Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations pour le compartiment Amazon S3 pour le canal AWS Config de diffusion
Important
Cette page explique comment configurer le compartiment Amazon S3 pour le canal AWS Config de diffusion. Cette page ne traite pas du type de AWS::S3::Bucket
ressource que l'enregistreur AWS Config de configuration peut enregistrer. Pour plus d'informations sur le canal AWS Config de diffusion, consultez la section Gestion du canal de diffusion.
Par défaut, tous les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource Compte AWS qui a créé le compartiment peut accéder à ce compartiment. Le propriétaire de la ressource peut toutefois accorder des autorisations d'accès à d'autres ressources et à d'autres utilisateurs. Une solution consiste à écrire une stratégie d'accès.
Si un compartiment Amazon S3 est AWS Config créé automatiquement pour vous (par exemple, si vous utilisez AWS Config la console pour configurer votre canal de diffusion), ces autorisations sont automatiquement ajoutées au compartiment Amazon S3. Toutefois, si vous spécifiez un compartiment Amazon S3 existant, vous devez vous assurer que le compartiment S3 dispose des autorisations appropriées.
Note
un objet n'hérite pas des autorisations de son compartiment. Par exemple, si vous créez un compartiment et accordez un accès en écriture à un utilisateur, vous ne pouvez pas accéder à ses objets sauf s'il vous accorde explicitement l'accès.
Table des matières
Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de IAM rôles
Lorsque AWS Config vous envoyez des informations de configuration (fichiers d'historique et instantanés) au compartiment Amazon S3 de votre compte, il assume le IAM rôle que vous lui avez attribué lors de la configuration AWS Config. Lorsque AWS Config
vous envoyez des informations de configuration à un compartiment Amazon S3 d'un autre compte, il tente d'abord d'utiliser le IAM rôle, mais cette tentative échoue si la politique d'accès du compartiment n'accorde pas l'WRITE
accès au IAM rôle. Dans ce cas, AWS Config envoie à nouveau les informations, cette fois en tant que principal du AWS Config service. Pour que la livraison puisse réussir, la politique d'accès doit autoriser l'WRITE
accès au nom config.amazonaws.com
principal. AWS Config est alors le propriétaire des objets qu'il livre au compartiment S3. Vous devez attacher une stratégie d'accès (mentionnée à l'étape 6 ci-dessous) au compartiment Amazon S3 d'un autre compte pour accorder à AWS Config
un accès à ce compartiment Amazon S3.
Avant de AWS Config pouvoir envoyer des journaux à votre compartiment Amazon S3, AWS Config vérifie si le compartiment existe et dans quelle AWS région il se trouve. AWS Config tente d'appeler Amazon S3 HeadBucketAPIpour vérifier si le compartiment existe et pour obtenir la région du compartiment. Si aucune autorisation n'est fournie pour localiser le compartiment lors de la vérification de l'emplacement, une AccessDenied
erreur s'affiche dans AWS CloudTrail les journaux. Toutefois, la diffusion des journaux est effectuée dans votre compartiment Amazon S3 si vous ne fournissez pas d'autorisations sur l'emplacement de ce dernier.
Note
Pour autoriser l'Amazon S3 HeadBucket
API, autorisez l'exécution de l's3:ListBucket
action en tant que SidAWSConfigBucketExistenceCheck
, comme indiqué à l'étape 6 ci-dessous.
Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de rôles liés à un service
Le rôle AWS Config lié à un service n'est pas autorisé à placer des objets dans des compartiments Amazon S3. Ainsi, si vous configurez AWS Config en utilisant un rôle lié à un service, il AWS Config enverra plutôt les éléments de configuration en tant que principal du AWS Config service. Vous devrez joindre une politique d'accès, mentionnée à l'étape 6 ci-dessous, au compartiment Amazon S3 dans votre propre compte ou sur un autre compte pour autoriser l' AWS Config accès au compartiment Amazon S3.
Octroi de l' AWS Config accès au compartiment Amazon S3
Suivez les étapes ci-dessous pour ajouter une stratégie d'accès au compartiment Amazon S3 dans votre propre compte ou dans un autre compte. La politique d'accès permet AWS Config d'envoyer des informations de configuration à un compartiment Amazon S3.
-
Connectez-vous à l' AWS Management Console aide du compte qui possède le compartiment S3.
Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/
. -
Sélectionnez le compartiment que vous souhaitez utiliser AWS Config pour fournir les éléments de configuration, puis choisissez Propriétés.
-
Choisissez Autorisations.
-
Choisissez Modifier la stratégie de compartiment.
-
Copiez la stratégie suivante dans la fenêtre Éditeur de stratégie de compartiment :
Important
Pour des raisons de sécurité, lorsque vous autorisez AWS Config l'accès à un compartiment Amazon S3, nous vous recommandons vivement de restreindre l'accès dans le cadre de la politique de compartiment à
AWS:SourceAccount
cette condition. Si votre politique de compartiment existante ne suit pas cette bonne pratique de sécurité, nous vous recommandons vivement de la modifier pour inclure cette protection. Cela garantit que l'accès AWS Config est accordé au nom des utilisateurs attendus uniquement.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
targetBucketName
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::targetBucketName
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::targetBucketName
/[optional] prefix
/AWSLogs/sourceAccountID
/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "AWS:SourceAccount": "sourceAccountID
" } } } ] }Note
Lorsque vous accordez des autorisations à votre IAM rôle au lieu du nom principal du AWS Config service (SPN), assurez-vous que votre IAM rôle dispose d'une
PutObjectACL
autorisation sur le bucket multi-comptes afin d'éviter toute erreur d'autorisation insuffisante. Consultez un exemple de politique de IAM rôle à l'adresse IAMPolitique de rôle pour votre compartiment S3. -
Remplacez les valeurs suivantes dans la stratégie de compartiment :
-
targetBucketName
— Le nom du compartiment Amazon S3 auquel les éléments de configuration AWS Config seront envoyés. -
[optional] prefix
— Un ajout facultatif à la clé d'objet Amazon S3 qui permet de créer une organisation semblable à un dossier dans le compartiment. -
sourceAccountID
— L'ID du compte pour lequel les éléments de configuration AWS Config seront envoyés au compartiment cible.
-
-
Choisissez Enregistrer, puis Fermer.
Vous pouvez utiliser la condition AWS:SourceAccount
de la politique de compartiment Amazon S3 susmentionnée pour limiter le principal du service Config, en lui permettant uniquement d'interagir avec le compartiment Amazon S3 lorsqu'il effectue des opérations au nom de comptes spécifiques. Si vous envisagez de configurer AWS Config plusieurs comptes de la même organisation pour fournir des éléments de configuration à un seul compartiment Amazon S3, nous vous recommandons d'utiliser des IAM rôles plutôt que des rôles liés à un service afin de pouvoir utiliser des clés de AWS Organizations conditions telles que. AWS:PrincipalOrgID
Pour plus d'informations sur la gestion des autorisations d'accès pour un IAM rôle à utiliser AWS Config, consultez la section Autorisations pour le IAM rôle attribué à AWS Config. Pour plus d'informations sur la gestion des autorisations d'accès pour AWS Organizations, consultez la section Gestion des autorisations d'accès pour votre AWS organisation.
AWS Config prend également en charge la AWS:SourceArn
condition qui interdit au principal du service Config d'interagir uniquement avec le compartiment Amazon S3 lorsqu'il effectue des opérations pour le compte de canaux de AWS Config distribution spécifiques. Lorsque vous utilisez le principal de AWS Config service, la AWS:SourceArn
propriété sera toujours définie comme sourceRegion
étant la région du canal de livraison et sourceAccountID
l'identifiant du compte contenant le canal de livraison. arn:aws:config:sourceRegion:sourceAccountID:*
Pour plus d'informations sur les canaux AWS Config de diffusion, consultez la section Gestion du canal de diffusion. Ajoutez par exemple la condition suivante pour limiter le principal du service Config en lui permettant d'interagir avec votre compartiment Amazon S3 uniquement pour le compte d'un canal de livraison dans la région us-east-1
du compte 123456789012
:"ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}
.