AWS Config に割り当てられた IAM ロールのアクセス許可 - AWS Config

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

AWS Config に割り当てられた IAM ロールのアクセス許可

AWS Identity and Access Management (IAM) ロールでは、アクセス許可のセットを設定できます。AWS Config は割り当てられたロールを継承して、S3 バケットへの書き込み、SNS トピックへの発行、AWS リソースの設定詳細を取得するための Describe または List の API リクエストを行います。IAM ロールの詳細については、「IAM ロール」 (IAM ユーザーガイド) を参照してください。

AWS Config コンソールを使用して IAM ロールを作成または更新すると、AWS Config は自動的に必要なアクセス許可をアタッチします。詳細については、コンソールによる AWS Config の設定 を参照してください。

IAM ロールのポリシーの作成

AWS Config コンソールを使用して IAM ロールを作成すると、AWS Config はロールに必要なアクセス許可を自動的にアタッチします。

AWS CLI を使用して AWS Config を設定する場合、または既存の IAM ロールを更新する場合、AWS Config に対して S3 バケットへのアクセス、SNS トピックへの発行、およびリソースの設定詳細の取得を許可するには、ポリシーを手動で更新する必要があります。

ロールへの IAM 信頼ポリシーの追加

リソースを追跡するロールを継承して使用することを AWS Config に許可する IAM 信頼ポリシーを作成できます。信頼ポリシーの詳細については、「ロールを引き受ける」 (IAM ユーザーガイド) を参照してください。

AWS Config ロールの信頼ポリシーの例を次に示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Amazon S3 バケットの IAM ロールのポリシー

次のポリシー例では、Amazon S3 バケットへのアクセス許可を AWS Config に付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": ["arn:aws:s3::: myBucketName/prefix/AWSLogs/myAccountID/*"], "Condition": { "StringLike": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Action": ["s3:GetBucketAcl"], "Resource": "arn:aws:s3::: myBucketName " } ] }

Amazon SNS トピックの IAM ロールのポリシー

次のポリシー例では、SNS トピックへのアクセス許可を AWS Config に付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

SNS トピックがその他の設定手順で暗号化されている場合は、以下を参照してください。 設定 AWS KMS 許可Amazon Simple Notification Service 開発者ガイド.

設定詳細を取得するための IAM ロールのポリシー

AWS Config で AWS リソースの設定を記録するには、リソースの設定詳細を取得するための IAM アクセス許可が必要です。

[ AWS 管理対象ポリシー AWS_ConfigRole(AWS_ConfigRole) また、それを IAM 割り当てた役割 AWS Config. AWS は、このポリシーを毎回更新します。 AWS Config は、 AWS リソースタイプ、つまり AWS Config ロールにこの管理ポリシーが添付されている限り、 は構成の詳細を取得するために必要な権限を引き続き持っています。

コンソールでロールを作成または更新する場合、 AWS Config は、 AWS_ConfigRole(AWS_ConfigRole) あなたに。

[ AWS CLI、 attach-role-policy コマンドを指定して、Amazon Resource Name (ARN) を指定します。 AWS_ConfigRole(AWS_ConfigRole):

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

S3 バケットの記録のトラブルシューティング

アカウントの S3 バケットを記録するように AWS Config を設定すると、AWS Config は S3 バケットの作成、更新、または削除を記録し、通知を配信します。

S3 バケットを記録するように AWS Config を設定した後で、設定変更の通知が受信されない場合は、以下のように対応します。

  • AWS Config に割り当てられた IAM ロールに AWS_ConfigRole マネージドポリシーがあることを確認します。

  • バケットに S3 バケットポリシーがアタッチされている場合は、バケットの変更を記録するためのアクセス許可が AWS Config に付与されていることを確認します。

S3 バケットのカスタムポリシーがある場合は、既存のバケットポリシーに次のポリシーを追加できます。ポリシー入力は、英数字である必要があります。このポリシーは、S3 バケットを記録するためのアクセス許可を AWS Config に付与します。

{ "Sid": "AWSConfig_ReadConfiguration_Access", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::myAccountID:role/config-role"}, "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketAcl", "s3:GetBucketCORS", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetBucketWebsite", "s3:GetLifecycleConfiguration", "s3:GetReplicationConfiguration" ], "Resource": "arn:aws:s3:::myBucketName" }