Lors de l'utilisation de rôles IAM Lors de l'utilisation de rôles liés à un service Octroi AWS Config d'accès

Autorisations relatives à la clé KMS pour le canal AWS Config de distribution

Utilisez les informations de cette rubrique si vous souhaitez créer une politique pour une AWS KMS clé pour votre compartiment S3 qui vous permette d'utiliser le chiffrement basé sur le KMS sur les objets fournis par AWS Config pour la livraison du compartiment S3.

Table des matières

Autorisations requises pour la clé KMS lors de l'utilisation de rôles IAM (diffusion de compartiment S3)
Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3)
Octroi de l' AWS Config accès à la AWS KMS clé

Autorisations requises pour la clé KMS lors de l'utilisation de rôles IAM (diffusion de compartiment S3)

Si vous configurez à AWS Config l'aide d'un rôle IAM, vous pouvez associer la politique d'autorisation suivante à la clé KMS :



{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}

Note

Si le rôle IAM, la politique du compartiment Amazon S3 ou la AWS KMS clé ne fournissent pas un accès approprié AWS Config, AWS Config la tentative d'envoi des informations de configuration au compartiment Amazon S3 échouera. Dans ce cas, AWS Config envoie à nouveau les informations, cette fois en tant que principal du AWS Config service. Dans ce cas, vous devez joindre une politique d'autorisation, mentionnée ci-dessous, à la AWS KMS clé pour AWS Config autoriser l'utilisation de la clé lors de la transmission d'informations au compartiment Amazon S3.

Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3)

Le rôle AWS Config lié au service n'est pas autorisé à accéder à la AWS KMS clé. Ainsi, si vous configurez AWS Config en utilisant un rôle lié à un service, il AWS Config enverra des informations en tant que principal de AWS Config service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la AWS KMS clé pour autoriser AWS Config l'utilisation de la AWS KMS clé lors de la transmission d'informations au compartiment Amazon S3.

Octroi de l' AWS Config accès à la AWS KMS clé

Cette politique permet d' AWS Config utiliser une AWS KMS clé lors de la transmission d'informations à un compartiment Amazon S3


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Remplacez les valeurs suivantes dans la stratégie de clé :

MyKMSKeyarn — L'ARN de la AWS KMS clé utilisée pour chiffrer les données dans le compartiment Amazon S3 auquel les éléments de configuration AWS Config seront envoyés.
sourceAccountID : l'ID du compte pour lequel AWS Config fournira les éléments de configuration.

Vous pouvez utiliser la AWS:SourceAccount condition de la politique de AWS KMS clé ci-dessus pour empêcher le principal du service Config d'interagir uniquement avec la AWS KMS clé lorsqu'il effectue des opérations pour le compte de comptes spécifiques.

AWS Config prend également en charge la AWS:SourceArn condition qui interdit au principal du service Config d'interagir uniquement avec le compartiment Amazon S3 lorsqu'il effectue des opérations pour le compte de canaux de AWS Config distribution spécifiques. Lorsque vous utilisez le principal de AWS Config service, la AWS:SourceArn propriété sera toujours définie comme sourceRegion étant la région du canal de livraison et sourceAccountID l'identifiant du compte contenant le canal de livraison. arn:aws:config:sourceRegion:sourceAccountID:* Pour plus d'informations sur les canaux AWS Config de diffusion, consultez la section Gestion du canal de diffusion. Ajoutez par exemple la condition suivante pour limiter le principal du service Config en lui permettant d'interagir avec votre compartiment Amazon S3 uniquement pour le compte d'un canal de livraison dans la région us-east-1 du compte 123456789012 :"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations pour le compartiment Amazon S3

Autorisations relatives à la rubrique Amazon SNS