翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
に割り当てられたIAMロールのアクセス許可 AWS Config
IAM ロールを使用すると、一連のアクセス許可を定義できます。 は、S3 バケットへの書き込み、SNSトピックへの発行、 AWS リソースの設定詳細の取得を Describeまたは にListAPIリクエストするために割り当てたロールを AWS Config 引き受けます。IAM ロールの詳細については、「 IAMユーザーガイド」のIAM「ロール」を参照してください。
AWS Config コンソールを使用して IAMロールを作成または更新すると、 は必要なアクセス許可 AWS Config を自動的にアタッチします。詳細については、「コンソール AWS Config でのセットアップ」を参照してください。
目次
IAM ロールのポリシーの作成
AWS Config コンソールを使用して IAMロールを作成すると、 は必要なアクセス許可 AWS Config を自動的にロールにアタッチします。
を使用して AWS CLI を設定している場合、 AWS Config または既存のIAMロールを更新する場合は、S3 バケットへのアクセス、SNSトピックへの発行、リソースに関する設定詳細の取得を AWS Config に許可するように、ポリシーを手動で更新する必要があります。
ロールへのIAM信頼ポリシーの追加
がロールを引き受け AWS Config 、それを使用してリソースを追跡できるようにするIAM信頼ポリシーを作成できます。信頼ポリシーの詳細については、「 IAMユーザーガイド」の「ロールの用語と概念」を参照してください。
AWS Config ロールの信頼ポリシーの例を次に示します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
上記のIAMロール信頼関係の AWS:SourceAccount条件を使用して、特定のアカウントに代わってオペレーションを実行するときにのみ Config サービスプリンシパルが AWS IAMロールとやり取りするように制限できます。
AWS Config は、所有アカウントに代わってオペレーションを実行するときにのみIAMロールを引き受けるように Config サービスプリンシパルを制限する AWS:SourceArn 条件もサポートします。 AWS Config サービスプリンシパルを使用する場合、 AWS:SourceArnプロパティは常に に設定されます。arn:aws:config:sourceRegion:sourceAccountID:*ここで、 sourceRegion は設定レコーダーのリージョンであり、 sourceAccountIDは設定レコーダーを含むアカウントの ID です。Configuration Recorder の詳細については、 AWS Config 「Configuration Recorder の管理」を参照してください。例えば、次の条件を追加すると、Config サービスプリンシパルは、アカウント のus-east-1リージョン の設定レコーダーに代わってのみIAMロールを引き受けるように制限されます123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}。
IAM S3 バケットのロールポリシー
次のポリシー例では、S3 バケットへのアクセス AWS Config 許可を付与します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }
IAM KMSキーのロールポリシー
次のポリシー例では、S3 バケット配信用の新しいオブジェクトで KMSベースの暗号化を使用する AWS Config アクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
IAM Amazon SNSトピックのロールポリシー
次のポリシー例では、SNSトピックへのアクセス AWS Config 許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
追加のセットアップ手順のためにSNSトピックが暗号化されている場合は、「Amazon Simple Notification Service デベロッパーガイド」の AWS KMS 「アクセス許可の設定」を参照してください。
IAM 設定の詳細を取得するためのロールポリシー
AWS リソース設定を記録するには、 にリソースに関する設定の詳細を取得するためのIAMアクセス許可 AWS Config が必要です。
AWS マネージドポリシー AWS_ConfigRole を使用して、 が AWS リソースタイプのサポート AWS Config を追加するたびに、このポリシーを . AWS updates に割り当てるIAMロールにアタッチします AWS Config。つまり、ロールにこのマネージドポリシーがアタッチされている限り、 AWS Config には設定の詳細を取得するために必要なアクセス許可が引き続き付与されます。
コンソールでロールを作成または更新すると、 によって AWS_ConfigRole がア AWS Config タッチされます。
を使用する場合は AWS CLI、 attach-role-policy コマンドを使用して AWS_ConfigRole の Amazon リソースネーム (ARN) を指定します。
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
S3 バケット記録のアクセス許可の管理
AWS Config は、S3 バケットが作成、更新、または削除されたときに通知を記録して配信します。
AWSServiceRoleForConfig (「 のサービスにリンクされたロールの使用」を参照 AWS Config)、または AWS_ConfigRole管理ポリシーを利用するカスタムIAMロールを使用することをお勧めします。設定記録のベストプラクティスの詳細については、AWS Config のベストプラクティス
バケット記録のオブジェクトレベルのアクセス許可を管理する必要がある場合は、S3 バケットポリシーで、 AWS_ConfigRole管理ポリシーからのすべての S3 関連のアクセス許可へのアクセスを config.amazonaws.com ( AWS Config サービスプリンシパル名) に付与するようにしてください。詳細については、Amazon S3 バケットのアクセス許可を参照してください。
