Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per la KMS chiave per il canale AWS Config di consegna
Utilizza le informazioni contenute in questo argomento se desideri creare una policy per una AWS KMS chiave per il tuo bucket S3 che ti permetta di utilizzare la crittografia KMS basata sugli oggetti forniti da AWS Config for S3 bucket Delivery.
Indice
Autorizzazioni richieste per la KMS chiave quando si utilizzano i IAM ruoli (S3 Bucket Delivery)
Se configuri AWS Config l'utilizzo di un IAM ruolo, puoi allegare la seguente politica di autorizzazione alla KMS chiave:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Nota
Se il IAM ruolo, la policy del bucket Amazon S3 o la AWS KMS chiave non forniscono un accesso appropriato AWS Config, il tentativo AWS Config di inviare le informazioni di configurazione al bucket Amazon S3 avrà esito negativo. In questo caso, AWS Config invia nuovamente le informazioni, questa volta come principale del servizio. AWS Config In questo caso, è necessario allegare una politica di autorizzazione, menzionata di seguito, alla AWS KMS chiave per concedere AWS Config l'accesso per utilizzare la chiave quando si forniscono informazioni al bucket Amazon S3.
Autorizzazioni richieste per la AWS KMS chiave quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)
Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per accedere alla chiave. AWS KMS Pertanto, se configuri AWS Config l'utilizzo di un ruolo collegato al servizio, AWS Config invierà invece le informazioni come responsabile del AWS Config servizio. Dovrai allegare una politica di accesso, menzionata di seguito, alla AWS KMS chiave per concedere AWS Config l'accesso per utilizzare la AWS KMS chiave per fornire informazioni al bucket Amazon S3.
Concessione dell' AWS Config accesso alla chiave AWS KMS
Questa policy consente di AWS Config utilizzare una AWS KMS chiave per fornire informazioni a un bucket Amazon S3.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Sostituisci i seguenti valori nella policy della chiave:
-
myKMSKeyARN— La ARN AWS KMS chiave utilizzata per crittografare i dati nel bucket Amazon S3 a cui consegnerà AWS Config gli elementi di configurazione. -
sourceAccountID— L'ID dell'account a cui AWS Config verranno consegnati gli elementi di configurazione.
È possibile utilizzare la AWS:SourceAccount condizione nella politica AWS KMS chiave riportata sopra per limitare l'interazione del principale del servizio Config con la AWS KMS chiave solo durante l'esecuzione di operazioni per conto di account specifici.
AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config a interagire solo con il bucket Amazon S3 quando esegue operazioni per conto di canali di distribuzione specifici. AWS Config Quando si utilizza l'entità del AWS Config servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali AWS Config di distribuzione, consulta Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare il principale del servizio Config in modo che interagisca con il bucket Amazon S3 solo per conto di un canale di distribuzione nella regione us-east-1 dell'account 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
