IAM に割り当てられた AWS Config ロールのアクセス許可 - AWS Config

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

IAM に割り当てられた AWS Config ロールのアクセス許可

AWS Identity and Access ManagementIAM) ロールでは、アクセス許可のセットを設定できます。AWS Config は割り当てられたロールを継承して、S3 バケットへの書き込み、SNS トピックへの発行、Describe リソースの設定詳細を取得するための List または AWS の API リクエストを行います。IAM ロールの詳細については、「IAM ロール」 (IAM ユーザーガイド.) を参照してください。

AWS Config コンソールを使用して IAM ロールを作成または更新すると、AWS Config は自動的に必要なアクセス許可をアタッチします。詳細については、「」を参照してください。コンソールによる AWS Config の設定.

IAM ロールのポリシーの作成

AWS Config コンソールを使用して IAM ロールを作成すると、AWS Config はロールに必要なアクセス許可を自動的にアタッチします。

AWS CLI を使用して AWS Config を設定する場合、または既存の IAM ロールを更新する場合、AWS Config に対して S3 バケットへのアクセス、SNS トピックへの発行、およびリソースの設定詳細の取得を許可するには、ポリシーを手動で更新する必要があります。

ロールへの IAM 信頼ポリシーの追加

リソースを追跡するロールを継承して使用することを IAM に許可する AWS Config 信頼ポリシーを作成できます。信頼ポリシーの詳細については、「ロールを引き受ける」 ( IAM ユーザーガイド.) を参照してください。

AWS Config ロールの信頼ポリシーの例を次に示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

IAM バケットの Amazon S3 ロールのポリシー

次のポリシー例では、AWS Config バケットへのアクセス許可を Amazon S3 に付与します。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }

IAM トピックの Amazon SNS ロールのポリシー

次のポリシー例では、SNS トピックへのアクセス許可を AWS Config に付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

追加のセットアップ手順で SNS トピックが暗号化されている場合は、AWS KMS の「 アクセス許可の設定」を参照してください。Amazon Simple Notification Service 開発者ガイド

IAM設定詳細を取得するための ロールのポリシー

AWS で AWS Config リソースの設定を記録するには、リソースの設定詳細を取得するための IAM アクセス許可が必要です。

マネージドポリシー AWSAWS_ConfigRoleConfigRole に割り当てる ロールにアタッチします。IAM が AWS Config リソースタイプのサポートを追加するたびに、AWS はこのポリシーを更新します。つまり、このマネージドポリシーがロールにアタッチされている限り、AWS Config は設定詳細を取得するために必要なアクセス許可を保持し続けます。AWSAWS Config

コンソールでロールを作成または更新すると、AWS Config は AWS_ConfigRole をアタッチします。

を使用する場合は、AWS CLI コマンドを使用して attach-role-policyAWS_ConfigRoleConfigRole

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

S3 バケット記録のアクセス許可の管理

AWS Config は、S3 バケットが作成、更新、または削除されると、通知を記録し、配信します。

(AWSServiceRoleForConfig のサービスにリンクされたロールの使用を参照)、または AWS Config 管理ポリシーを利用するカスタム ロールを使用することをお勧めします。IAMAWS_ConfigRole設定記録のベストプラクティスの詳細については、「 のベストプラクティスAWS Config」を参照してください。

バケットの記録に対してオブジェクトレベルのアクセス許可を管理する必要がある場合、S3 バケットポリシーで config.amazonaws.com (AWS Config サービスプリンシパル名) が AWS_ConfigRole 管理ポリシーからすべての S3 関連アクセス許可にアクセスできることを確認してください。詳細については、「 バケットのアクセス許可Amazon S3」を参照してください。