翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
割り当てられたIAMロールのアクセス許可 AWS Config
IAM ロールを使用すると、一連のアクセス許可を定義できます。 は、S3 バケットへの書き込み、SNSトピックへの発行、 AWS リソースの設定詳細の取得の Describe
または List
APIリクエストを行うために、割り当てるロール AWS Config を前提としています。IAM ロールの詳細については、IAM「 ユーザーガイド」のIAM「ロール」を参照してください。
AWS Config コンソールを使用してIAMロールを作成または更新すると、 は必要なアクセス許可 AWS Config を自動的にアタッチします。詳細については、「コンソール AWS Config でのセットアップ」を参照してください。
目次
IAM ロールのポリシーの作成
AWS Config コンソールを使用してIAMロールを作成すると、 は必要なアクセス許可 AWS Config を自動的にロールにアタッチします。
を使用して AWS CLI を設定している場合、 AWS Config または既存のIAMロールを更新する場合は、ポリシーを手動で更新して、 AWS Config が S3 バケットにアクセスし、SNSトピックに発行し、リソースに関する設定の詳細を取得できるようにする必要があります。
ロールへのIAM信頼ポリシーの追加
がロールを AWS Config 引き受け、それを使用してリソースを追跡するIAM信頼ポリシーを作成できます。信頼ポリシーの詳細については、IAM「 ユーザーガイド」の「ロールの用語と概念」を参照してください。
AWS Config ロールの信頼ポリシーの例を次に示します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
上記の IAM Role Trust 関係AWS:SourceAccount
の条件を使用して、Config サービスプリンシパルが特定のアカウントに代わってオペレーションを実行する場合にのみIAMロールを操作する AWS ように制限できます。
AWS Config は、所有アカウントに代わってオペレーションを実行するときにのみIAMロールを引き受けるように Config サービスプリンシパルを制限するAWS:SourceArn
条件もサポートします。 AWS Config サービスプリンシパルを使用する場合、 AWS:SourceArn
プロパティは常に に設定され、 arn:aws:config:sourceRegion:sourceAccountID:*
sourceRegion
は設定レコーダーのリージョンであり、 sourceAccountID
は設定レコーダーを含むアカウントの ID です。Configuration Recorder の詳細については、「 AWS Config Configuration Recorder の管理」を参照してください。例えば、次の条件を追加すると、Config サービスプリンシパルは、アカウント のus-east-1
リージョン内の設定レコーダーに代わってのみIAMロールを引き受けるように制限されます123456789012
。 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
IAM S3 バケットのロールポリシー
次のポリシー例では、S3 バケットにアクセスする AWS Config アクセス許可を付与します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-bucket
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket
" } ] }
IAM KMSキーのロールポリシー
次のポリシー例では、S3 バケット配信の新しいオブジェクトに KMSベースの暗号化を使用する AWS Config アクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
IAM Amazon SNS トピックのロールポリシー
次のポリシー例では、SNSトピックにアクセスするアクセス AWS Config 許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
追加のセットアップ手順のためにSNSトピックが暗号化されている場合は、「Amazon Simple Notification Service デベロッパーガイド」のAWS KMS 「アクセス許可の設定」を参照してください。
IAM 設定の詳細を取得するためのロールポリシー
AWS リソース設定を記録するには、リソースの設定の詳細を取得するためのIAMアクセス許可 AWS Config が必要です。
AWS マネージドポリシーを使用してAWS_ConfigRole、. AWS updates このポリシーに割り当てたIAMロールにアタッチします AWS Config。 AWS リソースタイプのサポート AWS Config を追加するたびに、このポリシーがアタッチ AWS Config されます。つまり、ロールにこのマネージドポリシーがアタッチされている限り、設定の詳細を取得するために必要なアクセス許可が引き続き付与されます。
コンソールでロールを作成または更新する場合、 はユーザーAWS_ConfigRoleに代わって を AWS Config アタッチします。
を使用する場合は AWS CLI、 attach-role-policy
コマンドを使用して の Amazon リソースネーム (ARN) を指定しますAWS_ConfigRole。
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
S3 バケット記録のアクセス許可の管理
AWS Config は、S3 バケットの作成、更新、または削除時に通知を記録して配信します。
AWS_ConfigRole
管理ポリシーを使用して、 AWSServiceRoleForConfig
(「 のサービスリンクロールの使用」を参照 AWS Config) またはカスタムIAMロールを使用することをお勧めします。設定記録のベストプラクティスの詳細については、AWS Config のベストプラクティス
バケット記録のオブジェクトレベルのアクセス許可を管理する必要がある場合は、S3 バケットポリシーで、 AWS_ConfigRole
マネージドポリシーからのすべての S3 関連のアクセス許可へのアクセス config.amazonaws.com
( AWS Config サービスプリンシパル名) を提供するようにしてください。詳細については、Amazon S3 バケットのアクセス許可を参照してください。