Autorisations pour le rôle IAM attribué à AWS Config

Un rôle IAM vous permet de définir un ensemble d'autorisations. AWS Config assume le rôle que vous lui attribuez pour écrire dans votre compartiment S3, publier sur votre rubrique SNS et envoyer des demandes Describe d'ListAPI pour obtenir les détails de configuration de vos AWS ressources. Pour plus d’informations sur les rôles IAM, consultez Rôles IAM dans le Guide de l’utilisateur IAM.

Lorsque vous utilisez la AWS Config console pour créer ou mettre à jour un rôle IAM, les autorisations requises vous sont AWS Config automatiquement associées. Pour de plus amples informations, veuillez consulter Configuration à l' AWS Config aide de la console.

Politiques et résultats en matière de conformité

Les politiques IAM et les autres politiques gérées dans AWS Organizations peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.

Table des matières

• Création de politiques de rôle IAM

  • Ajout d'une politique d'approbation IAM à votre rôle

  • Politique de rôle IAM pour le compartiment S3

  • Politique de rôle IAM pour la clé KMS

  • Politique de rôle IAM pour la rubrique Amazon SNS

  • Politique de rôle IAM pour obtenir des détails de configuration

  • Gestion des autorisations pour l'enregistrement du compartiment S3

Création de politiques de rôle IAM

Lorsque vous utilisez la AWS Config console pour créer un rôle IAM, les autorisations requises sont AWS Config automatiquement associées au rôle pour vous.

Si vous utilisez le AWS CLI pour configurer AWS Config ou si vous mettez à jour un rôle IAM existant, vous devez mettre à jour manuellement la politique pour autoriser l'accès AWS Config à votre compartiment S3, publier sur votre rubrique SNS et obtenir les détails de configuration de vos ressources.

Ajout d'une politique d'approbation IAM à votre rôle

Vous pouvez créer une politique de confiance IAM qui permet d' AWS Config assumer un rôle et de l'utiliser pour suivre vos ressources. Pour plus d'informations sur les politiques d'approbation IAM, consultez Termes et concepts relatifs aux rôles dans le Guide de l'utilisateur IAM.

Voici un exemple de politique de confiance pour les AWS Config rôles :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Vous pouvez utiliser la condition AWS:SourceAccount de la relation d'approbation du rôle IAM susmentionnée pour limiter le principal du service Config, en lui permettant uniquement d'interagir avec le rôle AWS  IAM lorsqu'il effectue des opérations au nom de comptes spécifiques.

AWS Config prend également en charge la AWS:SourceArn condition qui empêche le principal du service Config d'assumer le rôle IAM uniquement lorsqu'il effectue des opérations pour le compte propriétaire. Lorsque vous utilisez le principal de AWS Config service, la AWS:SourceArn propriété sera toujours définie comme sourceRegion étant la région de l'enregistreur de configuration géré par le client et sourceAccountID l'ID du compte contenant l'enregistreur de configuration géré par le client. arn:aws:config:sourceRegion:sourceAccountID:*

Par exemple, ajoutez la condition suivante pour empêcher le principal du service Config d'assumer le rôle IAM uniquement pour le compte d'un enregistreur de configuration géré par le client dans la us-east-1 région du compte 123456789012 :"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Politique de rôle IAM pour le compartiment S3

L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre compartiment S3 :

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

Politique de rôle IAM pour la clé KMS

L'exemple de politique suivant AWS Config autorise l'utilisation du chiffrement basé sur KMS sur de nouveaux objets pour la livraison du compartiment S3 :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

Politique de rôle IAM pour la rubrique Amazon SNS

L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre rubrique SNS :

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Si votre rubrique SNS est chiffrée, consultez Configuration des autorisations AWS KMS dans le Guide du développeur Amazon Simple Notification Service pour obtenir des instructions de configuration supplémentaires.

Politique de rôle IAM pour obtenir des détails de configuration

Il est recommandé d'utiliser le rôle AWS Config lié au service :. AWSServiceRoleForConfig Les rôles liés à un service sont prédéfinis et incluent toutes les autorisations nécessaires pour appeler AWS Config d'autres personnes. Services AWS Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour AWS Config.

Si vous créez ou mettez à jour un rôle à l'aide de la console AWS Config , AWSServiceRoleForConfigattachez-le pour vous.

Si vous utilisez le AWS CLI, utilisez la attach-role-policy commande et spécifiez le nom de ressource Amazon (ARN) pour AWSServiceRoleForConfig:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig

Gestion des autorisations pour l'enregistrement du compartiment S3

AWS Config enregistre et envoie des notifications lorsqu'un compartiment S3 est créé, mis à jour ou supprimé.

Il est recommandé d'utiliser le rôle AWS Config lié au service :. AWSServiceRoleForConfig Les rôles liés à un service sont prédéfinis et incluent toutes les autorisations nécessaires pour appeler AWS Config d'autres personnes. Services AWS Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour AWS Config.