As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para a função do IAM atribuída a AWS Config
Uma função do IAM permite que você defina um conjunto de permissões. AWS Config assume a função que você atribui a ele para gravar em seu bucket do S3, publicar em seu tópico do SNS e fazer Describe solicitações de List API para obter detalhes de configuração de seus recursos. AWS Para obter mais informações sobre perfis do IAM, consulte Perfis do IAM no Guia do usuário do IAM.
Quando você usa o AWS Config console para criar ou atualizar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias para você. Para ter mais informações, consulte Configurando AWS Config com o console.
Criar políticas do perfil do IAM
Quando você usa o AWS Config console para criar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias à função para você.
Se você estiver usando o AWS CLI para configurar AWS Config ou estiver atualizando uma função existente do IAM, você deve atualizar manualmente a política para permitir o acesso AWS Config ao bucket do S3, publicar no tópico do SNS e obter detalhes de configuração sobre seus recursos.
Adicionar uma política de confiança do IAM à sua função
Você pode criar uma política de confiança do IAM que AWS Config permita assumir uma função e usá-la para monitorar seus recursos. Para obter mais informações sobre políticas de confiança, consulte Termos e conceitos dos perfis no Guia do usuário do IAM.
Veja a seguir um exemplo de política de confiança para AWS Config funções:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Você pode usar a condição AWS:SourceAccount na relação de confiança acima do perfil do IAM para restringir a entidade principal de serviço do Config a interagir somente com o perfil do IAM da AWS
ao realizar operações em nome de contas específicas.
AWS Config também suporta a AWS:SourceArn condição que restringe o responsável pelo serviço Config a assumir apenas a função do IAM ao realizar operações em nome da conta proprietária. Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do gravador de configuração e sourceAccountID é a ID da conta que contém o gravador de configuração. Para obter mais informações sobre o gravador AWS Config de configuração, consulte Gerenciando o gravador de configuração. Por exemplo, adicione a seguinte condição para restringir a entidade principal do serviço Config a assumir apenas o perfil do IAM somente em nome de um gravador de configuração na região us-east-1 na conta123456789012: "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
Política de perfil do IAM para o bucket do S3
O exemplo de política a seguir concede AWS Config permissão para acessar seu bucket do S3:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }
Política de perfil do IAM para chave do KMS
O exemplo de política a seguir concede AWS Config permissão para usar criptografia baseada em KMS em novos objetos para entrega de buckets do S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
Política de perfil do IAM para o tópico do Amazon SNS
O exemplo de política a seguir concede AWS Config permissão para acessar seu tópico do SNS:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
Se o tópico do SNS for criptografado, para obter mais instruções de configuração, consulte Configuração de permissões do AWS KMS no Guia do desenvolvedor do Amazon Simple Notification Service.
Política de perfil do IAM para obter detalhes de configuração
Para registrar suas configurações AWS de recursos, AWS Config são necessárias permissões do IAM para obter os detalhes de configuração sobre seus recursos.
Use a política AWS gerenciada AWS_ ConfigRole e anexe-a à função do IAM à qual você atribui. AWS Config AWS atualiza essa política sempre que AWS Config adiciona suporte para um tipo de AWS recurso, o que significa que AWS Config continuará a ter as permissões necessárias para obter detalhes de configuração, desde que a função tenha essa política gerenciada anexada.
Se você criar ou atualizar uma função com o console, AWS Config anexará o AWS_ ConfigRole para você.
Se você usar o AWS CLI, use o attach-role-policy comando e especifique o Amazon Resource Name (ARN) para AWS_: ConfigRole
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Gerenciar permissões para gravação de bucket do S3
AWS Config registra e entrega notificações quando um bucket do S3 é criado, atualizado ou excluído.
É recomendável que você use AWSServiceRoleForConfig (consulte Using Service-Linked Roles for AWS Config) ou um perfil do IAM personalizado utilizando a política gerenciada AWS_ConfigRole. Para obter mais informações sobre as práticas recomendadas para a gravação de configuração, consulte Práticas recomendadas do AWS Config
Se você precisar gerenciar permissões em nível de objeto para a gravação do bucket, certifique-se de fornecer config.amazonaws.com (o nome principal do AWS Config serviço) acesso a todas as permissões relacionadas ao S3 da política gerenciada. AWS_ConfigRole Para obter mais informações, consulte Permissões para buckets do Amazon S3.
