Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config

PDF
RSS
Modalità Focus
Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config - AWS Config
Quando si usano i ruoli IAMQuando si utilizzano i ruoli collegati ai serviziConcessione dell' AWS Config accessoDistribuzione tra più account.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importante

Questa pagina riguarda la configurazione di Amazon S3 Bucket per il AWS Config canale di distribuzione. Questa pagina non riguarda il tipo di AWS::S3::Bucket risorsa che il registratore di AWS Config configurazione può registrare.

I bucket e gli oggetti Amazon S3 sono privati per impostazione predefinita. Solo chi ha creato Account AWS il bucket (il proprietario della risorsa) dispone delle autorizzazioni di accesso. I proprietari delle risorse possono concedere l'accesso ad altre risorse e utenti creando politiche di accesso.

Quando crea AWS Config automaticamente un bucket S3 per te, aggiunge le autorizzazioni richieste. Tuttavia, se specifichi un bucket S3 esistente, devi aggiungere queste autorizzazioni manualmente.

Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli IAM

AWS Config utilizza il ruolo IAM che hai assegnato al registratore di configurazione per fornire la cronologia di configurazione e le istantanee ai bucket S3 del tuo account. Per la consegna tra più account, tenta AWS Config innanzitutto di utilizzare il ruolo IAM assegnato. Se la bucket policy non concede WRITE l'accesso al ruolo IAM, AWS Config utilizza il config.amazonaws.com service principal. La bucket policy deve concedere WRITE l'accesso per config.amazonaws.com completare la consegna. Una volta completata con successo la consegna, AWS Config mantiene la proprietà di tutti gli oggetti che consegna al bucket S3 multiaccount.

AWS Config chiama l'HeadBucketAPI Amazon S3 con il ruolo IAM assegnato al registratore di configurazione per confermare se il bucket S3 esiste e la sua posizione. Se non disponi delle autorizzazioni necessarie AWS Config per la conferma, vedrai un AccessDenied errore nei tuoi log. AWS CloudTrail Tuttavia, AWS Config può comunque fornire la cronologia delle configurazioni e le istantanee anche se AWS Config non dispone delle autorizzazioni necessarie per confermare l'esistenza del bucket S3 e la sua posizione.

Autorizzazioni minime

L'HeadBucketAPI Amazon S3 richiede l's3:ListBucketazione con Sid (statement ID). AWSConfigBucketExistenceCheck

Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli collegati ai servizi

Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per inserire oggetti nei bucket Amazon S3. Se configuri AWS Config utilizzando un ruolo collegato al servizio, AWS Config utilizzerà il config.amazonaws.com service principal per fornire la cronologia e le istantanee della configurazione. La policy del bucket S3 nel tuo account o nelle destinazioni tra account deve includere le autorizzazioni per consentire al responsabile del servizio di scrivere oggetti. AWS Config

Concessione dell' AWS Config accesso al bucket Amazon S3

Completa i seguenti passaggi AWS Config per fornire la cronologia di configurazione e le istantanee a un bucket Amazon S3.

  1. Accedi AWS Management Console utilizzando l'account che ha il bucket S3.

  2. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  3. Seleziona il bucket che desideri utilizzare AWS Config per fornire gli elementi di configurazione, quindi scegli Proprietà.

  4. Seleziona Autorizzazioni.

  5. Scegliere Edit Bucket Policy (Modifica policy bucket).

  6. Copiare la seguente policy nella finestra Bucket Policy Editor (Editor policy del bucket).

    Best practice di sicurezza

    Ti consigliamo vivamente di limitare l'accesso nella policy del bucket con questa condizione. AWS:SourceAccount Ciò garantisce che AWS Config venga concesso l'accesso solo per conto degli utenti previsti.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

  7. Sostituire i seguenti valori nella policy del bucket:

    • amzn-s3-demo-bucket— Nome del bucket Amazon S3 in cui AWS Config verranno fornite la cronologia di configurazione e le istantanee.

    • [optional] prefix— Un'aggiunta opzionale alla chiave oggetto Amazon S3 che aiuta a creare un'organizzazione simile a una cartella nel bucket.

    • sourceAccountID— ID dell'account a cui AWS Config verranno fornite la cronologia di configurazione e le istantanee.

  8. Scegliere Save (Salva) e Close (Chiudi).

La AWS:SourceAccount condizione limita AWS Config le operazioni a quanto specificato. Account AWS Per le configurazioni con più account all'interno di un'organizzazione che effettua consegne su un singolo bucket S3, utilizza i ruoli IAM con chiavi di AWS Organizations condizione anziché i ruoli collegati ai servizi. Ad esempio AWS:PrincipalOrgID. Per ulteriori informazioni, consulta Gestire le autorizzazioni di accesso per un'organizzazione nella Guida per l'utente.AWS Organizations

La AWS:SourceArn condizione limita AWS Config le operazioni a canali di distribuzione specifici. Il AWS:SourceArn formato è il seguente:arn:aws:config:sourceRegion:123456789012.

Ad esempio, per limitare l'accesso del bucket S3 a un canale di consegna nella regione Stati Uniti orientali (Virginia settentrionale) per l'account 123456789012, aggiungi la seguente condizione:

"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}

Autorizzazioni richieste per il bucket Amazon S3 per la distribuzione su più account

Quando AWS Config è configurato per fornire la cronologia di configurazione e le istantanee a un bucket Amazon S3 in un account diverso (configurazione tra account), in cui il registratore di configurazione e il bucket S3 specificato per il canale di distribuzione sono diversi, sono richieste le seguenti autorizzazioni: Account AWS

  • Il ruolo IAM assegnato al registratore di configurazione richiede un'autorizzazione esplicita per eseguire l'operazione. s3:ListBucket Questo perché AWS Config chiama l'HeadBucketAPI Amazon S3 con questo ruolo IAM per determinare la posizione del bucket.

  • La policy del bucket S3 deve includere le autorizzazioni sia per il principale del AWS Config servizio che per il ruolo IAM assegnato al registratore di configurazione.

Di seguito è riportato un esempio di configurazione della bucket policy:

{
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com",
        "AWS": "IAM Role-Arn assigned to the configuartion recorder"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.