Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations relatives à la KMS clé du canal AWS Config de diffusion

Utilisez les informations de cette rubrique si vous souhaitez créer une politique pour une AWS KMS clé pour votre compartiment S3 qui vous permette d'utiliser le chiffrement KMS basé sur les objets fournis par AWS Config pour la livraison du compartiment S3.

Autorisations requises pour la KMS clé lors de l'utilisation de IAM rôles (livraison du compartiment S3)

Si vous configurez AWS Config en utilisant un IAM rôle, vous pouvez associer la politique d'autorisation suivante à la KMS clé :

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}

Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3)

Le rôle AWS Config lié au service n'est pas autorisé à accéder à la AWS KMS clé. Ainsi, si vous configurez AWS Config en utilisant un rôle lié à un service, il AWS Config enverra des informations en tant que principal de AWS Config service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la AWS KMS clé pour autoriser AWS Config l'utilisation de la AWS KMS clé lors de la transmission d'informations au compartiment Amazon S3.

Octroi de l' AWS Config accès à la AWS KMS clé

Cette politique permet d' AWS Config utiliser une AWS KMS clé lors de la transmission d'informations à un compartiment Amazon S3

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Remplacez les valeurs suivantes dans la stratégie de clé :

Vous pouvez utiliser la AWS:SourceAccount condition de la politique de AWS KMS clé ci-dessus pour empêcher le principal du service Config d'interagir uniquement avec la AWS KMS clé lorsqu'il effectue des opérations pour le compte de comptes spécifiques.

AWS Config prend également en charge la AWS:SourceArn condition qui interdit au principal du service Config d'interagir uniquement avec le compartiment Amazon S3 lorsqu'il effectue des opérations pour le compte de canaux de AWS Config distribution spécifiques. Lorsque vous utilisez le principal de AWS Config service, la AWS:SourceArn propriété sera toujours définie comme sourceRegion étant la région du canal de livraison et sourceAccountID l'identifiant du compte contenant le canal de livraison. arn:aws:config:sourceRegion:sourceAccountID:* Pour plus d'informations sur les canaux AWS Config de diffusion, consultez la section Gestion du canal de diffusion. Ajoutez par exemple la condition suivante pour limiter le principal du service Config en lui permettant d'interagir avec votre compartiment Amazon S3 uniquement pour le compte d'un canal de livraison dans la région us-east-1 du compte 123456789012 :"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.