기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
할당된 IAM 역할에 대한 권한 AWS Config
IAM역할을 통해 권한 세트를 정의할 수 있습니다. AWS Config 할당한 역할을 맡아 S3 버킷에 쓰고, SNS 주제에 게시하고, S3 버킷에 대한 구성 세부 정보를 Describe List API 요청하거나 요청합니다. AWS 있습니다. IAM역할에 대한 자세한 내용은 IAM사용 설명서의 IAM 역할을 참조하십시오.
를 사용하는 경우 AWS Config 콘솔을 사용하여 IAM 역할을 만들거나 업데이트하십시오. AWS Config 필요한 권한을 자동으로 첨부합니다. 자세한 내용은 설정 AWS Config 콘솔 사용 단원을 참조하십시오.
목차
IAM 역할 정책 만들기
사용하는 경우 AWS Config 콘솔을 사용하여 IAM 역할을 생성하십시오. AWS Config 필요한 권한을 역할에 자동으로 연결합니다.
를 사용하는 경우 AWS CLI 설정하기 AWS Config 또는 기존 IAM 역할을 업데이트하려는 경우 허용하도록 정책을 수동으로 업데이트해야 합니다. AWS Config S3 버킷에 액세스하고, SNS 주제에 게시하고, 리소스에 대한 구성 세부 정보를 가져올 수 있습니다.
역할에 IAM 신뢰 정책 추가
다음을 가능하게 하는 IAM 신뢰 정책을 만들 수 있습니다. AWS Config 역할을 맡아 리소스를 추적하는 데 사용할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 IAM사용 설명서의 역할 용어 및 개념을 참조하십시오.
다음은 에 대한 신뢰 정책의 예입니다. AWS Config 역할:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
위의 IAM 역할 신뢰 관계에 있는 AWS:SourceAccount 조건을 사용하여 Config 서비스 보안 주체가 다음과 상호 작용만 하도록 제한할 수 있습니다. AWS
IAM특정 계정을 대신하여 작업을 수행할 때의 역할.
AWS Config 또한 Config 서비스 보안 주체가 소유 계정을 대신하여 작업을 수행할 때만 역할을 IAM 위임하도록 제한하는 AWS:SourceArn 조건을 지원합니다. 사용하는 경우 AWS Config 서비스 보안 주체의 AWS:SourceArn 속성은 항상 sourceRegion i가 구성 레코더의 영역이고 sourceAccountID 는 구성 레코더가 포함된 계정의 ID로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:* 에 대한 자세한 내용은 AWS Config 구성 레코더 관리를 참조하십시오. 예를 들어, 다음 조건을 추가하면 Config 서비스 보안 주체가 계정 123456789012 내 해당 us-east-1 지역의 구성 레코더를 대신해서만 IAM 역할을 맡도록 제한할 수 있습니다. "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
IAMS3 버킷의 역할 정책
다음은 정책 권한 부여의 예시입니다. AWS Config S3 버킷에 액세스할 수 있는 권한:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" } ] }
IAMKMS키에 대한 역할 정책
다음은 정책 권한 부여의 예시입니다. AWS Config S3 버킷 전송을 위해 새 객체에 KMS 기반 암호화를 사용할 수 있는 권한:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
IAMAmazon SNS 주제에 대한 역할 정책
다음은 정책 권한 부여의 예시입니다. AWS Config SNS주제에 액세스할 수 있는 권한:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
SNS주제가 암호화된 경우 추가 설정 지침은 구성을 참조하십시오. AWS KMSAmazon 심플 알림 서비스 개발자 가이드의 권한
IAM구성 세부 정보를 가져오기 위한 역할 정책
다음을 기록하려면 AWS 리소스 구성, AWS Config 리소스에 대한 구성 세부 정보를 가져올 IAM 권한이 필요합니다.
를 사용하십시오. AWS 관리형 정책을 AWS_ConfigRole할당한 IAM 역할에 연결합니다. AWS Config. AWS 이 정책을 매번 업데이트합니다. AWS Config 에 대한 지원을 추가합니다. AWS 리소스 유형, 즉 AWS Config 역할에 이 관리형 정책이 연결되어 있는 한 구성 세부 정보를 가져오는 데 필요한 권한을 계속 갖게 됩니다.
콘솔로 역할을 만들거나 업데이트하는 경우 AWS Config 사용자를 AWS_ConfigRole위해 첨부합니다.
사용하는 경우 AWS CLI, attach-role-policy 명령을 사용하여 다음 항목에 대한 Amazon 리소스 이름 (ARN) 을 지정합니다 AWS_ConfigRole.
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
S3 버킷 기록에 대한 권한 관리
AWS Config S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전달합니다.
다음 중 하나를 사용하는 것이 좋습니다 AWSServiceRoleForConfig (서비스 연결 역할 사용 참조). AWS Config) 또는 AWS_ConfigRole 관리형 정책을 활용하는 사용자 지정 IAM 역할. 구성 기록의 모범 사례에 대한 자세한 내용은 을 참조하십시오. AWS Config 모범 사례
버킷 기록에 대한 객체 수준 권한을 관리해야 하는 경우 S3 버킷 정책에서 다음을 config.amazonaws.com 제공하는지 확인하십시오. AWS Config 서비스 사용자 이름) 은 AWS_ConfigRole 관리형 정책에서 모든 S3 관련 권한에 액세스할 수 있습니다. 자세한 내용을 알아보려면 Amazon S3 버킷에 대한 권한을 참조하세요.
