Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Berechtigungen für die IAM-Rolle, die zugewiesen wurden AWS Config
<a name="iamrole-permissions"></a>

Mit einer IAM-Rolle können Sie eine Reihe von Berechtigungen definieren. AWS Config übernimmt die Rolle, die Sie ihr zuweisen, um in Ihren S3-Bucket zu schreiben, in Ihrem SNS-Thema zu veröffentlichen und Anfragen `Describe` oder `List` API-Anfragen zu stellen, um Konfigurationsdetails für Ihre AWS Ressourcen abzurufen. Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) im *IAM-Benutzerhandbuch*.

Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen oder zu aktualisieren, fügt sie AWS Config automatisch die erforderlichen Berechtigungen für Sie hinzu. Weitere Informationen finden Sie unter [Einrichtung AWS Config mit der Konsole](gs-console.md).

**Richtlinien und Compliance-Ergebnisse**  
[IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [andere Richtlinien, die in verwaltet werden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html), AWS Organizations können sich darauf auswirken, ob Sie AWS Config berechtigt sind, Konfigurationsänderungen für Ihre Ressourcen aufzuzeichnen. Darüber hinaus bewerten Regeln direkt die Konfiguration einer Ressource, und Regeln berücksichtigen diese Richtlinien bei der Durchführung von Evaluierungen nicht. Stellen Sie sicher, dass die geltenden Richtlinien mit der Art und Weise übereinstimmen, wie Sie sie verwenden möchten AWS Config.

**Contents**
+ [Erstellen von IAM-Rollenrichtlinien](#iam-role-policies)
  + [Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle](#iam-trust-policy)
  + [IAM-Rollenrichtlinie für Ihren S3-Bucket](#iam-role-policies-S3-bucket)
  + [IAM-Rollenrichtlinie für KMS-Schlüssel](#iam-role-policies-S3-kms-key)
  + [IAM-Rollenrichtlinie für ein Amazon-SNS-Thema](#iam-role-policies-sns-topic)
  + [IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails](#iam-role-policies-describe-apis)
  + [Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung](#troubleshooting-recording-s3-bucket-policy)

## Erstellen von IAM-Rollenrichtlinien
<a name="iam-role-policies"></a>

Wenn Sie die AWS Config Konsole verwenden, um eine IAM-Rolle zu erstellen, AWS Config werden der Rolle automatisch die erforderlichen Berechtigungen für Sie zugewiesen. 

Wenn Sie die AWS CLI zum Einrichten AWS Config oder Aktualisieren einer vorhandenen IAM-Rolle verwenden, müssen Sie die Richtlinie manuell aktualisieren, damit AWS Config Sie auf Ihren S3-Bucket zugreifen, in Ihrem SNS-Thema veröffentlichen und Konfigurationsdetails zu Ihren Ressourcen abrufen können.

### Hinzufügen einer IAM-Vertrauensrichtlinie für Ihre Rolle
<a name="iam-trust-policy"></a>

Sie können eine IAM-Vertrauensrichtlinie erstellen, die es Ihnen ermöglicht, eine Rolle anzunehmen und diese AWS Config zur Nachverfolgung Ihrer Ressourcen zu verwenden. Weitere Informationen zu Vertrauensrichtlinien finden Sie unter [Rollenbegriffe und -Konzepte](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) im *IAM-Benutzerhandbuch*.

Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für AWS Config Rollen:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
```

------

Sie können die obige Bedingung `AWS:SourceAccount` in der IAM-Rollenvertrauensbeziehung verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit der AWS -IAM-Rolle interagiert, wenn er Operationen für bestimmte Konten ausführt.

AWS Config unterstützt auch die `AWS:SourceArn` Bedingung, dass der Config-Dienstprinzipal nur dann die IAM-Rolle übernimmt, wenn er Operationen im Namen des Eigentümerkontos ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als `AWS:SourceArn` Eigenschaft immer festgelegt, `arn:aws:config:sourceRegion:sourceAccountID:*` wo sich die Region des vom Kunden verwalteten Konfigurationsrekorders `sourceRegion` befindet. Dabei `sourceAccountID` handelt es sich um die ID des Kontos, das den vom Kunden verwalteten Konfigurationsrekorder enthält.

Fügen Sie beispielsweise die folgende Bedingung hinzu, beschränken Sie den Config-Dienstprinzipal so, dass er die IAM-Rolle nur im Namen eines vom Kunden verwalteten Konfigurationsrekorders in der `us-east-1` Region des Kontos übernimmt`123456789012`:`"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.

### IAM-Rollenrichtlinie für Ihren S3-Bucket
<a name="iam-role-policies-S3-bucket"></a>

Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihren S3-Bucket zuzugreifen:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}
```

------

### IAM-Rollenrichtlinie für KMS-Schlüssel
<a name="iam-role-policies-S3-kms-key"></a>

Die folgende Beispielrichtlinie erteilt die AWS Config Erlaubnis, KMS-basierte Verschlüsselung für neue Objekte für die S3-Bucket-Lieferung zu verwenden:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
        }
    ]
}
```

------

### IAM-Rollenrichtlinie für ein Amazon-SNS-Thema
<a name="iam-role-policies-sns-topic"></a>

Die folgende Beispielrichtlinie gewährt die AWS Config Erlaubnis, auf Ihr SNS-Thema zuzugreifen:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
     }
    ]
}
```

------

Wenn Ihr SNS-Thema verschlüsselt ist, finden Sie zusätzliche Anweisungen zur Einrichtung im Thema [Konfigurieren von AWS KMS -Berechtigungen](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) im *Entwicklerhandbuch für Amazon Simple Notification Service*.

### IAM-Rollenrichtlinie für den Abruf von Konfigurationsdetails
<a name="iam-role-policies-describe-apis"></a>

Es wird empfohlen, die AWS Config dienstverknüpfte Rolle zu verwenden:. `AWSServiceRoleForConfig` Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich. Weitere Informationen finden Sie unter [Verwenden von Service-verknüpften Rollen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).

Wenn Sie eine Rolle mit der Konsole erstellen oder aktualisieren, AWS Config hängt die für Sie an. **AWSServiceRoleForConfig**

Wenn Sie den verwenden AWS CLI, verwenden Sie den `attach-role-policy` Befehl und geben Sie den Amazon-Ressourcennamen (ARN) an für **AWSServiceRoleForConfig**:

```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```

### Verwaltung von Berechtigungen für die S3-Bucket-Aufzeichnung
<a name="troubleshooting-recording-s3-bucket-policy"></a>

AWS Config zeichnet Benachrichtigungen auf und sendet Benachrichtigungen, wenn ein S3-Bucket erstellt, aktualisiert oder gelöscht wird.

Es wird empfohlen, die AWS Config serviceverknüpfte Rolle zu verwenden:`AWSServiceRoleForConfig`. Dienstbezogene Rollen sind vordefiniert und enthalten alle Berechtigungen, die zum Aufrufen anderer Rollen AWS Config erforderlich sind. AWS-Services Die AWS Config dienstverknüpfte Rolle ist für dienstverknüpfte Konfigurationsrekorder erforderlich. Weitere Informationen finden Sie unter [Verwenden von Service-verknüpften Rollen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).