Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per il ruolo IAM assegnato a AWS Config
Un ruolo IAM ti consente di definire un set di autorizzazioni. AWS Config assume il ruolo che gli assegni per scrivere nel tuo bucket S3, pubblicare sul tuo argomento SNS ed effettuare richieste List
API per ottenere i dettagli di Describe
configurazione delle tue risorse. AWS Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.
Quando utilizzi la AWS Config console per creare o aggiornare un ruolo IAM, ti assegna AWS Config automaticamente le autorizzazioni necessarie. Per ulteriori informazioni, consulta Configurazione AWS Config con la console.
Indice
Creazione di policy del ruolo IAM
Quando utilizzi la AWS Config console per creare un ruolo IAM, assegna AWS Config automaticamente le autorizzazioni necessarie al ruolo.
Se utilizzi il AWS CLI per configurare AWS Config o stai aggiornando un ruolo IAM esistente, devi aggiornare manualmente la policy per consentire l'accesso AWS Config al tuo bucket S3, la pubblicazione sul tuo argomento SNS e ottenere dettagli di configurazione sulle tue risorse.
Aggiunta di una policy di attendibilità IAM al ruolo
Puoi creare una policy di fiducia IAM che AWS Config consenta di assumere un ruolo e utilizzarlo per tenere traccia delle tue risorse. Per ulteriori informazioni sulle policy di attendibilità, consulta Termini e concetti dei ruoli nella Guida per l'utente di IAM.
Di seguito è riportato un esempio di policy di fiducia per AWS Config i ruoli:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
Puoi utilizzare la condizione AWS:SourceAccount
nella relazione di trust del ruolo IAM riportata sopra per fare in modo che il principale del servizio Config interagisca con il ruolo AWS
IAM solo quando esegue operazioni per conto di account specifici.
AWS Config supporta anche la AWS:SourceArn
condizione che limita il principale del servizio Config ad assumere il ruolo IAM solo quando esegue operazioni per conto dell'account proprietario. Quando si utilizza il AWS Config service principal, la AWS:SourceArn
proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:*
dove si sourceRegion
trova la regione del registratore di configurazione e sourceAccountID
sull'ID dell'account contenente il registratore di configurazione. Per ulteriori informazioni sul Registratore di AWS Config configurazione, vedere Gestione del registratore di configurazione. Ad esempio, aggiungi la seguente condizione che limita il principale del servizio Config in modo che assuma il ruolo IAM solo per conto di un registratore di configurazione nella regione us-east-1
dell'account 123456789012
: "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
.
Policy del ruolo IAM per il bucket S3
La seguente politica di esempio concede l' AWS Config autorizzazione ad accedere al bucket S3:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
myBucketName
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName
" } ] }
Policy del ruolo IAM per la chiave KMS
La seguente policy di esempio concede l' AWS Config autorizzazione a utilizzare la crittografia basata su KMS su nuovi oggetti per la distribuzione di bucket S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
Policy del ruolo IAM per un argomento Amazon SNS
La seguente politica di esempio concede l' AWS Config autorizzazione ad accedere all'argomento SNS:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
Se l'argomento SNS è crittografato per istruzioni di configurazione aggiuntive, consulta Configurazione delle autorizzazioni per AWS KMS nella Guida per gli sviluppatori di Amazon Simple Notification Service.
Policy del ruolo IAM per il recupero dei dettagli di configurazione
Per registrare le configurazioni AWS delle risorse, sono AWS Config necessarie le autorizzazioni IAM per ottenere i dettagli di configurazione delle risorse.
Utilizza la policy AWS gestita AWS_ ConfigRole e collegala al ruolo IAM a cui assegni. AWS Config AWS aggiorna questa politica ogni volta che AWS Config aggiunge il supporto per un tipo di AWS risorsa, il che significa che AWS Config continuerà ad avere le autorizzazioni necessarie per ottenere i dettagli di configurazione purché al ruolo sia associata questa politica gestita.
Se crei o aggiorni un ruolo con la console, AWS Config collega ConfigRoleAWS_ al posto tuo.
Se usi il AWS CLI, usa il attach-role-policy
comando e specifica l'Amazon Resource Name (ARN) per AWS_: ConfigRole
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Gestione delle autorizzazioni per la registrazione dei bucket S3
AWS Config registra e invia notifiche quando un bucket S3 viene creato, aggiornato o eliminato.
Si consiglia di utilizzare il ruolo AWSServiceRoleForConfig
(consulta Utilizzo di ruoli collegati ai servizi per AWS Config) o un ruolo IAM personalizzato tramite la policy gestita AWS_ConfigRole
. Per ulteriori informazioni sulle best practice per la registrazione della configurazione, consulta Best practice di AWS Config
Se devi gestire le autorizzazioni a livello di oggetto per la registrazione del bucket, assicurati che nella policy del bucket S3 sia possibile fornire config.amazonaws.com
(il nome principale del AWS Config servizio) l'accesso a tutte le autorizzazioni relative a S3 previste dalla policy gestita. AWS_ConfigRole
Per ulteriori informazioni, consulta Autorizzazioni per il bucket Amazon S3.