Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations pour le rôle IAM attribué à AWS Config
Un rôle IAM vous permet de définir un ensemble d'autorisations. AWS Config assume le rôle que vous lui attribuez pour écrire dans votre compartiment S3, publier sur votre rubrique SNS et envoyer des demandes Describe d'ListAPI pour obtenir les détails de configuration de vos AWS ressources. Pour plus d’informations sur les rôles IAM, consultez Rôles IAM dans le Guide de l’utilisateur IAM.
Lorsque vous utilisez la AWS Config console pour créer ou mettre à jour un rôle IAM, les autorisations requises vous sont AWS Config automatiquement associées. Pour plus d’informations, consultez Configuration à l' AWS Config aide de la console.
Table des matières
Création de politiques de rôle IAM
Lorsque vous utilisez la AWS Config console pour créer un rôle IAM, les autorisations requises sont AWS Config automatiquement associées au rôle pour vous.
Si vous utilisez le AWS CLI pour configurer AWS Config ou si vous mettez à jour un rôle IAM existant, vous devez mettre à jour manuellement la politique pour autoriser l'accès AWS Config à votre compartiment S3, publier sur votre rubrique SNS et obtenir les détails de configuration de vos ressources.
Ajout d'une politique d'approbation IAM à votre rôle
Vous pouvez créer une politique de confiance IAM qui permet d' AWS Config assumer un rôle et de l'utiliser pour suivre vos ressources. Pour plus d'informations sur les politiques d'approbation IAM, consultez Termes et concepts relatifs aux rôles dans le Guide de l'utilisateur IAM.
Voici un exemple de politique de confiance pour les AWS Config rôles :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Vous pouvez utiliser la condition AWS:SourceAccount de la relation d'approbation du rôle IAM susmentionnée pour limiter le principal du service Config, en lui permettant uniquement d'interagir avec le rôle AWS
IAM lorsqu'il effectue des opérations au nom de comptes spécifiques.
AWS Config prend également en charge la AWS:SourceArn condition qui empêche le principal du service Config d'assumer le rôle IAM uniquement lorsqu'il effectue des opérations pour le compte propriétaire. Lorsque vous utilisez le principal de AWS Config service, la AWS:SourceArn propriété sera toujours définie sur la région de l'enregistreur de configuration et sourceAccountID sur l'ID du compte contenant l'enregistreur de configuration. arn:aws:config:sourceRegion:sourceAccountID:* sourceRegion Pour plus d'informations sur l'enregistreur AWS Config de configuration, voir Gestion de l'enregistreur de configuration. Ajoutez par exemple la condition suivante pour restreindre le principal du service Config afin qu'il assume le rôle IAM uniquement pour le compte d'un enregistreur de configuration de la région us-east-1 dans le compte 123456789012 :"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
Politique de rôle IAM pour le compartiment S3
L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre compartiment S3 :
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }
Politique de rôle IAM pour la clé KMS
L'exemple de politique suivant AWS Config autorise l'utilisation du chiffrement basé sur KMS sur de nouveaux objets pour la livraison du compartiment S3 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
Politique de rôle IAM pour la rubrique Amazon SNS
L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre rubrique SNS :
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
Si votre rubrique SNS est chiffrée, consultez Configuration des autorisations AWS KMS dans le Guide du développeur Amazon Simple Notification Service pour obtenir des instructions de configuration supplémentaires.
Politique de rôle IAM pour obtenir des détails de configuration
Pour enregistrer vos configurations de AWS ressources, vous AWS Config devez disposer des autorisations IAM pour obtenir les détails de configuration de vos ressources.
Utilisez la politique AWS gérée AWS_ ConfigRole et attachez-la au rôle IAM que vous attribuez. AWS Config AWS met à jour cette politique chaque fois qu'elle AWS Config ajoute la prise en charge d'un type de AWS ressource, ce qui signifie que nous AWS Config continuerons à disposer des autorisations requises pour obtenir les détails de configuration tant que cette politique gérée est attachée au rôle.
Si vous créez ou mettez à jour un rôle avec la console, associez AWS Config l'AWS_ ConfigRole pour vous.
Si vous utilisez le AWS CLI, utilisez la attach-role-policy commande et spécifiez le nom de ressource Amazon (ARN) pour AWS_ ConfigRole :
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Gestion des autorisations pour l'enregistrement du compartiment S3
AWS Config enregistre et envoie des notifications lorsqu'un compartiment S3 est créé, mis à jour ou supprimé.
Il est recommandé d'utiliser AWSServiceRoleForConfig (voir Utilisation des rôles liés à un service pour AWS Config) ou un rôle IAM personnalisé utilisant la politique AWS_ConfigRole gérée. Pour plus d'informations sur les bonnes pratiques en matière d'enregistrement de configuration, consultez Bonnes pratiques AWS Config
Si vous devez gérer les autorisations au niveau de l'objet pour l'enregistrement de votre compartiment, assurez-vous, dans la politique du compartiment S3, de fournir config.amazonaws.com (le nom principal du AWS Config service) un accès à toutes les autorisations associées à S3 issues de la politique AWS_ConfigRole gérée. Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.
