Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para la KMS clave del canal AWS Config de entrega
Utilice la información de este tema si desea crear una política para una AWS KMS clave para su bucket de S3 que le permita utilizar el cifrado KMS basado en los objetos entregados AWS Config para la entrega de un bucket de S3.
Contenido
Permisos necesarios para la KMS clave cuando se utilizan IAM roles (S3 Bucket Delivery)
Si lo configuras AWS Config con un IAM rol, puedes adjuntar la siguiente política de permisos a la KMS clave:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
nota
Si el IAM rol, la política del bucket de Amazon S3 o la AWS KMS clave no proporcionan el acceso adecuado AWS Config, se AWS Config producirá un error al intentar enviar la información de configuración al bucket de Amazon S3. En este caso, AWS Config vuelve a enviar la información, esta vez como principal del AWS Config servicio. En este caso, debe adjuntar una política de permisos, que se menciona a continuación, a la AWS KMS clave para permitir el AWS Config acceso y usarla cuando entregue información al bucket de Amazon S3.
Permisos necesarios para la AWS KMS clave cuando se utilizan funciones vinculadas al servicio (S3 Bucket Delivery)
El rol AWS Config vinculado al servicio no tiene permiso para acceder a la clave. AWS KMS Por lo tanto, si lo configuras AWS Config con un rol vinculado a un servicio, en su lugar AWS Config enviará la información como responsable del AWS Config servicio. Deberá adjuntar una política de acceso, que se menciona a continuación, a la AWS KMS clave para conceder el AWS Config acceso y poder AWS KMS utilizarla cuando entregue información al bucket de Amazon S3.
Otorgar AWS Config acceso a la AWS KMS clave
Esta política permite AWS Config utilizar una AWS KMS clave al entregar información a un bucket de Amazon S3.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Cambie los siguientes valores de la política de claves:
-
myKMSKeyARN— La AWS KMS clave utilizada para cifrar los datos ARN del bucket de Amazon S3 al que AWS Config se entregarán los elementos de configuración. -
sourceAccountID— El ID de la cuenta a la que se AWS Config entregarán los elementos de configuración.
Puedes usar la AWS:SourceAccount condición de la política AWS KMS clave anterior para restringir que el director del servicio Config solo interactúe con la AWS KMS clave cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la AWS:SourceArn condición que restringe al director del servicio Config a interactuar únicamente con el bucket de Amazon S3 cuando realiza operaciones en nombre de canales de AWS Config entrega específicos. Al usar el AWS Config servicio principal, la AWS:SourceArn propiedad siempre estará configurada arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del canal de entrega y sourceAccountID en el ID de la cuenta que contiene el canal de entrega. Para obtener más información sobre los canales de AWS Config entrega, consulte Administración del canal de entrega. Por ejemplo, añada la siguiente condición para restringir que la entidad principal del servicio de Config interactúe con su bucket de Amazon S3 únicamente en nombre de un canal de entrega de la región us-east-1 de la cuenta 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
