AWS Config에 할당된 IAM 역할에 대한 권한 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config에 할당된 IAM 역할에 대한 권한

AWS Identity and Access Management(IAM) 역할을 사용하여 권한 세트를 정의할 수 있습니다. AWS Config는 S3 버킷에 쓰고, SNS 주제에 게시하고, Describe 또는 List API 요청을 통해 AWS 리소스의 구성 세부 정보를 가져오도록 사용자가 할당한 역할을 맡습니다. 에 대한 추가 정보 IAM 역할, 참조 IAM 역할 에서 IAM 사용 설명서.

AWS Config 콘솔을 사용하여 IAM 역할을 만들거나 업데이트하면 AWS Config가 필요한 권한을 자동으로 연결합니다. 자세한 정보는 콘솔을 통해 AWS Config 설정 단원을 참조하십시오.

IAM 역할 정책 만들기

AWS Config 콘솔을 사용하여 IAM 역할을 만들면 AWS Config가 해당 역할에 필요한 권한을 자동으로 연결합니다.

AWS CLI를 사용하여 AWS Config를 설정하거나 기존 IAM 역할을 업데이트하는 경우, AWS Config가 S3 버킷에 액세스하고, SNS 주제에 게시하고, 리소스에 대한 구성 세부 정보를 가져올 수 있도록 정책을 수동으로 업데이트해야 합니다.

역할에 IAM 신뢰 정책 추가

AWS Config가 역할을 맡고 이 역할을 사용하여 리소스를 추적할 수 있도록 IAM 신뢰 정책을 만들 수 있습니다. 신뢰 정책에 대한 자세한 내용은 다음을 참조하십시오. 역할 가정 에서 IAM 사용 설명서.

다음은 AWS Config 역할에 대한 신뢰 정책 예제입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Amazon S3 버킷에 대한 IAM 역할 정책

다음 정책 예제는 Amazon S3 버킷에 액세스할 수 있는 권한을 AWS Config에 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": ["arn:aws:s3::: myBucketName/prefix/AWSLogs/myAccountID/*"], "Condition": { "StringLike": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Action": ["s3:GetBucketAcl"], "Resource": "arn:aws:s3::: myBucketName " } ] }

Amazon SNS 주제에 대한 IAM 역할 정책

다음 정책 예제는 SNS 주제에 액세스할 수 있는 권한을 AWS Config에 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

추가 설정 지침을 위해 SNS 항목이 암호화된 경우 을 참조하십시오. 구성 중 AWS KMS 권한 에서 Amazon Simple Notification Service 개발자 안내서.

구성 세부 정보를 가져오기 위한 IAM 역할 정책

AWS 리소스 구성을 기록하려면 AWS Config가 리소스에 대한 구성 세부 정보를 가져올 수 있는 IAM 권한이 필요합니다.

사용 AWS 관리되는 정책 AWS_구성역할 부착할 수 있습니다 IAM 할당한 역할 AWS Config. AWS 이 정책을 업데이트할 때마다 AWS Config 에 대한 지원을 추가합니다. AWS 리소스 유형, 즉 AWS Config 는 역할에 이 관리되는 정책이 연결되어 있는 한 구성 세부 정보를 얻는 데 필요한 권한을 계속 갖게 됩니다.

콘솔을 사용하여 역할을 작성하거나 업데이트하는 경우 AWS Config 은(는) AWS_구성역할 귀하를 위한 것입니다.

사용자가 AWS CLI, 사용 attach-role-policy 명령을 실행하고 다음에 대한 Amazon 리소스 이름(ARN)을 지정합니다. AWS_구성역할:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

S3 버킷 기록의 문제 해결

계정의 S3 버킷을 기록하도록 AWS Config를 구성한 경우, S3 버킷이 생성, 업데이트 또는 삭제되면 AWS Config가 이를 기록하고 알림을 전달합니다.

S3 버킷을 기록하도록 AWS Config를 구성했으나 구성 변경 알림을 받지 못하는 경우:

  • AWS Config에 할당된 IAM 역할에 AWS_ConfigRole 관리형 정책이 있는지 확인합니다.

  • 버킷에 S3 버킷 정책이 연결되어 있는 경우, 정책이 버킷의 변경 사항을 기록할 수 있는 권한을 AWS Config에 허용하는지 확인합니다.

S3 버킷에 대한 사용자 지정 정책이 있는 경우, 기존 버킷 정책에 다음 정책을 추가할 수 있습니다. 정책은 영숫자로 입력해야 합니다. 이 정책은 AWS Config에 S3 버킷을 기록할 권한을 부여합니다.

{ "Sid": "AWSConfig_ReadConfiguration_Access", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::myAccountID:role/config-role"}, "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketAcl", "s3:GetBucketCORS", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketNotification", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetBucketWebsite", "s3:GetLifecycleConfiguration", "s3:GetReplicationConfiguration" ], "Resource": "arn:aws:s3:::myBucketName" }