Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen für die IAM Rolle, die zugewiesen sind AWS Config
Mit einer IAM Rolle können Sie eine Reihe von Berechtigungen definieren. AWS Config nimmt die Rolle an, die Sie ihr zuweisen, um in Ihren S3-Bucket zu schreiben, zu Ihrem SNS Thema zu veröffentlichen und Anfragen zu stellen Describe
oder List
API Anfragen zum Abrufen von Konfigurationsdetails für Ihre AWS Ressourcen zu stellen. Weitere Informationen zu IAM Rollen finden Sie unter IAMRollen im IAMBenutzerhandbuch.
Wenn Sie die AWS Config Konsole verwenden, um eine IAM Rolle zu erstellen oder zu aktualisieren, fügt sie Ihnen AWS Config automatisch die erforderlichen Berechtigungen zu. Weitere Informationen finden Sie unter Einrichtung AWS Config mit der Konsole.
Inhalt
Erstellen von IAM-Rollenrichtlinien
Wenn Sie die AWS Config Konsole verwenden, um eine IAM Rolle zu erstellen, fügt der Rolle AWS Config automatisch die erforderlichen Berechtigungen für Sie zu.
Wenn Sie die AWS CLI zum Einrichten AWS Config oder Aktualisieren einer vorhandenen IAM Rolle verwenden, müssen Sie die Richtlinie manuell aktualisieren, damit AWS Config Sie auf Ihren S3-Bucket zugreifen, Beiträge zu Ihrem SNS Thema veröffentlichen und Konfigurationsdetails zu Ihren Ressourcen abrufen können.
Ihrer Rolle eine IAM Vertrauensrichtlinie hinzufügen
Sie können eine IAM Vertrauensrichtlinie erstellen, die es Ihnen ermöglicht, eine Rolle AWS Config zu übernehmen und sie zur Nachverfolgung Ihrer Ressourcen zu verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie im IAMBenutzerhandbuch unter Begriffe und Konzepte für Rollen.
Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für AWS Config Rollen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
Sie können die AWS:SourceAccount
Bedingung in der obigen IAM Rollenvertrauensbeziehung verwenden, um den Config-Dienstprinzipal so zu beschränken, dass er nur mit der AWS
IAM Rolle interagiert, wenn er Operationen für bestimmte Konten ausführt.
AWS Config unterstützt auch die AWS:SourceArn
Bedingung, die den Config-Dienstprinzipal darauf beschränkt, die IAM Rolle nur zu übernehmen, wenn er Operationen im Namen des Eigentümerkontos ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird die AWS:SourceArn
Eigenschaft immer auf die Region gesetzt, arn:aws:config:sourceRegion:sourceAccountID:*
in der sourceRegion
sich der Konfigurationsrekorder sourceAccountID
befindet, und auf die ID des Kontos, das den Konfigurationsrekorder enthält. Weitere Informationen zum AWS Config Konfigurationsrekorder finden Sie unter Den Konfigurationsrekorder verwalten. Fügen Sie beispielsweise die folgende Bedingung hinzu, beschränken Sie den Config-Dienstprinzipal so, dass er die IAM Rolle nur im Namen eines Konfigurationsrekorders in der us-east-1
Region des Kontos übernimmt123456789012
:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
.
IAMRollenrichtlinie für Ihren S3-Bucket
Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihren S3-Bucket zuzugreifen:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
myBucketName
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName
" } ] }
IAMRollenrichtlinie für KMS Key
Die folgende Beispielrichtlinie erteilt die AWS Config Erlaubnis, die KMS basierte Verschlüsselung für neue Objekte für die S3-Bucket-Lieferung zu verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
IAMRollenrichtlinie für Amazon SNS Topic
Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihr SNS Thema zuzugreifen:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
Wenn Ihr SNS Thema verschlüsselt ist, finden Sie weitere Anweisungen zur Einrichtung unter Configuring AWS KMS Permissions im Amazon Simple Notification Service Developer Guide.
IAMRollenrichtlinie für das Abrufen von Konfigurationsdetails
Um Ihre AWS Ressourcenkonfigurationen aufzuzeichnen, AWS Config sind IAM Berechtigungen zum Abrufen der Konfigurationsdetails zu Ihren Ressourcen erforderlich.
Verwenden Sie die AWS verwaltete Richtlinie AWS_ ConfigRole und fügen Sie sie der IAM Rolle hinzu, der Sie sie zuweisen AWS Config. AWS aktualisiert diese Richtlinie jedes Mal, wenn Unterstützung für einen AWS Ressourcentyp AWS Config hinzugefügt AWS Config wird. Das bedeutet, dass Sie weiterhin über die erforderlichen Berechtigungen zum Abrufen von Konfigurationsdetails verfügen, solange der Rolle diese verwaltete Richtlinie zugewiesen ist.
Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, AWS Config hängt das AWS_ ConfigRole für Sie an.
Wenn Sie den verwenden AWS CLI, verwenden Sie den attach-role-policy
Befehl und geben Sie den Amazon-Ressourcennamen (ARN) für AWS_ anConfigRole:
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung
AWS Config zeichnet Benachrichtigungen auf und sendet Benachrichtigungen, wenn ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.
Es wird empfohlen, entweder die AWSServiceRoleForConfig
(siehe Verwenden von dienstverknüpften Rollen für AWS Config) oder eine benutzerdefinierte IAM Rolle zu verwenden, die die AWS_ConfigRole
verwaltete Richtlinie verwendet. Weitere Informationen zu bewährten Methoden für die Aufzeichnung von Konfigurationen finden Sie unter Bewährte Methoden für AWS Config
Wenn Sie Berechtigungen auf Objektebene für Ihre Bucket-Aufzeichnung verwalten müssen, stellen Sie sicher, dass in der S3-Bucket-Richtlinie config.amazonaws.com
(der AWS Config Dienstprinzipalname) Zugriff auf alle S3-bezogenen Berechtigungen aus der AWS_ConfigRole
verwalteten Richtlinie gewährt wird. Weitere Informationen finden Sie unter Berechtigungen für den Amazon-S3-Bucket.