Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Berechtigungen für den KMS-Schlüssel für den AWS Config Delivery Channel

PDF
RSS
Fokusmodus
Berechtigungen für den KMS-Schlüssel für den AWS Config Delivery Channel - AWS Config
Bei Verwendung von IAM-RollenBei Verwendung von servicegebundenen Rollen AWS Config Zugriff gewähren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie die Informationen in diesem Thema, wenn Sie eine Richtlinie für einen AWS KMS Schlüssel für Ihren S3-Bucket erstellen möchten, die es Ihnen ermöglicht, KMS-basierte Verschlüsselung für Objekte zu verwenden, die von AWS Config für die S3-Bucket-Zustellung bereitgestellt wurden.

Erforderliche Berechtigungen für den KMS-Schlüssel bei Verwendung von IAM-Rollen (S3-Bucket-Übermittlung)

Wenn Sie die Einrichtung AWS Config mithilfe einer IAM-Rolle einrichten, können Sie die folgende Berechtigungsrichtlinie an den KMS-Schlüssel anhängen:


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
Anmerkung

Wenn die IAM-Rolle, die Amazon S3 S3-Bucket-Richtlinie oder der AWS KMS Schlüssel keinen angemessenen Zugriff auf ermöglichen AWS Config, schlägt AWS Config der Versuch fehl, Konfigurationsinformationen an den Amazon S3 S3-Bucket zu senden. In diesem Fall AWS Config sendet er die Informationen erneut, diesmal als AWS Config Service Principal. In diesem Fall müssen Sie dem Schlüssel eine unten aufgeführte Berechtigungsrichtlinie beifügen, um AWS Config Zugriff auf die Verwendung des AWS KMS Schlüssels bei der Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.

Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery)

Die AWS Config serviceverknüpfte Rolle ist nicht berechtigt, auf den AWS KMS Schlüssel zuzugreifen. Wenn Sie also eine dienstbezogene AWS Config Rolle einrichten, AWS Config werden Informationen stattdessen als AWS Config Dienstprinzipal gesendet. Sie müssen dem Schlüssel eine unten aufgeführte Zugriffsrichtlinie beifügen, um Zugriff AWS Config auf die Verwendung des AWS KMS Schlüssels bei der AWS KMS Übermittlung von Informationen an den Amazon S3 S3-Bucket zu gewähren.

AWS Config Zugriff auf den AWS KMS Schlüssel gewähren

Diese Richtlinie ermöglicht AWS Config die Verwendung eines AWS KMS Schlüssels bei der Übermittlung von Informationen an einen Amazon S3 S3-Bucket

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Ersetzen Sie die folgenden Werte in der Schlüsselrichtlinie:

  • myKMSKeyARN— Der ARN des AWS KMS Schlüssels, der zur Verschlüsselung von Daten im Amazon S3 S3-Bucket verwendet AWS Config wird, an den Konfigurationselemente geliefert werden.

  • sourceAccountID— Die ID des Kontos, für das Konfigurationselemente geliefert AWS Config werden.

Sie können die AWS:SourceAccount Bedingung in der obigen AWS KMS Schlüsselrichtlinie verwenden, um den Config-Dienstprinzipal so zu beschränken, dass er nur mit dem AWS KMS Schlüssel interagiert, wenn er Operationen für bestimmte Konten ausführt.

AWS Config unterstützt auch die AWS:SourceArn Bedingung, dass der Config-Serviceprinzipal nur dann mit dem Amazon S3 S3-Bucket interagiert, wenn er Operationen im Namen bestimmter AWS Config Lieferkanäle ausführt. Wenn Sie den AWS Config Service Principal verwenden, wird als AWS:SourceArn Eigenschaft immer festgelegt, arn:aws:config:sourceRegion:sourceAccountID:* wo sich die Region des Lieferkanals sourceRegion befindet. Dabei sourceAccountID handelt es sich um die ID des Kontos, das den Lieferkanal enthält. Weitere Informationen zu AWS Config Lieferkanälen finden Sie unter Verwaltung des Lieferkanals. Fügen Sie beispielsweise die folgende Bedingung hinzu, um den Config-Service-Prinzipal so zu beschränken, dass er nur im Namen eines Übermittlungskanals in der Region us-east-1 des Kontos 123456789012 mit Ihrem Amazon-S3-Bucket interagiert: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.