Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Permisos para la clave KMS del canal AWS Config de entrega

PDF
RSS
Modo de enfoque
Permisos para la clave KMS del canal AWS Config de entrega - AWS Config
Cuando se usan los roles de IAMCuando se usan los roles vinculados a serviciosOtorgar el AWS Config acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice la información de este tema si desea crear una política para una AWS KMS clave para su depósito de S3 que le permita utilizar el cifrado basado en KMS en los objetos entregados AWS Config por el depósito de S3.

Permisos necesarios para la clave de KMS si se utilizan roles de IAM (entrega de buckets de S3)

Si lo configuras AWS Config con un rol de IAM, puedes adjuntar la siguiente política de permisos a la clave de KMS:


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
nota

Si el rol de IAM, la política del bucket de Amazon S3 o la AWS KMS clave no proporcionan el acceso adecuado AWS Config, se producirá AWS Config un error al intentar enviar la información de configuración al bucket de Amazon S3. En este caso, vuelve AWS Config a enviar la información, esta vez como principal del AWS Config servicio. En este caso, debe adjuntar una política de permisos, que se menciona a continuación, a la AWS KMS clave para permitir el AWS Config acceso y usarla cuando entregue información al bucket de Amazon S3.

Permisos necesarios para la AWS KMS clave cuando se utilizan funciones vinculadas al servicio (S3 Bucket Delivery)

El rol AWS Config vinculado al servicio no tiene permiso para acceder a la clave. AWS KMS Por lo tanto, si lo configuras AWS Config con un rol vinculado a un servicio, en su lugar AWS Config enviará la información como responsable del AWS Config servicio. Deberá adjuntar una política de acceso, que se menciona a continuación, a la AWS KMS clave para conceder el AWS Config acceso y poder AWS KMS utilizarla cuando entregue información al bucket de Amazon S3.

Otorgar AWS Config acceso a la AWS KMS clave

Esta política permite AWS Config utilizar una AWS KMS clave al entregar información a un bucket de Amazon S3.

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Cambie los siguientes valores de la política de claves:

  • myKMSKeyARN— El ARN de la AWS KMS clave utilizada para cifrar los datos del bucket de Amazon S3 al que se AWS Config entregarán los elementos de configuración a.

  • sourceAccountID— El ID de la cuenta a la que se AWS Config entregarán los elementos de configuración.

Puedes usar la AWS:SourceAccount condición de la política AWS KMS clave anterior para restringir que el director del servicio Config solo interactúe con la AWS KMS clave cuando realice operaciones en nombre de cuentas específicas.

AWS Config también admite la AWS:SourceArn condición que restringe al director del servicio Config a interactuar únicamente con el bucket de Amazon S3 cuando realiza operaciones en nombre de canales de AWS Config entrega específicos. Al usar el AWS Config servicio principal, la AWS:SourceArn propiedad siempre estará configurada arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del canal de entrega y sourceAccountID en el ID de la cuenta que contiene el canal de entrega. Para obtener más información sobre los canales de AWS Config entrega, consulte Administración del canal de entrega. Por ejemplo, añada la siguiente condición para restringir que la entidad principal del servicio de Config interactúe con su bucket de Amazon S3 únicamente en nombre de un canal de entrega de la región us-east-1 de la cuenta 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.