Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos para el rol de IAM asignado a AWS Config
Un rol de IAM le permite definir un conjunto de permisos. AWS Config asume la función que se le asigna para escribir en su bucket de S3, publicar en su tema de SNS y realizar solicitudes `Describe` o solicitudes a la `List` API para obtener detalles de configuración de sus AWS recursos. Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) en la *guía del usuario de IAM*.
Cuando utilizas la AWS Config consola para crear o actualizar un rol de IAM, te asigna AWS Config automáticamente los permisos necesarios. Para obtener más información, consulte [Configuración de AWS Config con la consola](gs-console.md).
**Políticas y resultados de cumplimiento**
Las [políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) y [otras políticas administradas en AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) pueden afectar a los permisos de AWS Config para registrar cambios de configuración para los recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.
**Contents**
+ [Creación de políticas de roles de IAM](#iam-role-policies)
+ [Adición de una política de confianza de IAM a su rol](#iam-trust-policy)
+ [Política de roles de IAM para el bucket de S3](#iam-role-policies-S3-bucket)
+ [Política de roles de IAM para la clave de KMS](#iam-role-policies-S3-kms-key)
+ [Política de roles de IAM para temas de Amazon SNS](#iam-role-policies-sns-topic)
+ [Política de roles de IAM para obtener datos de configuración](#iam-role-policies-describe-apis)
+ [Administración de permisos para el registro de buckets de S3](#troubleshooting-recording-s3-bucket-policy)
## Creación de políticas de roles de IAM
Cuando utiliza la AWS Config consola para crear un rol de IAM, le asigna AWS Config automáticamente los permisos necesarios al rol.
Si lo utiliza AWS CLI para configurar AWS Config o actualizar un rol de IAM existente, debe actualizar manualmente la política para poder acceder AWS Config a su bucket de S3, publicar en su tema de SNS y obtener los detalles de configuración de sus recursos.
### Adición de una política de confianza de IAM a su rol
Puede crear una política de confianza de IAM que le permita asumir una función y utilizarla AWS Config para realizar un seguimiento de sus recursos. Para obtener más información sobre las políticas de confianza, consulte [Términos y conceptos de roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) en la *Guía del usuario de IAM*.
El siguiente es un ejemplo de política de confianza para los AWS Config roles:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Puede utilizar la condición `AWS:SourceAccount` de la relación de confianza del rol de IAM anterior para restringir que la entidad principal del servicio de Config solo interactúe con el rol de AWS IAM cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la `AWS:SourceArn` condición que restringe al director del servicio Config a asumir únicamente la función de IAM cuando realiza operaciones en nombre de la cuenta propietaria. Cuando se utiliza la AWS Config entidad principal de servicio, la `AWS:SourceArn` propiedad siempre se establece `arn:aws:config:sourceRegion:sourceAccountID:*` en `sourceRegion` la región del registrador de configuración gestionado por el cliente y `sourceAccountID` en el identificador de la cuenta que contiene el registrador de configuración gestionado por el cliente.
Por ejemplo, agregue la siguiente condición para hacer que la entidad principal del servicio Config solo asuma el rol de IAM en nombre de un registrador de configuración administrado por el cliente en la región `us-east-1` de la cuenta `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
### Política de roles de IAM para el bucket de S3
El siguiente ejemplo de política otorga AWS Config permiso para acceder a su bucket de S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Política de roles de IAM para la clave de KMS
El siguiente ejemplo de política otorga AWS Config permiso para usar el cifrado basado en KMS en nuevos objetos para la entrega de cubos en S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Política de roles de IAM para temas de Amazon SNS
El siguiente ejemplo de política otorga AWS Config permiso para acceder a tu tema de SNS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Si el tema de SNS se cifra para instrucciones adicionales sobre la configuración, consulte [Configuración de los permisos de AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
### Política de roles de IAM para obtener datos de configuración
Se recomienda utilizar el rol AWS Config vinculado al servicio:. `AWSServiceRoleForConfig` Los roles vinculados al servicio están predefinidos e incluyen todos los permisos necesarios para llamar a otros AWS Config . Servicios de AWS El rol AWS Config vinculado al servicio es obligatorio para los grabadores de configuración vinculados al servicio. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Si crea o actualiza un rol con la consola, AWS Config lo adjunta automáticamente. **AWSServiceRoleForConfig**
Si utiliza el AWS CLI, utilice el `attach-role-policy` comando y especifique el nombre de recurso de Amazon (ARN) para: **AWSServiceRoleForConfig**
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Administración de permisos para el registro de buckets de S3
AWS Config registra y envía notificaciones cuando se crea, actualiza o elimina un bucket de S3.
Se recomienda utilizar el rol AWS Config vinculado al servicio:. `AWSServiceRoleForConfig` Los roles vinculados al servicio están predefinidos e incluyen todos los permisos necesarios para llamar a otros AWS Config . Servicios de AWS El rol AWS Config vinculado al servicio es obligatorio para los grabadores de configuración vinculados al servicio. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).