Autorizzazioni per il ruolo IAM assegnato aAWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per il ruolo IAM assegnato aAWS Config

Un recordAWS Identity and Access Management(IAM) consente di definire un set di autorizzazioni.AWS Configassume il ruolo che assegni a esso per la scrittura sul bucket S3, la pubblicazione sull'argomento SNS e per lo svolgimento diDescribeoListRichieste API per ottenere i dettagli di configurazione per il tuoAWSrisorse AWS. Per ulteriori informazioni sui ruoli IAM, consultaRuoli IAMnellaIAM User Guide.

Quando utilizziAWS Configconsole per creare o aggiornare un ruolo IAM,AWS Configcollega automaticamente le autorizzazioni richieste per te. Per ulteriori informazioni, consulta la pagina Configurazione di AWS Config con la console .

Creazione di criteri di ruolo IAM

Quando utilizziAWS Configconsole per creare un ruolo IAM,AWS Configcollega automaticamente le autorizzazioni necessarie al ruolo per te.

Se stai usando l'AWS CLIper configurareAWS Configo stai aggiornando un ruolo IAM esistente, devi aggiornare manualmente la policy per consentireAWS Configper accedere al bucket S3, pubblicare sull'argomento SNS e ottenere i dettagli di configurazione delle risorse.

Aggiunta di una policy di IAM Trust Policy al ruolo

È possibile creare un criterio di attendibilità IAM che abilitiAWS Configassumere un ruolo e utilizzarlo per monitorare le risorse. Per ulteriori informazioni sulle policy di attendibilità, consultaAssunzione di un ruolonellaIAM User Guide.

Di seguito viene riportato un esempio di trust policy per i ruoli di AWS Config:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

Puoi utilizzare il pluginAWS:SourceAccountcondizione nella relazione IAM Role Trust sopra per limitare l'entità del servizio Config a interagire solo con ilAWSRuolo IAM quando esegui operazioni per conto di account specifici.

AWS Configsupporta anche l'AWS:SourceArncondizione che limita l'entità del servizio Config ad assumere il ruolo IAM solo quando si eseguono operazioni per conto dell'account proprietario. Quando utilizziAWS ConfigPrincipale del servizioAWS:SourceArnla proprietà sarà sempre impostata suarn:aws:config:sourceRegion:sourceAccountID:*dovesourceRegionè la regione del registratore di configurazione esourceAccountIDè l'ID dell'account contenente il registratore di configurazione. Per ulteriori informazioni sulAWS ConfigConsultare il registratore della configurazioneGestione del registratore della configurazione. Ad esempio, aggiungere la seguente condizione, limitare l'entità del servizio Config ad assumere il ruolo IAM solo per conto di un registratore di configurazione nelus-east-1regione nel conto123456789012:"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Politica sui ruoli IAM per il bucket Amazon S3

Il seguente esempio di concessione di policyAWS Configautorizzazioni per accedere al bucket Amazon S3:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }

Politica sui ruoli IAM per KMS Key

Il seguente esempio di concessione di policyAWS Configautorizzazioni per utilizzare la crittografia basata su KMS su nuovi oggetti per la distribuzione del bucket S3:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }

Argomento sulla politica sui ruoli IAM per Amazon SNS

La seguente policy di esempio concede a AWS Config le autorizzazioni di accesso all'argomento SNS:

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

Se l'argomento SNS è crittografato per istruzioni di configurazione aggiuntive, consultaConfigurazione diAWS KMSAutorizzazioninellaAmazon Simple Notification Service.

Policy del ruolo IAM per l'acquisizione dei dettagli di configurazione

Per registrare il tuoAWSconfigurazioni delle risorse,AWS Configrichiede le autorizzazioni IAM per ottenere i dettagli di configurazione sulle risorse.

Utilizzo dell'AWSpolicy gestitaAWS_ConfigRolee collegarlo al ruolo IAM assegnato aAWS Config.AWSaggiorna questa politica ogni voltaAWS Configaggiunge supporto per unAWStipo di risorsa, che significaAWS Configcontinuerà a disporre delle autorizzazioni necessarie per ottenere i dettagli di configurazione finché il ruolo è associato a tale policy gestita.

Se crei o aggiorni un ruolo con la console,AWS Configcollega ilAWS_ConfigRoleper te.

Se utilizzi il pluginAWS CLI, usa ilattach-role-policycomando e specifica l'Amazon Resource Name (ARN) perAWS_ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Gestione delle autorizzazioni per la registrazione dei bucket S3

AWS Configregistra e invia notifiche quando un bucket S3 viene creato, aggiornato o eliminato.

Si consiglia di utilizzare o ilAWSServiceRoleForConfig(consultaUtilizzo di ruoli collegati ai servizi perAWS Config) o un ruolo IAM personalizzato che utilizzaAWS_ConfigRolepolicy gestita. Per ulteriori informazioni sulle best practice per la registrazione della configurazione, vedereAWS ConfigBest practice.

Se hai bisogno di gestire le autorizzazioni a livello di oggetto per la registrazione del bucket, assicurati che nel criterio del bucket S3 forniscaconfig.amazonaws.com(ilAWS Configservice principal name) accesso a tutte le autorizzazioni correlate a S3 dalAWS_ConfigRolepolicy gestita. Per ulteriori informazioni, consultaAutorizzazioni per il bucket Amazon S3.