Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Permisos del bucket de Amazon S3 para el canal AWS Config de entrega

PDF
RSS
Modo de enfoque
Permisos del bucket de Amazon S3 para el canal AWS Config de entrega - AWS Config
Cuando se usan los roles de IAMCuando se usan los roles vinculados a serviciosConcesión de AWS Config accesoEntrega entre cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

importante

Esta página trata sobre cómo configurar el Amazon S3 Bucket para el canal AWS Config de entrega. Esta página no trata sobre el tipo AWS::S3::Bucket de recurso que puede grabar la grabadora de AWS Config configuración.

Los buckets y objetos de Amazon S3 son privados de forma predeterminada. Solo la persona Cuenta de AWS que creó el bucket (el propietario del recurso) tiene permisos de acceso. Los propietarios de los recursos pueden conceder acceso a otros recursos y usuarios mediante la creación de políticas de acceso.

Cuando crea AWS Config automáticamente un bucket de S3 para usted, añade los permisos necesarios. Sin embargo, si especifica un depósito de S3 existente, debe añadir estos permisos manualmente.

Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles de IAM

AWS Config utiliza la función de IAM que asignó al registrador de configuración para enviar el historial de configuración y las instantáneas a los depósitos de S3 de su cuenta. Para la entrega entre cuentas, AWS Config primero intenta usar la función de IAM asignada. Si la política de bucket no permite el WRITE acceso a la función de IAM, AWS Config utiliza la config.amazonaws.com función principal de servicio. La política de bucket debe permitir el WRITE acceso a config.amazonaws.com para completar la entrega. Tras una entrega correcta, AWS Config conserva la propiedad de todos los objetos que entrega al depósito multicuenta de S3.

AWS Config llama a la HeadBucketAPI de Amazon S3 con la función de IAM que asignó al registrador de configuración para confirmar si el bucket de S3 existe y su ubicación. Si no tiene los permisos necesarios AWS Config para confirmarlo, aparecerá un AccessDenied error en sus AWS CloudTrail registros. Sin embargo, AWS Config puede seguir proporcionando el historial de configuración y las instantáneas aunque AWS Config no disponga de los permisos necesarios para confirmar la existencia del bucket de S3 y su ubicación.

Permisos mínimos

La HeadBucket API de Amazon S3 requiere la s3:ListBucket acción con Sid (ID de declaración)AWSConfigBucketExistenceCheck.

Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados a servicios

El rol AWS Config vinculado al servicio no tiene permiso para colocar objetos en los buckets de Amazon S3. Si lo configura AWS Config mediante un rol vinculado a un servicio, AWS Config utilizará el principal de config.amazonaws.com servicio para entregar el historial de configuración y las instantáneas. La política de compartimentos de S3 de su cuenta o de los destinos de varias cuentas debe incluir permisos para que el director del AWS Config servicio escriba objetos.

Concesión de AWS Config acceso al Amazon S3 Bucket

Complete los siguientes pasos AWS Config para enviar el historial de configuración y las instantáneas a un bucket de Amazon S3.

  1. Inicie sesión AWS Management Console con la cuenta que tiene el bucket de S3.

  2. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  3. Seleccione el depósito que quiere usar AWS Config para entregar los elementos de configuración y, a continuación, elija Propiedades.

  4. Elige Permisos.

  5. Elija Edit Bucket Policy.

  6. Copie la siguiente política en la ventana Bucket Policy Editor (Editor de política de bucket):

    Prácticas recomendadas de seguridad

    Le recomendamos encarecidamente que restrinja el acceso a la política de depósitos con AWS:SourceAccount esta condición. Esto garantiza que AWS Config se conceda el acceso únicamente en nombre de los usuarios esperados.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

  7. Cambie los siguientes valores de la política del bucket:

    • amzn-s3-demo-bucket— Nombre del bucket de Amazon S3 donde se AWS Config entregarán el historial de configuración y las instantáneas.

    • [optional] prefix— Una adición opcional a la clave de objeto de Amazon S3 que ayuda a crear una organización similar a una carpeta en el bucket.

    • sourceAccountID— ID de la cuenta en la que se AWS Config entregarán el historial de configuración y las instantáneas.

  8. Elija Save (Guardar) y, a continuación, Close (Cerrar).

La AWS:SourceAccount condición restringe las AWS Config operaciones a lo especificado. Cuentas de AWS Para las configuraciones de varias cuentas dentro de una organización que realizan entregas en un único segmento de S3, utilice funciones de IAM con claves de AWS Organizations condiciones en lugar de funciones vinculadas al servicio. Por ejemplo, AWS:PrincipalOrgID. Para obtener más información, consulte Administrar los permisos de acceso de una organización en la Guía del usuario.AWS Organizations

La AWS:SourceArn condición restringe AWS Config las operaciones a canales de entrega específicos. El AWS:SourceArn formato es el siguiente:arn:aws:config:sourceRegion:123456789012.

Por ejemplo, para restringir el acceso al bucket de S3 a un canal de entrega de la región EE.UU. Este (Virginia del Norte) para la cuenta 123456789012, añada la siguiente condición:

"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}

Permisos necesarios para el bucket de Amazon S3 al realizar entregas entre cuentas

Si AWS Config está configurado para entregar el historial de configuración y las instantáneas a un bucket de Amazon S3 en una cuenta diferente (configuración multicuenta), donde el registrador de configuración y el bucket de S3 especificado para el canal de entrega son diferentes Cuentas de AWS, se requieren los siguientes permisos:

  • La función de IAM que asigne al grabador de configuración necesita un permiso explícito para realizar la operación. s3:ListBucket Esto se debe a que AWS Config llama a la HeadBucketAPI de Amazon S3 con esta función de IAM para determinar la ubicación del bucket.

  • La política de bucket de S3 debe incluir los permisos tanto para el AWS Config servicio principal como para el rol de IAM asignado al registrador de configuración.

A continuación, se muestra un ejemplo de configuración de política de bucket:

{
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com",
        "AWS": "IAM Role-Arn assigned to the configuartion recorder"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
}

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.