourceAccount de la relación de confianza del rol de IAM anterior para restringir que la entidad principal del servicio de Config solo interactúe con el rol de AWS
IAM cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la AWS:SourceArn condición que restringe al director del servicio Config a asumir únicamente la función de IAM cuando realiza operaciones en nombre de la cuenta propietaria. Cuando se utiliza el AWS Config servidor principal, la AWS:SourceArn propiedad siempre se establece arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del grabador de configuración y sourceAccountID en el identificador de la cuenta que contiene el grabador de configuración. Para obtener más información sobre el grabador AWS Config de configuración, consulte Administración del grabador de configuración. Por ejemplo, agregue la siguiente condición para hacer que la entidad principal del servicio Config solo asuma el rol de IAM en nombre de un registrador de configuración en la región us-east-1 de la cuenta 123456789012: "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
Política de roles de IAM para el bucket de S3
El siguiente ejemplo de política otorga AWS Config permiso para acceder a su bucket de S3:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }
Política de roles de IAM para la clave de KMS
El siguiente ejemplo de política otorga AWS Config permiso para usar el cifrado basado en KMS en nuevos objetos para la entrega de cubos en S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
Política de roles de IAM para temas de Amazon SNS
El siguiente ejemplo de política otorga AWS Config permiso para acceder a tu tema de SNS:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
Si el tema de SNS se cifra para instrucciones adicionales sobre la configuración, consulte Configuración de los permisos de AWS KMS en la Guía para desarrolladores de Amazon Simple Notification Service.
Política de roles de IAM para obtener datos de configuración
Para registrar las configuraciones AWS de sus recursos, AWS Config necesita permisos de IAM para obtener los detalles de configuración de sus recursos.
Utilice la política AWS gestionada AWS_ ConfigRole y adjúntela a la función de IAM que le asigne. AWS Config AWS actualiza esta política cada vez que AWS Config añade compatibilidad con un tipo de AWS recurso, lo que significa que AWS Config seguirá teniendo los permisos necesarios para obtener los detalles de configuración mientras el rol tenga asociada esta política administrada.
Si crea o actualiza un rol con la consola, AWS Config adjunta el AWS_ automáticamente ConfigRole.
Si utiliza el AWS CLI, utilice el attach-role-policy comando y especifique el nombre de recurso de Amazon (ARN) para AWS_: ConfigRole
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Administración de permisos para el registro de buckets de S3
AWS Config registra y envía notificaciones cuando se crea, actualiza o elimina un bucket de S3.
Se recomienda utilizar el AWSServiceRoleForConfig (consulte Uso de roles vinculados a servicios para AWS Config) o un rol de IAM personalizado que utilice la política administrada AWS_ConfigRole. Para obtener más información sobre las prácticas recomendadas de registro de la configuración, consulte Prácticas recomendadas de AWS Config
Si necesitas gestionar los permisos a nivel de objeto para el registro de tu bucket, asegúrate de que la política de bucket de S3 proporcione config.amazonaws.com (el nombre principal del AWS Config servicio) acceso a todos los permisos relacionados con S3 desde la política AWS_ConfigRole gestionada. Para obtener más información, consulte Permisos para el bucket de Amazon S3.
