Autorisations pour le compartiment Amazon S3 pour AWS Config Canal de livraison - AWS Config
Lorsque vous utilisez IAM des rôlesLors de l'utilisation de rôles liés à un serviceOctroi AWS Config accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour le compartiment Amazon S3 pour AWS Config Canal de livraison

Important

Cette page traite de la configuration du compartiment Amazon S3 pour AWS Config canal de livraison. Cette page ne traite pas du type de AWS::S3::Bucket ressource que AWS Config l'enregistreur de configuration peut enregistrer. Pour plus d'informations sur AWS Config canal de diffusion, voir Gestion du canal de diffusion.

Par défaut, tous les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource, qui est Compte AWS qui a créé le compartiment peut accéder à ce compartiment. Le propriétaire de la ressource peut toutefois accorder des autorisations d'accès à d'autres ressources et à d'autres utilisateurs. Une solution consiste à écrire une stratégie d'accès.

If AWS Config crée automatiquement un compartiment Amazon S3 pour vous (par exemple, si vous utilisez AWS Config console pour configurer votre canal de diffusion), ces autorisations sont automatiquement ajoutées au compartiment Amazon S3. Toutefois, si vous spécifiez un compartiment Amazon S3 existant, vous devez vous assurer que le compartiment S3 dispose des autorisations appropriées.

Note

un objet n'hérite pas des autorisations de son compartiment. Par exemple, si vous créez un compartiment et accordez un accès en écriture à un utilisateur, vous ne pouvez pas accéder à ses objets sauf s'il vous accorde explicitement l'accès.

Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de IAM rôles

Lorsque AWS Config envoie des informations de configuration (fichiers d'historique et instantanés) au compartiment Amazon S3 de votre compte, il assume le IAM rôle que vous avez attribué lors de la configuration AWS Config. Quand AWS Config envoie des informations de configuration à un compartiment Amazon S3 d'un autre compte, il tente d'abord d'utiliser le IAM rôle, mais cette tentative échoue si la politique d'accès du compartiment n'accorde pas l'WRITEaccès au IAM rôle. Dans ce cas, AWS Config envoie à nouveau les informations, cette fois en tant que AWS Config principal de service. Pour que la livraison puisse réussir, la politique d'accès doit autoriser l'WRITEaccès au nom config.amazonaws.com principal. AWS Config est alors le propriétaire des objets qu'il livre au compartiment S3. Vous devez joindre une politique d'accès, mentionnée à l'étape 6 ci-dessous, au compartiment Amazon S3 d'un autre compte pour accorder AWS Config accès au compartiment Amazon S3.

Avant AWS Config peut envoyer des journaux à votre compartiment Amazon S3 AWS Config vérifie si le compartiment existe et dans lequel AWS région dans laquelle se trouve le bucket. AWS Config tente d'appeler Amazon S3 HeadBucketAPIpour vérifier si le compartiment existe et pour obtenir la région du compartiment. Si aucune autorisation n'est fournie pour localiser le compartiment lors de la vérification de localisation, une AccessDenied erreur s'affiche dans AWS CloudTrail journaux. Toutefois, la diffusion des journaux est effectuée dans votre compartiment Amazon S3 si vous ne fournissez pas d'autorisations sur l'emplacement de ce dernier.

Note

Pour autoriser l'Amazon S3 HeadBucketAPI, autorisez l'exécution de l's3:ListBucketaction en tant que SidAWSConfigBucketExistenceCheck, comme indiqué à l'étape 6 ci-dessous.

Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de rôles liés à un service

Le AWS Config le rôle lié à un service n'est pas autorisé à placer des objets dans des compartiments Amazon S3. Donc, si vous configurez AWS Config en utilisant un rôle lié à un service, AWS Config enverra les éléments de configuration en tant que AWS Config principal de service à la place. Vous devrez joindre une politique d'accès, mentionnée à l'étape 6 ci-dessous, au compartiment Amazon S3 dans votre propre compte ou sur un autre compte pour accorder AWS Config accès au compartiment Amazon S3.

Octroi AWS Config accès au compartiment Amazon S3

Suivez les étapes ci-dessous pour ajouter une stratégie d'accès au compartiment Amazon S3 dans votre propre compte ou dans un autre compte. La politique d'accès permet AWS Config pour envoyer des informations de configuration à un compartiment Amazon S3.

  1. Connectez-vous au AWS Management Console en utilisant le compte qui possède le compartiment S3.

  2. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  3. Sélectionnez le compartiment que vous souhaitez AWS Config à utiliser pour fournir des éléments de configuration, puis choisissez Propriétés.

  4. Choisissez Autorisations.

  5. Choisissez Modifier la stratégie de compartiment.

  6. Copiez la stratégie suivante dans la fenêtre Éditeur de stratégie de compartiment :

    Important

    En tant que meilleure pratique de sécurité lorsque vous autorisez AWS Config accès à un compartiment Amazon S3, nous vous recommandons vivement de restreindre l'accès dans la politique de compartiment à AWS:SourceAccount cette condition. Si votre politique de compartiment existante ne suit pas cette bonne pratique de sécurité, nous vous recommandons vivement de la modifier pour inclure cette protection. Cela garantit que AWS Config est autorisé à accéder uniquement au nom des utilisateurs attendus.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    Note

    Lorsque vous accordez des autorisations à votre IAM rôle au lieu de AWS Config nom principal du service (SPN), assurez-vous que votre IAM rôle dispose d'une PutObjectACL autorisation sur le bucket multi-comptes afin d'éviter une erreur d'autorisation insuffisante. Consultez un exemple de politique de IAM rôle à l'adresse IAMPolitique de rôle pour votre compartiment S3.

  7. Remplacez les valeurs suivantes dans la stratégie de compartiment :

    • amzn-s3-demo-bucket — Le nom du compartiment Amazon S3 vers lequel AWS Config fournira des éléments de configuration.

    • [optional] prefix — Un ajout facultatif à la clé d'objet Amazon S3 qui permet de créer une organisation semblable à un dossier dans le compartiment.

    • sourceAccountID — L'identifiant du compte pour lequel AWS Config fournira les éléments de configuration au compartiment cible.

  8. Choisissez Enregistrer, puis Fermer.

Vous pouvez utiliser la condition AWS:SourceAccount de la politique de compartiment Amazon S3 susmentionnée pour limiter le principal du service Config, en lui permettant uniquement d'interagir avec le compartiment Amazon S3 lorsqu'il effectue des opérations au nom de comptes spécifiques. Si vous envisagez de configurer AWS Config dans de nombreux comptes de la même organisation pour fournir des éléments de configuration à un seul compartiment Amazon S3, nous vous recommandons d'utiliser IAM des rôles plutôt que des rôles liés à un service afin que vous puissiez utiliser AWS Organizations des clés de conditions telles queAWS:PrincipalOrgID. Pour plus d'informations sur la gestion des autorisations d'accès pour un IAM rôle à utiliser avec AWS Config, voir Autorisations pour le IAM rôle attribué à AWS Config. Pour plus d'informations sur la gestion des autorisations d'accès pour AWS Organizations, voir Gestion des autorisations d'accès pour votre AWS organisation.

AWS Config prend également en charge la AWS:SourceArn condition qui interdit au principal du service Config d'interagir uniquement avec le compartiment Amazon S3 lorsqu'il effectue des opérations pour le compte de AWS Config canaux de distribution. Lorsque vous utilisez le AWS Config principal du service, la AWS:SourceArn propriété sera toujours définie arn:aws:config:sourceRegion:sourceAccountID:* comme sourceRegion étant la région du canal de livraison et sourceAccountID l'identifiant du compte contenant le canal de livraison. Pour plus d'informations sur AWS Config canaux de diffusion, voir Gestion du canal de diffusion. Ajoutez par exemple la condition suivante pour limiter le principal du service Config en lui permettant d'interagir avec votre compartiment Amazon S3 uniquement pour le compte d'un canal de livraison dans la région us-east-1 du compte 123456789012 :"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.