Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para el IAM rol asignado a AWS Config
Un IAM rol te permite definir un conjunto de permisos. AWS Config asume la función que se le asigna para escribir en su bucket de S3, publicar en su SNS tema y realizar Describe List API solicitudes para obtener los detalles de configuración de sus AWS recursos. Para obtener más información sobre IAM las funciones, consulte IAMlas funciones en la Guía del IAM usuario.
Cuando utiliza la AWS Config consola para crear o actualizar un IAM rol, le asigna AWS Config automáticamente los permisos necesarios. Para obtener más información, consulte Configuración AWS Config con la consola.
Contenido
Creación de políticas de roles de IAM
Cuando utiliza la AWS Config consola para crear un IAM rol, le asigna AWS Config automáticamente los permisos necesarios al rol.
Si lo utiliza AWS CLI para configurar AWS Config o actualizar un IAM rol existente, debe actualizar manualmente la política para poder acceder AWS Config a su bucket de S3, publicar en su SNS tema y obtener los detalles de configuración de sus recursos.
Añadir una política de IAM confianza a su rol
Puede crear una política de IAM confianza que le permita AWS Config asumir un rol y utilizarla para realizar un seguimiento de sus recursos. Para obtener más información sobre las políticas de confianza, consulte los términos y conceptos de las funciones en la Guía del IAM usuario.
A continuación se muestra un ejemplo de política de confianza para AWS Config los roles:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Puede usar la AWS:SourceAccount condición de la relación de confianza del IAM rol anterior para restringir que el director del servicio Config solo interactúe con el AWS
IAM rol cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la AWS:SourceArn condición que restringe al director del servicio Config a asumir el IAM rol únicamente cuando realiza operaciones en nombre de la cuenta propietaria. Cuando se utiliza AWS Config el servidor principal, la AWS:SourceArn propiedad siempre se establece arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del registrador de configuración y sourceAccountID en el identificador de la cuenta que contiene el registrador de configuración. Para obtener más información sobre el grabador AWS Config de configuración, consulte Administración del grabador de configuración. Por ejemplo, agregue la siguiente condición: restrinja al director del servicio Config para que solo asuma el IAM rol en nombre de un grabador de configuración en la us-east-1 región de la cuenta123456789012:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
IAMPolítica de roles para su bucket de S3
El siguiente ejemplo de política otorga AWS Config permiso para acceder a su bucket de S3:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }
IAMPolítica de roles para KMS Key
El siguiente ejemplo de política otorga AWS Config permiso para usar el cifrado KMS basado en nuevos objetos para la entrega de cubos en S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
IAMPolítica de funciones para Amazon SNS Topic
El siguiente ejemplo de política otorga AWS Config permiso para acceder a tu SNS tema:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
Si su SNS tema está cifrado para obtener instrucciones de configuración adicionales, consulte Configuración de AWS KMS permisos en la Guía para desarrolladores de Amazon Simple Notification Service.
IAMPolítica de roles para obtener los detalles de configuración
Para registrar las configuraciones AWS de los recursos, AWS Config necesita IAM permisos para obtener los detalles de configuración de los recursos.
Utilice la política AWS gestionada AWS_ ConfigRole y adjúntela al IAM rol al que se le asigne AWS Config. AWS actualiza esta política cada vez que AWS Config añade compatibilidad con un tipo de AWS recurso, lo que significa que AWS Config seguirá teniendo los permisos necesarios para obtener los detalles de configuración siempre que el rol tenga asociada esta política administrada.
Si creas o actualizas un rol con la consola, AWS Config adjunta el AWS_ ConfigRole automáticamente.
Si usa el AWS CLI, use el attach-role-policy comando y especifique el nombre del recurso de Amazon (ARN) para AWS_ ConfigRole:
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Administración de permisos para el registro de buckets de S3
AWS Config registra y envía notificaciones cuando se crea, actualiza o elimina un bucket de S3.
Se recomienda utilizar una función AWSServiceRoleForConfig (consulte Uso de funciones vinculadas a servicios para ver AWS Config) o una IAM función personalizada que utilice la política AWS_ConfigRole gestionada. Para obtener más información sobre las prácticas recomendadas de registro de la configuración, consulte Prácticas recomendadas de AWS Config
Si necesitas gestionar los permisos a nivel de objeto para el registro de tu bucket, asegúrate de que la política de bucket de S3 proporcione config.amazonaws.com (el nombre principal del AWS Config servicio) acceso a todos los permisos relacionados con S3 de la política gestionada. AWS_ConfigRole Para obtener más información, consulte Permisos para el bucket de Amazon S3.
