Berechtigungen für den Amazon S3 S3-Bucket für AWS Config Übermittlungskanal - AWS Config
Bei der Verwendung von IAM RollenBei Verwendung von servicegebundenen RollenGewährung AWS Config access

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für den Amazon S3 S3-Bucket für AWS Config Übermittlungskanal

Wichtig

Auf dieser Seite geht es um die Einrichtung des Amazon S3 S3-Buckets für AWS Config Lieferkanal. Auf dieser Seite geht es nicht um den AWS::S3::Bucket Ressourcentyp, den AWS Config Der Konfigurationsrekorder kann aufzeichnen. Für weitere Informationen über AWS Config Lieferkanal finden Sie unter Den Lieferkanal verwalten.

Standardmäßig werden alle Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Besitzer der Ressource, das ist AWS-Konto der den Bucket erstellt hat, kann auf diesen Bucket zugreifen. Der Ressourceninhaber kann jedoch Zugriffsberechtigungen für weitere Ressourcen und Benutzer erteilen. Das Schreiben einer Zugriffsrichtlinie ist eine Möglichkeit dazu.

Wenn AWS Config erstellt automatisch einen Amazon S3 S3-Bucket für Sie (z. B. wenn Sie AWS Config Konsole zum Einrichten Ihres Lieferkanals), werden diese Berechtigungen automatisch zum Amazon S3 S3-Bucket hinzugefügt. Wenn Sie jedoch einen vorhandenen Amazon-S3-Bucket angeben, müssen Sie sicherstellen, dass der S3-Bucket über die richtigen Berechtigungen verfügt.

Anmerkung

Ein Objekt erbt nicht die Berechtigungen von seinem Bucket. Wenn Sie beispielsweise einen Bucket erstellen und einem Benutzer Schreibzugriff erteilen, können Sie auf die Objekte dieses Benutzers nicht zugreifen, wenn Ihnen der Benutzer nicht explizit Zugriff erteilt.

Erforderliche Berechtigungen für den Amazon S3 S3-Bucket bei der Verwendung von IAM Rollen

Wann AWS Config sendet Konfigurationsinformationen (Verlaufsdateien und Snapshots) an den Amazon S3 S3-Bucket in Ihrem Konto. Er nimmt die IAM Rolle an, die Sie bei der Einrichtung zugewiesen haben AWS Config. Wann AWS Config sendet Konfigurationsinformationen an einen Amazon S3 S3-Bucket in einem anderen Konto und versucht zunächst, die IAM Rolle zu verwenden. Dieser Versuch schlägt jedoch fehl, wenn die Zugriffsrichtlinie für den Bucket keinen WRITE Zugriff auf die IAM Rolle gewährt. In diesem Fall AWS Config sendet die Informationen erneut, diesmal als AWS Config Dienstleiter. Bevor die Bereitstellung erfolgreich sein kann, muss die Zugriffsrichtlinie WRITE Zugriff auf den config.amazonaws.com Prinzipalnamen gewähren. AWS Config ist dann der Besitzer der Objekte, die es an den S3-Bucket liefert. Sie müssen dem Amazon S3 S3-Bucket in einem anderen Konto eine Zugriffsrichtlinie hinzufügen, die in Schritt 6 unten beschrieben wird, um sie zu gewähren AWS Config Zugriff auf den Amazon S3 S3-Bucket.

Vor AWS Config kann Logs an Ihren Amazon S3 S3-Bucket liefern AWS Config prüft, ob und in welchem Bucket der Bucket existiert AWS Region, in der sich der Bucket befindet. AWS Config versucht, Amazon S3 aufzurufen HeadBucketAPI, um zu überprüfen, ob der Bucket existiert, und um die Bucket-Region abzurufen. Wenn bei der Standortüberprüfung keine Berechtigungen zum Auffinden des Buckets bereitgestellt werden, wird ein AccessDenied Fehler in angezeigt AWS CloudTrail Logs. Die Übergabe des Protokolls an Ihren Amazon-S3-Bucket ist jedoch selbst dann erfolgreich, wenn Sie keine Berechtigungen zum Auffinden der Bucket-Position angeben.

Anmerkung

Um die Erlaubnis für Amazon S3 zu erteilen HeadBucketAPI, geben Sie die Erlaubnis, die s3:ListBucket Aktion als Sid auszuführenAWSConfigBucketExistenceCheck, wie in Schritt 6 unten beschrieben.

Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen

Das Tool AWS Config Die serviceverknüpfte Rolle ist nicht berechtigt, Objekte in Amazon S3 S3-Buckets abzulegen. Also, wenn Sie einrichten AWS Config mithilfe einer serviceverknüpften Rolle AWS Config sendet Konfigurationselemente als AWS Config Stattdessen Service Principal. Sie müssen dem Amazon S3 S3-Bucket in Ihrem eigenen Konto oder einem anderen Konto, das Sie gewähren möchten, eine Zugriffsrichtlinie, wie in Schritt 6 unten beschrieben, anhängen AWS Config Zugriff auf den Amazon S3 S3-Bucket.

Gewährung AWS Config Zugriff auf den Amazon S3 Bucket

Gehen Sie wie folgt vor, um einem Amazon-S3-Bucket in Ihrem eigenen oder einem anderen Konto eine Zugriffsrichtlinie hinzuzufügen. Die Zugriffsrichtlinie ermöglicht AWS Config um Konfigurationsinformationen an einen Amazon S3 S3-Bucket zu senden.

  1. Melden Sie sich an bei AWS Management Console mit dem Konto, das den S3-Bucket hat.

  2. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  3. Wählen Sie den gewünschten Bucket aus AWS Config zur Bereitstellung von Konfigurationselementen verwenden, und wählen Sie dann Eigenschaften aus.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Wählen Sie Edit Bucket Policy.

  6. Kopieren Sie die folgende Richtlinie in das Fenster Bucket Policy Editor (Richtlinien-Editor für Buckets):

    Wichtig

    Als bewährte Sicherheitsmethode beim Zulassen AWS Config Wenn Sie Zugriff auf einen Amazon S3 S3-Bucket haben, empfehlen wir dringend, den Zugriff in der Bucket-Richtlinie mit der AWS:SourceAccount Bedingung einzuschränken. Wenn Ihre vorhandene Bucket-Richtlinie dieser bewährten Sicherheitsmethode nicht entspricht, sollten Sie die Bucket-Richtlinie unbedingt so bearbeiten, dass sie diesen Schutz enthält. Dadurch wird sichergestellt, dass AWS Config wird nur im Namen der erwarteten Benutzer Zugriff gewährt.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    Anmerkung

    Wenn Sie Ihrer IAM Rolle Berechtigungen gewähren, anstatt AWS Config Stellen Sie sicher, dass Ihre IAM Rolle über PutObjectACL Berechtigungen für einen kontoübergreifenden Bucket verfügt, um Fehler bei unzureichenden Berechtigungen zu vermeiden. SPN Ein Beispiel für IAM eine Rollenrichtlinie finden Sie unter. IAMRollenrichtlinie für Ihren S3-Bucket

  7. Ersetzen Sie die folgenden Werte in der Bucket-Richtlinie:

    • amzn-s3-demo-bucket — Der Name des Amazon S3 S3-Buckets, zu dem AWS Config liefert Konfigurationselemente.

    • [optional] prefix — Eine optionale Ergänzung zum Amazon S3 S3-Objektschlüssel, mit deren Hilfe eine ordnerähnliche Organisation im Bucket erstellt werden kann.

    • sourceAccountID — Die ID des Kontos, für das AWS Config liefert Konfigurationselemente an den Ziel-Bucket.

  8. Wählen Sie Save (Speichern) und dann Close (Schließen) aus.

Sie können die Bedingung AWS:SourceAccount in der Amazon-S3-Bucket-Richtlinie oben verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit dem Amazon-S3-Bucket interagiert, wenn er Operationen für bestimmte Konten ausführt. Wenn Sie die Einrichtung planen AWS Config Für viele Konten derselben Organisation empfehlen wir, für die Bereitstellung von Konfigurationselementen an einen einzelnen Amazon S3 S3-Bucket IAM Rollen anstelle von serviceverknüpften Rollen zu verwenden, damit Sie AWS Organizations Schlüssel für Bedingungen wieAWS:PrincipalOrgID. Weitere Informationen zur Verwaltung von Zugriffsberechtigungen für eine IAM Rolle zur Verwendung mit AWS Config, siehe Berechtigungen für die IAM Rolle, die zugewiesen ist AWS Config. Weitere Informationen zur Verwaltung von Zugriffsberechtigungen für AWS Organizations, siehe Verwaltung von Zugriffsberechtigungen für AWS Organisation.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, die den Config-Serviceprinzipal darauf beschränkt, nur mit dem Amazon S3 S3-Bucket zu interagieren, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle. Bei der Verwendung des AWS Config Service Principal, als AWS:SourceArn Eigenschaft wird immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:* wo sich die Region des Lieferkanals sourceRegion befindet. Dabei sourceAccountID handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanäle, siehe Den Lieferkanal verwalten. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1 des Kontos 123456789012 mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.