Autorisations pour le IAM rôle attribué à AWS Config - AWS Config
Création de stratégies de rôle IAMGestion des autorisations pour l'enregistrement du compartiment S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour le IAM rôle attribué à AWS Config

Un IAM rôle vous permet de définir un ensemble d'autorisations. AWS Config assume le rôle que vous lui attribuez pour écrire dans votre compartiment S3, publier dans votre SNS rubrique et effectuer Describe ou List API demander des informations de configuration pour vos AWS ressources. Pour plus d'informations sur IAM les rôles, consultez la section IAMRôles du guide de IAM l'utilisateur.

Lorsque vous utilisez la AWS Config console pour créer ou mettre à jour un IAM rôle, les autorisations requises vous sont AWS Config automatiquement associées. Pour de plus amples informations, veuillez consulter Configuration à l' AWS Config aide de la console.

Création de stratégies de rôle IAM

Lorsque vous utilisez la AWS Config console pour créer un IAM rôle, les autorisations requises sont AWS Config automatiquement associées au rôle pour vous.

Si vous utilisez le AWS CLI pour configurer AWS Config ou si vous mettez à jour un IAM rôle existant, vous devez mettre à jour manuellement la politique pour autoriser l'accès AWS Config à votre compartiment S3, publier sur votre SNS rubrique et obtenir les détails de configuration de vos ressources.

Ajouter une politique de IAM confiance à votre rôle

Vous pouvez créer une politique de IAM confiance qui permet AWS Config d'assumer un rôle et de l'utiliser pour suivre vos ressources. Pour plus d'informations sur les politiques de confiance, consultez la section Termes et concepts relatifs aux rôles dans le Guide de IAM l'utilisateur.

Voici un exemple de politique de confiance pour les AWS Config rôles :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Vous pouvez utiliser la AWS:SourceAccount condition de la relation IAM Role Trust ci-dessus pour empêcher le principal du service Config d'interagir uniquement avec le AWS IAM rôle lorsqu'il effectue des opérations pour le compte de comptes spécifiques.

AWS Config prend également en charge la AWS:SourceArn condition qui empêche le principal du service Config d'assumer le IAM rôle uniquement lorsqu'il effectue des opérations pour le compte propriétaire. Lorsque vous utilisez le principal de AWS Config service, la AWS:SourceArn propriété sera toujours définie sur la région de l'enregistreur de configuration et sourceAccountID sur l'ID du compte contenant l'enregistreur de configuration. arn:aws:config:sourceRegion:sourceAccountID:* sourceRegion Pour plus d'informations sur l'enregistreur AWS Config de configuration, voir Gestion de l'enregistreur de configuration. Par exemple, ajoutez la condition suivante pour empêcher le principal du service Config d'assumer le IAM rôle uniquement pour le compte d'un enregistreur de configuration de la us-east-1 région du compte 123456789012 :"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

IAMPolitique de rôle pour votre compartiment S3

L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre compartiment S3 :

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::myBucketName"
    }
  ]
}

IAMPolitique de rôle pour KMS Key

L'exemple de politique suivant AWS Config autorise l'utilisation du chiffrement KMS basé sur de nouveaux objets pour la livraison du compartiment S3 :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

IAMPolitique des rôles pour Amazon SNS Topic

L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre SNS sujet :

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Si votre SNS sujet est crypté pour obtenir des instructions de configuration supplémentaires, consultez la section Configuration AWS KMS des autorisations dans le guide du développeur Amazon Simple Notification Service.

IAMPolitique de rôle pour l'obtention des détails de configuration

Pour enregistrer vos configurations de AWS ressources, vous AWS Config avez besoin d'IAMautorisations pour obtenir les détails de configuration de vos ressources.

Utilisez la politique AWS gérée AWS_ ConfigRole et associez-la au IAM rôle que vous attribuez AWS Config. AWS met à jour cette politique chaque fois qu'elle AWS Config ajoute la prise en charge d'un type de AWS ressource, ce qui signifie que nous AWS Config continuerons à disposer des autorisations requises pour obtenir les détails de configuration tant que cette politique gérée est attachée au rôle.

Si vous créez ou mettez à jour un rôle avec la console, AWS Config attachez le AWS_ ConfigRole pour vous.

Si vous utilisez le AWS CLI, utilisez la attach-role-policy commande et spécifiez le nom de ressource Amazon (ARN) pour AWS_ ConfigRole :

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Gestion des autorisations pour l'enregistrement du compartiment S3

AWS Config enregistre et envoie des notifications lorsqu'un compartiment S3 est créé, mis à jour ou supprimé.

Il est recommandé d'utiliser le AWSServiceRoleForConfig (voir Utilisation des rôles liés à un service pour AWS Config) ou un IAM rôle personnalisé utilisant la politique AWS_ConfigRole gérée. Pour plus d'informations sur les bonnes pratiques en matière d'enregistrement de configuration, consultez Bonnes pratiques AWS Config.

Si vous devez gérer les autorisations au niveau de l'objet pour l'enregistrement de votre compartiment, assurez-vous, dans la politique du compartiment S3, de fournir config.amazonaws.com (le nom principal du AWS Config service) un accès à toutes les autorisations associées à S3 issues de la politique AWS_ConfigRole gérée. Pour de plus d'informations, consultez Autorisations pour le compartiment Amazon S3.