As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para o Amazon S3 Bucket para o AWS Config Nome do canal de entrega
Importante
Esta página é sobre como configurar o Amazon S3 Bucket para o AWS Config canal de entrega. Esta página não é sobre o tipo de AWS::S3::Bucket recurso que o AWS Config gravador de configuração pode gravar. Para obter mais informações sobre o AWS Config canal de entrega, consulte Gerenciamento do canal de entrega.
Por padrão, todos os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso, que é o Conta da AWS que criou o bucket pode acessar esse bucket. No entanto, o proprietário do recurso pode conceder permissões de acesso a outros usuários e recursos. Uma maneira de fazer isso é escrever uma política de acesso.
If (Se) AWS Config cria um bucket Amazon S3 para você automaticamente (por exemplo, se você usar AWS Config console para configurar seu canal de entrega), essas permissões são adicionadas automaticamente ao bucket do Amazon S3. No entanto, se você especificar um bucket do S3 existente, garanta que esse bucket tenha as permissões corretas.
nota
Um objeto não herda as permissões de seu bucket. Por exemplo, se criar um bucket e conceder acesso de gravação a outro usuário, você não poderá acessar os objetos desse usuário, a menos que ele conceda o acesso explicitamente.
Sumário
Permissões necessárias para o bucket do Amazon S3 ao usar funções IAM
Quando AWS Config envia informações de configuração (arquivos de histórico e snapshots) para o bucket Amazon S3 em sua conta, ele assume IAM a função que você atribuiu ao configurar AWS Config. Quando AWS Config
envia informações de configuração para um bucket do Amazon S3 em outra conta. Ele primeiro tenta usar a IAM função, mas essa tentativa falha se a política de acesso do bucket não conceder WRITE acesso à IAM função. Neste evento, AWS Config envia as informações novamente, desta vez como AWS Config diretor de serviço. Antes que a entrega seja bem-sucedida, a política de acesso deve conceder WRITE acesso ao nome config.amazonaws.com principal. AWS Config é então o proprietário dos objetos que ele entrega ao bucket do S3. Você deve anexar uma política de acesso, mencionada na etapa 6 abaixo, ao bucket do Amazon S3 em outra conta para conceder AWS Config
acesso ao bucket do Amazon S3.
Antes AWS Config pode entregar registros para seu bucket Amazon S3 AWS Config verifica se o bucket existe e em qual AWS região em que o bucket está localizado. AWS Config tenta chamar o Amazon S3 HeadBucketAPIpara verificar se o bucket existe e obter a região do bucket. Se as permissões não forem fornecidas para localizar o bucket quando a verificação de localização for executada, você verá AccessDenied um erro em AWS CloudTrail troncos. No entanto, a entrega de logs para o bucket do S3 será bem-sucedida se você não fornecer permissões para localização do bucket.
nota
Para permitir a permissão para o Amazon S3 HeadBucketAPI, forneça permissão para realizar a s3:ListBucket ação como o SidAWSConfigBucketExistenceCheck, mencionado na etapa 6 abaixo.
Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis vinculados ao serviço
A ferramenta AWS Config a função vinculada ao serviço não tem permissão para colocar objetos nos buckets do Amazon S3. Então, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará itens de configuração como AWS Config principal de serviço em vez disso. Você precisará anexar uma política de acesso, mencionada na etapa 6 abaixo, ao bucket do Amazon S3 em sua própria conta ou em outra conta para conceder AWS Config acesso ao bucket do Amazon S3.
Concessão AWS Config acesso ao Amazon S3 Bucket
Siga estas etapas para adicionar uma política de acesso a um bucket do S3 em sua própria conta ou em outra conta. A política de acesso permite AWS Config para enviar informações de configuração para um bucket do Amazon S3.
-
Faça login no AWS Management Console usando a conta que tem o bucket S3.
Abra o console do Amazon S3 em. https://console.aws.amazon.com/s3/
-
Selecione o bucket que você deseja AWS Config para usar para entregar itens de configuração e, em seguida, escolha Propriedades.
-
Escolha Permissões.
-
Escolha Edit Bucket Policy (Editar política de bucket).
-
Copie a seguinte política na janela Bucket Policy Editor (Editor de políticas de bucket):
Importante
Como prática recomendada de segurança ao permitir AWS Config acesso a um bucket do Amazon S3, recomendamos fortemente que você restrinja o acesso na política de bucket com a
AWS:SourceAccountcondição. Se sua política de bucket atual não seguir essa prática recomendada de segurança, recomendamos que você a edite para incluir essa proteção. Isso garante que AWS Config recebe acesso somente em nome dos usuários esperados.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "AWS:SourceAccount": "sourceAccountID" } } } ] }nota
Ao conceder permissões para sua IAM função em vez de AWS Config nome principal do serviço (SPN), certifique-se de que sua IAM função tenha
PutObjectACLpermissão no bucket entre contas para evitar erros de permissão insuficientes. Veja IAM um exemplo de política de funções em IAMPolítica de função para seu bucket S3. -
Substitua os seguintes valores na política do bucket:
-
amzn-s3-demo-bucket— O nome do bucket Amazon S3 para o qual AWS Config entregará itens de configuração. -
[optional] prefix— Uma adição opcional à chave de objeto do Amazon S3 que ajuda a criar uma organização semelhante a uma pasta no bucket. -
sourceAccountID— O ID da conta para a qual AWS Config entregará itens de configuração para o bucket de destino.
-
-
Escolha Save (Salvar) e Close (Fechar).
Você pode usar a condição AWS:SourceAccount na política de bucket do Amazon S3 acima para restringir a entidade principal de serviço do Config para interagir somente com o bucket do S3 ao realizar operações em nome de contas específicas. Se você planeja configurar AWS Config em muitas contas da mesma organização para entregar itens de configuração em um único bucket do Amazon S3, recomendamos o uso de IAM funções em vez de funções vinculadas a serviços para que você possa usar AWS Organizations chaves de condições, comoAWS:PrincipalOrgID. Para obter mais informações sobre o gerenciamento de permissões de acesso para uma IAM função a ser usada com AWS Config, consulte Permissões para a IAM função atribuída a AWS Config. Para obter mais informações sobre o gerenciamento de permissões de acesso para AWS Organizations, consulte Gerenciamento de permissões de acesso para seu AWS organização.
AWS Config também suporta a AWS:SourceArn condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de pessoas específicas AWS Config canais de entrega. Ao usar o AWS Config principal do serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do canal de entrega e sourceAccountID é o ID da conta que contém o canal de entrega. Para obter mais informações sobre as AWS Config canais de entrega, consulte Gerenciamento do canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1 da conta 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
