Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config - AWS Config
Quando si utilizzano i ruoli IAMQuando si utilizzano i ruoli collegati ai serviziConcessione dell' AWS Config accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config

Importante

Questa pagina riguarda la configurazione di Amazon S3 Bucket per il AWS Config canale di distribuzione. Questa pagina non riguarda il tipo di AWS::S3::Bucket risorsa che il registratore di AWS Config configurazione può registrare. Per ulteriori informazioni sul canale di AWS Config consegna, consulta Gestione del canale di consegna.

Per impostazione predefinita, tutti gli oggetti e i bucket Amazon S3 sono privati. Solo il proprietario della risorsa Account AWS che ha creato il bucket può accedervi. Tuttavia, il proprietario della risorsa può concedere ad altre risorse e utenti le autorizzazioni di accesso. Un modo per farlo è scrivere una policy d'accesso.

Se AWS Config crea automaticamente un bucket Amazon S3 per te (ad esempio, se utilizzi la AWS Config console per configurare il canale di distribuzione), queste autorizzazioni vengono aggiunte automaticamente al bucket Amazon S3. Tuttavia, se specifichi un bucket Amazon S3 esistente, devi accertarti che il bucket S3 disponga delle autorizzazioni corrette.

Nota

Un oggetto non eredita le autorizzazioni dal bucket a cui appartiene. Se ad esempio si crea un bucket e si concede l'accesso in scrittura a un utente, non sarà possibile accedere agli oggetti di tale utente a meno che questi non conceda esplicitamente l'accesso.

Autorizzazioni richieste per il bucket Amazon S3 quando si utilizzano i ruoli IAM

Quando AWS Config invia informazioni di configurazione (file di cronologia e istantanee) al bucket Amazon S3 del tuo account, assume il ruolo che hai assegnato IAM al momento della configurazione. AWS Config Quando AWS Config invia informazioni di configurazione a un bucket Amazon S3 in un altro account, tenta innanzitutto di utilizzare il IAM ruolo, ma questo tentativo fallisce se la politica di accesso per il bucket non concede l'WRITEaccesso al ruolo. IAM In questo caso, AWS Config invia nuovamente le informazioni, questa volta come principale del AWS Config servizio. Prima che la consegna possa avere successo, la politica di accesso deve concedere l'WRITEaccesso al nome config.amazonaws.com principale. AWS Config è quindi il proprietario degli oggetti che consegna al bucket S3. Per concedere ad AWS Config l'accesso al bucket Amazon S3, devi collegare al bucket Amazon S3 di un altro account una policy di accesso, come indicato al passaggio 6 qui di seguito.

Before AWS Config can delivery dei log al tuo AWS Config bucket Amazon S3 verifica se il bucket esiste e in AWS quale regione si trova. AWS Config tenta di chiamare Amazon S3 HeadBucketAPIper verificare se il bucket esiste e per ottenere la regione del bucket. Se non vengono fornite le autorizzazioni per localizzare il bucket quando viene eseguito il controllo della posizione, viene visualizzato un errore nei log. AccessDenied AWS CloudTrail Tuttavia, la distribuzione del log al bucket Amazon S3 va a buon fine se non fornisci le autorizzazioni per la posizione del bucket.

Nota

Per consentire l'autorizzazione per Amazon S3 HeadBucketAPI, fornisci l'autorizzazione a eseguire l's3:ListBucketazione come SidAWSConfigBucketExistenceCheck, menzionata nel passaggio 6 seguente.

Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli collegati ai servizi

Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per inserire oggetti nei bucket Amazon S3. Pertanto, se configuri AWS Config utilizzando un ruolo collegato al servizio, AWS Config invierà invece gli elementi di configurazione come principale del servizio. AWS Config Dovrai allegare una politica di accesso, menzionata nel passaggio 6 di seguito, al bucket Amazon S3 del tuo account o a un altro account per concedere AWS Config l'accesso al bucket Amazon S3.

Concessione dell' AWS Config accesso al bucket Amazon S3

Segui questi passaggi per aggiungere una policy di accesso al bucket Amazon S3 nel tuo account o in un altro account. La policy di accesso consente di AWS Config inviare informazioni di configurazione a un bucket Amazon S3.

  1. Accedi AWS Management Console utilizzando l'account che ha il bucket S3.

  2. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  3. Seleziona il bucket che desideri utilizzare AWS Config per fornire gli elementi di configurazione, quindi scegli Proprietà.

  4. Seleziona Autorizzazioni.

  5. Scegliere Edit Bucket Policy (Modifica policy bucket).

  6. Copiare la seguente policy nella finestra Bucket Policy Editor (Editor policy del bucket).

    Importante

    Come best practice di sicurezza per consentire l' AWS Config accesso a un bucket Amazon S3, consigliamo vivamente di limitare l'accesso nella policy del bucket con la condizione. AWS:SourceAccount Se la tua policy sui bucket esistente non segue questa best practice di sicurezza, ti consigliamo vivamente di modificarla per includere questa protezione. In questo modo AWS Config viene garantito l'accesso solo per conto degli utenti previsti.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    Nota

    Quando concedi le autorizzazioni al tuo IAM ruolo anziché al nome principale del AWS Config servizio (SPN), assicurati che il tuo IAM ruolo disponga dell'PutObjectACLautorizzazione sul bucket tra account per evitare errori di autorizzazione insufficienti. Vedi un esempio IAM di politica sui ruoli all'indirizzo. IAMRole Policy per il tuo S3 Bucket

  7. Sostituire i seguenti valori nella policy del bucket:

    • targetBucketName — Il nome del bucket Amazon S3 a cui AWS Config verranno recapitati gli elementi di configurazione.

    • [optional] prefix — Un'aggiunta opzionale alla chiave oggetto Amazon S3 che aiuta a creare un'organizzazione simile a una cartella nel bucket.

    • sourceAccountID — L'ID dell'account per il quale AWS Config verranno consegnati gli elementi di configurazione al bucket di destinazione.

  8. Scegliere Save (Salva) e Close (Chiudi).

Puoi utilizzare la condizione AWS:SourceAccount nella policy del bucket Amazon S3 riportata sopra per fare in modo il principale del servizio Config interagisca con il bucket Amazon S3 solo quando esegue operazioni per conto di account specifici. Se prevedi di configurare AWS Config più account della stessa organizzazione per distribuire elementi di configurazione a un singolo bucket Amazon S3, ti consigliamo di utilizzare IAM ruoli anziché ruoli collegati ai servizi in modo da poter utilizzare AWS Organizations chiavi di condizioni come. AWS:PrincipalOrgID Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso per un IAM ruolo con cui utilizzarlo AWS Config, consulta Autorizzazioni per il ruolo assegnato a. IAM AWS Config Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso per AWS Organizations, consulta Gestione delle autorizzazioni di accesso per l'organizzazione. AWS

AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config a interagire solo con il bucket Amazon S3 quando esegue operazioni per conto di canali di distribuzione specifici. AWS Config Quando si utilizza l'entità del AWS Config servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali AWS Config di distribuzione, consulta Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare il principale del servizio Config in modo che interagisca con il bucket Amazon S3 solo per conto di un canale di distribuzione nella regione us-east-1 dell'account 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.