AWS Config に割り当てられた IAM ロールのアクセス許可 - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config に割り当てられた IAM ロールのアクセス許可

AWS Identity and Access Management (IAM) ロールでは、アクセス許可のセットを定義できます。AWS Config は割り当てられたロールを引き受けて、S3 バケットへの書き込み、SNS トピックへの発行、DescribeまたはListAWS リソースの設定詳細を取得する API リクエスト。IAM ロールの詳細については、「」を参照してください。IAM ロール()IAM ユーザーガイド

AWS Config コンソールを使用して IAM ロールを作成または更新すると、AWS Config は自動的に必要なアクセス許可をアタッチします。詳細については、「コンソールを使用して AWS Config を設定する」を参照してください。

IAM ロールポリシーの作成

AWS Config コンソールを使用して IAM ロールを作成すると、AWS Config はロールに必要なアクセス許可を自動的にアタッチします。

AWS CLI を使用して AWS Config を設定する場合、または既存の IAM ロールを更新する場合、AWS Config に対して S3 バケットへのアクセス、SNS トピックへの発行、およびリソースの設定詳細の取得を許可するには、ポリシーを手動で更新する必要があります。

ロールへの IAM 信頼ポリシーの追加

AWS Config でロールを引き受けて、リソースを追跡するための IAM 信頼ポリシーを作成できます。信頼ポリシーの詳細については、」を参照してください。ロールを割り当てる()IAM ユーザーガイド

AWS Config ロールの信頼ポリシーの例を次に示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Amazon S3 バケットの IAM ロールポリシー

次のポリシー例では、Amazon S3 バケットへのアクセス許可を AWS Config に付与します。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }

KMS キーの IAM ロールポリシー

以下のポリシー例では、S3 バケット配信用の新しいオブジェクトで KMS ベースの暗号化を使用するアクセス権限を AWS Config に付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }

Amazon SNS トピックの IAM ロールポリシー

次のポリシー例では、SNS トピックへのアクセス許可を AWS Config に付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

追加の設定手順のために SNS トピックが暗号化されている場合は、AWS KMS アクセス許可を設定する()Amazon Simple Notification Service 開発者ガイド

設定詳細を取得するための IAM ロールポリシー

AWS リソースの設定を記録するには、リソースの設定を取得するための IAM アクセス許可が必要です。

AWS 管理ポリシーを使用するConfigRoleし、AWS Config に割り当てる IAM ロールにアタッチします。AWS Config で AWS リソースタイプのサポートが追加されるたびに、AWS はこのポリシーを更新します。つまり、このマネージドポリシーがロールにアタッチされている限り、AWS Config は設定詳細を取得するために必要なアクセス許可を保持し続けます。

コンソールでロールを作成または更新すると、AWS Config はConfigRoleあなたのために.

AWS CLI を使用する場合は、attach-role-policyコマンドを実行し、Amazon リソースネーム (ARN) を指定します。ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

S3 バケット記録のアクセス許可の管理

AWS Config は、S3 バケットの作成、更新、削除を記録し、通知を配信します。

使用することをお勧めします。AWSServiceRoleForConfig(AWS Config のサービスにリンクされたロールの使用) またはカスタム IAM ロールを使用してAWS_ConfigRole管理ポリシー。構成記録のベストプラクティスの詳細については、AWS Config のベストプラクティス

バケット記録のオブジェクトレベルのアクセス許可を管理する必要がある場合は、S3 バケットポリシーでconfig.amazonaws.com(AWS Config サービスプリンシパル名)から、すべての S3 関連アクセス許可へのアクセスをAWS_ConfigRole管理ポリシー。詳細については、「」を参照してください。Amazon S3 バケットのアクセス許可