Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para la KMS clave del AWS Config Canal de entrega
Utilice la información de este tema si desea crear una política para un AWS KMS clave para su depósito de S3 que le permite utilizar el cifrado KMS basado en los objetos entregados por AWS Config para la entrega de cubos en S3.
Contenido
Permisos necesarios para la KMS clave cuando se utilizan IAM roles (S3 Bucket Delivery)
Si configuras AWS Config si utiliza un IAM rol, puede adjuntar la siguiente política de permisos a la KMS clave:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
nota
Si el IAM rol, la política de bucket de Amazon S3 o AWS KMS la clave no proporciona el acceso adecuado a AWS Config, entonces AWS Config su intento de enviar la información de configuración al bucket de Amazon S3 fallará. En este caso, AWS Config envía la información de nuevo, esta vez como AWS Config director de servicio. En este caso, debe adjuntar una política de permisos, que se menciona a continuación, al AWS KMS clave para conceder AWS Config acceso para usar la clave al entregar información al bucket de Amazon S3.
Permisos necesarios para el AWS KMS Clave al utilizar funciones vinculadas a servicios (S3 Bucket Delivery)
La AWS Config el rol vinculado al servicio no tiene permiso para acceder al AWS KMS clave. Entonces, si configuras AWS Config utilizando un rol vinculado a un servicio, AWS Config enviará información como AWS Config en su lugar, el director de servicio. Deberá adjuntar una política de acceso, que se menciona a continuación, al AWS KMS clave para conceder AWS Config acceso para usar el AWS KMS clave a la hora de entregar información al bucket de Amazon S3.
Concesión AWS Config acceso a la AWS KMS Clave
Esta política permite AWS Config utilizar un AWS KMS clave a la hora de entregar información a un bucket de Amazon S3
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Cambie los siguientes valores de la política de claves:
-
myKMSKeyARN— El ARN del AWS KMS clave utilizada para cifrar los datos en el depósito de Amazon S3 que AWS Config entregará los elementos de configuración a. -
sourceAccountID— El ID de la cuenta para la que AWS Config entregará los elementos de configuración a.
Puede usar la AWS:SourceAccount condición en el AWS KMS política clave anterior para restringir que el director del servicio Config solo interactúe con AWS KMS clave cuando se realizan operaciones en nombre de cuentas específicas.
AWS Config también admite la AWS:SourceArn condición que restringe al director del servicio Config a interactuar únicamente con el bucket de Amazon S3 cuando realiza operaciones en nombre de determinadas AWS Config canales de entrega. Al usar el AWS Config principal del servicio, la AWS:SourceArn propiedad siempre se establecerá arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del canal de entrega y sourceAccountID es el ID de la cuenta que contiene el canal de entrega. Para obtener más información sobre las AWS Config canales de entrega, consulte Administración del canal de entrega. Por ejemplo, añada la siguiente condición para restringir que la entidad principal del servicio de Config interactúe con su bucket de Amazon S3 únicamente en nombre de un canal de entrega de la región us-east-1 de la cuenta 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
