Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal - AWS Config
Bei der Verwendung von IAM RollenBei Verwendung von servicegebundenen Rollen AWS Config Zugriff gewähren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für den Amazon S3 S3-Bucket für den AWS Config Lieferkanal

Wichtig

Auf dieser Seite geht es darum, den Amazon S3 S3-Bucket für den AWS Config Lieferkanal einzurichten. Auf dieser Seite geht es nicht um den AWS::S3::Bucket Ressourcentyp, den der AWS Config Konfigurationsrekorder aufzeichnen kann. Weitere Informationen zum AWS Config Bereitstellungskanal finden Sie unter Den Lieferkanal verwalten.

Standardmäßig werden alle Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourcenbesitzer, der den Bucket erstellt hat AWS-Konto , kann auf diesen Bucket zugreifen. Der Ressourceninhaber kann jedoch Zugriffsberechtigungen für weitere Ressourcen und Benutzer erteilen. Das Schreiben einer Zugriffsrichtlinie ist eine Möglichkeit dazu.

Wenn automatisch ein Amazon S3 S3-Bucket für Sie AWS Config erstellt wird (wenn Sie beispielsweise die AWS Config Konsole verwenden, um Ihren Lieferkanal einzurichten), werden diese Berechtigungen automatisch dem Amazon S3 S3-Bucket hinzugefügt. Wenn Sie jedoch einen vorhandenen Amazon-S3-Bucket angeben, müssen Sie sicherstellen, dass der S3-Bucket über die richtigen Berechtigungen verfügt.

Anmerkung

Ein Objekt erbt nicht die Berechtigungen von seinem Bucket. Wenn Sie beispielsweise einen Bucket erstellen und einem Benutzer Schreibzugriff erteilen, können Sie auf die Objekte dieses Benutzers nicht zugreifen, wenn Ihnen der Benutzer nicht explizit Zugriff erteilt.

Erforderliche Berechtigungen für den Amazon S3 S3-Bucket bei der Verwendung von IAM Rollen

Wenn Konfigurationsinformationen (Verlaufsdateien und Snapshots) an den Amazon S3 S3-Bucket in Ihrem Konto AWS Config gesendet werden, nimmt dieser die IAM Rolle an, die Sie bei der Einrichtung AWS Config zugewiesen haben. Beim AWS Config Senden von Konfigurationsinformationen an einen Amazon S3 S3-Bucket in einem anderen Konto wird zunächst versucht, die IAM Rolle zu verwenden. Dieser Versuch schlägt jedoch fehl, wenn die Zugriffsrichtlinie für den Bucket keinen WRITE Zugriff auf die IAM Rolle gewährt. AWS Config Sendet die Informationen in diesem Fall erneut, diesmal als AWS Config Service Principal. Bevor die Übermittlung erfolgreich sein kann, muss die Zugriffsrichtlinie WRITE Zugriff auf den config.amazonaws.com Prinzipalnamen gewähren. AWS Config ist dann der Besitzer der Objekte, die es an den S3-Bucket liefert. Sie müssen an den Amazon-S3-Bucket in einem anderen Konto eine Zugriffsrichtlinie anfügen (siehe Schritt 6 unten), um AWS Config Zugriff auf den Amazon-S3-Bucket zu erteilen.

Before AWS Config can deliver logs to your Amazon S3 Bucket AWS Config prüft, ob der Bucket existiert und in welcher AWS Region sich der Bucket befindet. AWS Config versucht, Amazon S3 aufzurufen HeadBucketAPI, um zu überprüfen, ob der Bucket existiert, und um die Bucket-Region abzurufen. Wenn bei der Standortüberprüfung keine Berechtigungen zum Auffinden des Buckets bereitgestellt werden, wird in den AWS CloudTrail Protokollen ein AccessDenied Fehler angezeigt. Die Übergabe des Protokolls an Ihren Amazon-S3-Bucket ist jedoch selbst dann erfolgreich, wenn Sie keine Berechtigungen zum Auffinden der Bucket-Position angeben.

Anmerkung

Um die Erlaubnis für Amazon S3 zu erteilen HeadBucketAPI, geben Sie die Erlaubnis, die s3:ListBucket Aktion als Sid auszuführenAWSConfigBucketExistenceCheck, wie in Schritt 6 unten beschrieben.

Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen

Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, Objekte in Amazon S3 S3-Buckets abzulegen. Wenn Sie also eine serviceverknüpfte Rolle einrichten AWS Config , AWS Config werden stattdessen Konfigurationselemente als AWS Config Service Principal gesendet. Sie müssen dem Amazon S3-Bucket in Ihrem eigenen Konto oder einem anderen Konto eine Zugriffsrichtlinie hinzufügen, die in Schritt 6 unten beschrieben wird, um AWS Config Zugriff auf den Amazon S3 S3-Bucket zu gewähren.

AWS Config Zugriff auf den Amazon S3 S3-Bucket gewähren

Gehen Sie wie folgt vor, um einem Amazon-S3-Bucket in Ihrem eigenen oder einem anderen Konto eine Zugriffsrichtlinie hinzuzufügen. Die Zugriffsrichtlinie ermöglicht AWS Config das Senden von Konfigurationsinformationen an einen Amazon S3 S3-Bucket.

  1. Melden Sie sich AWS Management Console mit dem Konto an, das den S3-Bucket hat.

  2. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  3. Wählen Sie den Bucket aus, den Sie AWS Config für die Lieferung von Konfigurationselementen verwenden möchten, und wählen Sie dann Eigenschaften.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Wählen Sie Edit Bucket Policy.

  6. Kopieren Sie die folgende Richtlinie in das Fenster Bucket Policy Editor (Richtlinien-Editor für Buckets):

    Wichtig

    Als bewährte Sicherheitsmethode beim Zulassen des AWS Config Zugriffs auf einen Amazon S3 S3-Bucket empfehlen wir dringend, den Zugriff in der Bucket-Richtlinie mit der AWS:SourceAccount Bedingung einzuschränken. Wenn Ihre vorhandene Bucket-Richtlinie dieser bewährten Sicherheitsmethode nicht entspricht, sollten Sie die Bucket-Richtlinie unbedingt so bearbeiten, dass sie diesen Schutz enthält. Dadurch AWS Config wird sichergestellt, dass der Zugriff nur für die erwarteten Benutzer gewährt wird.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    Anmerkung

    Wenn Sie Ihrer IAM Rolle anstelle von AWS Config Service Principal Name (SPN) Berechtigungen erteilen, stellen Sie sicher, dass Ihre IAM Rolle über die entsprechenden PutObjectACL Berechtigungen für den kontoübergreifenden Bucket verfügt, um Fehler bei unzureichenden Berechtigungen zu vermeiden. Ein Beispiel für IAM eine Rollenrichtlinie finden Sie unter. IAMRollenrichtlinie für Ihren S3-Bucket

  7. Ersetzen Sie die folgenden Werte in der Bucket-Richtlinie:

    • amzn-s3-demo-bucket — Der Name des Amazon S3 S3-Buckets, an den Konfigurationselemente geliefert AWS Config werden.

    • [optional] prefix — Eine optionale Ergänzung zum Amazon S3 S3-Objektschlüssel, mit deren Hilfe eine ordnerähnliche Organisation im Bucket erstellt werden kann.

    • sourceAccountID — Die ID des Kontos, für das Konfigurationselemente an den Ziel-Bucket gesendet AWS Config werden.

  8. Wählen Sie Save (Speichern) und dann Close (Schließen) aus.

Sie können die Bedingung AWS:SourceAccount in der Amazon-S3-Bucket-Richtlinie oben verwenden, um den Config-Service-Prinzipal so zu beschränken, dass er nur mit dem Amazon-S3-Bucket interagiert, wenn er Operationen für bestimmte Konten ausführt. Wenn Sie planen, viele Konten derselben Organisation einzurichten AWS Config , um Konfigurationselemente an einen einzelnen Amazon S3 S3-Bucket zu liefern, empfehlen wir, IAM Rollen anstelle von serviceverknüpften Rollen zu verwenden, damit Sie AWS Organizations Bedingungsschlüssel wie AWS:PrincipalOrgID verwenden können. Weitere Informationen zur Verwaltung der Zugriffsberechtigungen für eine IAM Rolle zur Verwendung mit finden Sie unter Berechtigungen für die IAM Rolle AWS Config, der zugewiesen AWS Config wurde. Weitere Informationen zur Verwaltung von Zugriffsberechtigungen für AWS Organizations finden Sie unter Zugriffsberechtigungen für Ihre AWS Organisation verwalten.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, dass der Config-Serviceprinzipal nur dann mit dem Amazon S3 S3-Bucket interagiert, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als AWS:SourceArn Eigenschaft immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:* wo sich die Region des Lieferkanals sourceRegion befindet. Dabei sourceAccountID handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanälen finden Sie unter Verwaltung des Lieferkanals. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1 des Kontos 123456789012 mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.