Autorizzazioni per la chiave KMS - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per la chiave KMS

Creare una policy per una chiave Amazon S3 KMS che consente di utilizzare la crittografia basata su KMS sugli oggetti consegnati daAWS Configper la consegna della benna S3.

Autorizzazioni richieste per la chiave KMS quando si utilizzano i ruoli IAM (consegna del bucket S3)

Se configuriAWS Configutilizzando un ruolo IAM, puoi collegare la seguente policy di autorizzazione alla chiave KMS:

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Nota

Se il ruolo IAM, la policy del bucket Amazon S3 oAWS KMSla chiave non fornisce l'accesso appropriato aAWS Config, quindiAWS ConfigIl tentativo di inviare informazioni di configurazione al bucket Amazon S3 non riuscirà. In questo caso, AWS Config invia nuovamente le informazioni, questa volta come principale del servizio AWS Config. In questo caso, è necessario allegare una politica di autorizzazione, menzionata di seguito, alAWS KMSchiave da concedereAWS ConfigPer utilizzare la chiave quando invii le informazioni verso il bucket Amazon S3.

Autorizzazioni necessarie per la chiave KMS quando utilizzi i ruoli collegati ai servizi (distribuzione bucket S3)

Se configuriAWS Configutilizzando un ruolo collegato ai servizi, devi associare la seguente policy d'accesso alla chiave KMS.

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

Sostituire i seguenti valori nella policy chiave:

  • Il mio filato KM— L'ARN delAWS KMSchiave utilizzata per crittografare i dati nel bucket Amazon S3AWS Configconsegnerà gli articoli di configurazione a.

  • ID account sorgente— L'ID del conto per il qualeAWS Configconsegnerà gli articoli di configurazione a.

Puoi utilizzare il pluginAWS:SourceAccountCondizione nellaAWS KMScriterio chiave sopra per limitare l'entità del servizio Config a interagire solo conAWS KMSchiave per l'esecuzione di operazioni per conto di account specifici.

AWS Configsupporta anche l'AWS:SourceArncondizione che limita l'entità del servizio Config a interagire con il bucket Amazon S3 solo quando si eseguono operazioni per conto di specificiAWS Configcanali di consegna. Quando utilizziAWS ConfigPrincipale del servizioAWS:SourceArnla proprietà sarà sempre impostata suarn:aws:config:sourceRegion:sourceAccountID:*dovesourceRegionè l'area del canale di distribuzione esourceAccountIDè l'ID dell'account contenente il canale di consegna. Per ulteriori informazioni su,AWS Configcanali di distribuzione, vediGestione del Canale di Distribuzione. Ad esempio, aggiungi la seguente condizione per limitare l'entità del servizio Config a interagire con il tuo bucket Amazon S3 solo per conto di un canale di spedizione nelus-east-1regione nel conto123456789012:"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.