割り当てられた IAM ロールのアクセス許可 AWS Config - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

割り当てられた IAM ロールのアクセス許可 AWS Config

IAM ロールでは、一連の権限を定義できます。 AWS Config S3 バケットへの書き込み、SNS トピックへの公開、リソースの設定の詳細を取得するための List API Describe リクエストの作成など、ユーザーが割り当てたロールを引き受けます。 AWS IAM ロールの詳細については、IAM ユーザーガイドIAM ロールを参照してください。

AWS Config コンソールを使用して IAM ロールを作成または更新すると、 AWS Config 必要な権限が自動的にアタッチされます。詳細については、「AWS Config コンソールでのセットアップ」を参照してください。

IAM ロールのポリシーの作成

AWS Config コンソールを使用して IAM ロールを作成すると、 AWS Config 必要な権限が自動的にロールにアタッチされます。

を使用して既存の IAM AWS Config ロールを設定または更新する場合は、S3 バケットへのアクセス、SNS トピックへの公開、 AWS Config およびリソースに関する設定の詳細の取得を許可するように、ポリシーを手動で更新する必要があります。 AWS CLI

ロールへの IAM 信頼ポリシーの追加

ロールを引き受けてリソースの追跡に使用できる IAM 信頼ポリシーを作成できます。 AWS Config 信頼されたポリシーの詳細については、「IAM ユーザーガイド」の「ロールに関する用語と概念」を参照してください。

AWS Config ロールの信頼ポリシーの例を以下に示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

上記の IAM ロールの信頼関係で AWS:SourceAccount 条件を使用して、特定のアカウントに代わって操作を実行するときに、この AWS IAM ロールのみとやり取りするように Config サービスプリンシパルを制限することができます。

AWS Config また、所有アカウントに代わって操作を実行するときに Config サービスプリンシパルが IAM AWS:SourceArn ロールのみを引き受けるように制限する条件もサポートしています。 AWS Config サービスプリンシパルを使用する場合、AWS:SourceArnプロパティは常に arn:aws:config:sourceRegion:sourceAccountID:* where sourceRegion は設定レコーダーのリージョン、sourceAccountIDおよび設定レコーダーを含むアカウントの ID に設定されます。設定レコーダーについて詳しくは、「 AWS Config 設定レコーダーの管理」を参照してください。例えば、以下の条件を追加して、アカウント 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"} にある us-east-1 リージョン内の設定レコーダーに代わって実行する場合にのみ、その IAM ロールを引き受けるように Config サービスプリンシパルを制限します。

S3 バケットの IAM ロールのポリシー

以下のポリシー例は、S3 AWS Config バケットにアクセスする権限を付与します。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }

KMS キーの IAM ロールポリシー

以下のポリシー例では、S3 バケット配信用の新しいオブジェクトに KMS AWS Config ベースの暗号化を使用する権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }

Amazon SNS トピックの IAM ロールポリシー

以下のポリシー例は、SNS AWS Config トピックにアクセスする権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

SNS トピックが暗号化されている場合、追加の設定手順については、「Amazon Simple Notification Service デベロッパーガイド」の「AWS KMS アクセス許可の設定」を参照してください。

設定詳細を取得するための IAM ロールポリシー

リソース設定を記録するには、 AWS リソースに関する設定の詳細を取得するための IAM AWS Config 権限が必要です。

AWS 管理ポリシー AWS_ を使用してConfigRole、割り当てた IAM ロールにアタッチします。 AWS Config AWS AWS Config AWS リソースタイプのサポートを追加するたびにこのポリシーを更新します。つまり、ロールにこの管理ポリシーがアタッチされている限り、 AWS Config 設定の詳細を取得するために必要な権限は引き続き保持されます。

コンソールでロールを作成または更新すると、AWS_ AWS Config ConfigRole が自動的にアタッチされます。

を使用する場合は AWS CLI、attach-role-policyコマンドを使用して ConfigRoleAWS_ の Amazon リソースネーム (ARN) を指定します。

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

S3 バケット記録のアクセス許可の管理

AWS Config S3 バケットが作成、更新、削除されたときに通知を記録して配信します。

AWSServiceRoleForConfig (AWS Configのサービスにリンクされたロールの使用 (を参照) または AWS_ConfigRole管理ポリシーを活用するカスタム IAM ロールのいずれかを使用することをお勧めします。設定記録のベストプラクティスの詳細については、AWS Config のベストプラクティスを参照してください。

バケット記録のオブジェクトレベルの権限を管理する必要がある場合は、S3 バケットポリシーで、AWS_ConfigRole管理ポリシーからの S3 関連のすべての権限へのアクセス権を config.amazonaws.com ( AWS Config サービスプリンシパル名で) 提供するようにしてください。詳細については、Amazon S3 バケットのアクセス許可を参照してください。