Quando si usano i ruoli IAM Quando si utilizzano i ruoli collegati ai servizi Concessione AWS Config dell'accesso

Autorizzazioni per la chiave KMS per il AWS Config canale di consegna

Utilizza le informazioni contenute in questo argomento se desideri creare una policy per una AWS KMS chiave per il tuo bucket S3 che ti consenta di utilizzare la crittografia basata su KMS sugli oggetti forniti da per la consegna dei bucket S3. AWS Config

Indice

Autorizzazioni richieste per la chiave KMS quando si utilizzano i ruoli IAM (distribuzione dei bucket S3)
Autorizzazioni richieste per la AWS KMS chiave quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)
Concessione dell' AWS Config accesso alla chiave AWS KMS

Autorizzazioni richieste per la chiave KMS quando si utilizzano i ruoli IAM (distribuzione dei bucket S3)

Se configuri AWS Config utilizzando un ruolo IAM, puoi allegare la seguente politica di autorizzazione alla chiave KMS:



{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}

Nota

Se il ruolo IAM, la policy del bucket Amazon S3 o la AWS KMS chiave non forniscono un accesso appropriato a AWS Config, il tentativo AWS Config di inviare le informazioni di configurazione al bucket Amazon S3 avrà esito negativo. In questo caso, AWS Config invia nuovamente le informazioni, questa volta come principale del servizio. AWS Config In questo caso, è necessario allegare una politica di autorizzazione, menzionata di seguito, alla AWS KMS chiave per concedere AWS Config l'accesso per utilizzare la chiave quando si forniscono informazioni al bucket Amazon S3.

Autorizzazioni richieste per la AWS KMS chiave quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)

Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per accedere alla chiave. AWS KMS Pertanto, se configuri AWS Config l'utilizzo di un ruolo collegato al servizio, AWS Config invierà invece le informazioni come responsabile del AWS Config servizio. Dovrai allegare una politica di accesso, menzionata di seguito, alla AWS KMS chiave per concedere AWS Config l'accesso per utilizzare la AWS KMS chiave per fornire informazioni al bucket Amazon S3.

Concessione dell' AWS Config accesso alla chiave AWS KMS

Questa policy consente di AWS Config utilizzare una AWS KMS chiave quando si forniscono informazioni a un bucket Amazon S3


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Sostituisci i seguenti valori nella policy della chiave:

MyKMSKeyarn: l'ARN della chiave utilizzata per crittografare AWS KMS i dati nel bucket Amazon S3 a cui fornirà gli elementi di configurazione. AWS Config
sourceAccountID: l'ID dell'account per il quale AWS Config distribuisce gli elementi di configurazione.

È possibile utilizzare la AWS:SourceAccount condizione nella politica AWS KMS chiave riportata sopra per limitare l'interazione del principale del servizio Config con la AWS KMS chiave solo durante l'esecuzione di operazioni per conto di account specifici.

AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config a interagire solo con il bucket Amazon S3 quando esegue operazioni per conto di canali di distribuzione specifici. AWS Config Quando si utilizza l'entità del AWS Config servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali AWS Config di distribuzione, consulta Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare il principale del servizio Config in modo che interagisca con il bucket Amazon S3 solo per conto di un canale di distribuzione nella regione us-east-1 dell'account 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni per il bucket Amazon S3 per il canale di distribuzione AWS Config

Autorizzazioni per l'argomento Amazon SNS