Permissões para o bucket Amazon S3 para o AWS Config canal de entrega - AWS Config
Quando usar perfis do IAMQuando usar perfis vinculados ao serviçoConcedendo acesso AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para o bucket Amazon S3 para o AWS Config canal de entrega

Importante

Esta página trata da configuração do Amazon S3 Bucket para o canal de AWS Config entrega. Esta página não trata do tipo de AWS::S3::Bucket recurso que o gravador AWS Config de configuração pode registrar. Para obter mais informações sobre o canal AWS Config de entrega, consulte Gerenciando o canal de entrega.

Por padrão, todos os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso, que é a conta da AWS que criou o bucket, pode acessar esse bucket. No entanto, o proprietário do recurso pode conceder permissões de acesso a outros usuários e recursos. Uma maneira de fazer isso é escrever uma política de acesso.

Se AWS Config criar um bucket do Amazon S3 para você automaticamente (por exemplo, se você usar o AWS Config console para configurar seu canal de entrega), essas permissões serão adicionadas automaticamente ao bucket do Amazon S3. No entanto, se você especificar um bucket do S3 existente, garanta que esse bucket tenha as permissões corretas.

nota

Um objeto não herda as permissões de seu bucket. Por exemplo, se criar um bucket e conceder acesso de gravação a outro usuário, você não poderá acessar os objetos desse usuário, a menos que ele conceda o acesso explicitamente.

Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis do IAM

Quando AWS Config envia informações de configuração (arquivos de histórico e snapshots) para o bucket do Amazon S3 em sua conta, ele assume a função do IAM que você atribuiu ao configurar. AWS Config Quando o AWS Config enviar informações de configuração para um bucket do S3 em outra conta, ele tentará usar o perfil do IAM. No entanto, essa tentativa falhará se a política de acesso do bucket não conceder acesso WRITE ao perfil do IAM. Nesse caso, AWS Config envia as informações novamente, desta vez como responsável pelo AWS Config serviço. Antes que a entrega seja bem-sucedida, a política de acesso deve conceder WRITE acesso ao nome config.amazonaws.com principal. AWS Config é então o proprietário dos objetos que ele entrega ao bucket do S3. Você deve associar uma política de acesso, mencionada na etapa 6 abaixo, ao bucket do S3 em outra conta para conceder ao AWS Config acesso ao bucket do S3.

Antes de AWS Config poder entregar registros para seu bucket do Amazon S3, AWS Config verifique se o bucket existe e em qual AWS região o bucket está localizado. AWS Config tenta chamar a HeadBucketAPI do Amazon S3 para verificar se o bucket existe e obter a região do bucket. Se as permissões não forem fornecidas para localizar o bucket quando a verificação de localização for executada, você verá AccessDenied um erro nos AWS CloudTrail registros. No entanto, a entrega de logs para o bucket do S3 será bem-sucedida se você não fornecer permissões para localização do bucket.

nota

Para fornecer permissão à API HeadBucket do Amazon S3, conceda permissão para realizar a ação s3:ListBucket como o Sid AWSConfigBucketExistenceCheck, mencionado na etapa 6 abaixo.

Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis vinculados ao serviço

A função AWS Config vinculada ao serviço não tem permissão para colocar objetos nos buckets do Amazon S3. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará itens de configuração como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada na etapa 6 abaixo, ao bucket do Amazon S3 em sua própria conta ou em outra conta para conceder AWS Config acesso ao bucket do Amazon S3.

Concedendo AWS Config acesso ao Amazon S3 Bucket

Siga estas etapas para adicionar uma política de acesso a um bucket do S3 em sua própria conta ou em outra conta. A política de acesso permite AWS Config enviar informações de configuração para um bucket do Amazon S3.

  1. Faça login no AWS Management Console usando a conta que tem o bucket do S3.

  2. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  3. Selecione o bucket que você deseja usar AWS Config para entregar itens de configuração e, em seguida, escolha Propriedades.

  4. Escolha Permissões.

  5. Escolha Edit Bucket Policy (Editar política de bucket).

  6. Copie a seguinte política na janela Bucket Policy Editor (Editor de políticas de bucket):

    Importante

    Como melhor prática de segurança ao permitir o AWS Config acesso a um bucket do Amazon S3, recomendamos fortemente que você restrinja o acesso na política de bucket com a AWS:SourceAccount condição. Se sua política de bucket atual não seguir essa prática recomendada de segurança, recomendamos que você a edite para incluir essa proteção. Isso garante que o acesso AWS Config seja concedido somente em nome dos usuários esperados.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::targetBucketName",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    nota

    Ao conceder permissões para sua função do IAM em vez do nome principal do AWS Config serviço (SPN), certifique-se de que sua função do IAM tenha PutObjectACL permissão no bucket entre contas para evitar erros de permissão insuficientes. Veja uma amostra de uma política de perfil do IAM em Política de perfil do IAM para o bucket do S3.

  7. Substitua os seguintes valores na política do bucket:

    • targetBucketName— O nome do bucket do Amazon S3 para o qual AWS Config entregará os itens de configuração.

    • [opcional] prefix: um acréscimo opcional à chave de objeto do S3 que ajuda a criar uma organização semelhante a pastas no bucket.

    • sourceAccountID — O ID da conta para a qual AWS Config entregará os itens de configuração ao bucket de destino.

  8. Escolha Save (Salvar) e Close (Fechar).

Você pode usar a condição AWS:SourceAccount na política de bucket do Amazon S3 acima para restringir a entidade principal de serviço do Config para interagir somente com o bucket do S3 ao realizar operações em nome de contas específicas. Se você planeja configurar várias contas da mesma organização para entregar itens de configuração AWS Config em um único bucket do Amazon S3, recomendamos usar funções do IAM em vez de funções vinculadas ao serviço para que você possa usar chaves de AWS Organizations condições, como. AWS:PrincipalOrgID Para obter mais informações sobre o gerenciamento de permissões de acesso para usar com uma função do IAM AWS Config, consulte Permissões para a função do IAM atribuída AWS Config a. Para obter mais informações sobre como gerenciar permissões de acesso para AWS Organizations, consulte Gerenciando permissões de acesso para sua AWS organização.

AWS Config também suporta a AWS:SourceArn condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de canais de entrega específicos. AWS Config Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do canal de entrega e sourceAccountID é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte Gerenciando o canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1 da conta 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.