Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin untuk IAM Peran yang Ditugaskan AWS Config
IAMPeran memungkinkan Anda menentukan satu set izin. AWS Config mengasumsikan peran yang Anda tetapkan untuk menulis ke bucket S3 Anda, mempublikasikan ke SNS topik Anda, dan membuat Describe atau List API meminta untuk mendapatkan detail konfigurasi untuk sumber daya Anda. AWS Untuk informasi selengkapnya tentang IAM peran, lihat IAMPeran di Panduan IAM Pengguna.
Saat Anda menggunakan AWS Config konsol untuk membuat atau memperbarui IAM peran, AWS Config secara otomatis melampirkan izin yang diperlukan untuk Anda. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol.
Daftar Isi
Membuat Kebijakan IAM Peran
Saat Anda menggunakan AWS Config konsol untuk membuat IAM peran, AWS Config secara otomatis melampirkan izin yang diperlukan ke peran untuk Anda.
Jika Anda menggunakan AWS CLI untuk menyiapkan AWS Config atau memperbarui IAM peran yang ada, Anda harus memperbarui kebijakan secara manual agar AWS Config dapat mengakses bucket S3, memublikasikan ke SNS topik, dan mendapatkan detail konfigurasi tentang sumber daya Anda.
Menambahkan Kebijakan IAM Kepercayaan ke Peran Anda
Anda dapat membuat kebijakan IAM kepercayaan yang memungkinkan AWS Config untuk mengambil peran dan menggunakannya untuk melacak sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat Istilah dan konsep peran di Panduan IAM Pengguna.
Berikut ini adalah contoh kebijakan kepercayaan untuk AWS Config peran:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Anda dapat menggunakan AWS:SourceAccount kondisi dalam hubungan IAM Role Trust di atas untuk membatasi prinsipal layanan Config agar hanya berinteraksi dengan AWS
IAM Peran saat melakukan operasi atas nama akun tertentu.
AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi prinsip layanan Config untuk hanya mengambil IAM Peran saat melakukan operasi atas nama akun yang dimiliki. Saat menggunakan prinsip AWS Config layanan, AWS:SourceArn properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:* mana sourceRegion wilayah perekam konfigurasi dan sourceAccountID merupakan ID akun yang berisi perekam konfigurasi. Untuk informasi selengkapnya tentang Perekam AWS Config Konfigurasi lihat Mengelola Perekam Konfigurasi. Misalnya, tambahkan kondisi berikut, batasi prinsip layanan Config untuk hanya mengambil IAM Peran hanya atas nama perekam konfigurasi di wilayah us-east-1 di akun:. 123456789012 "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
IAMKebijakan Peran untuk Bucket S3 Anda
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses bucket S3 Anda:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" } ] }
IAMKebijakan Peran untuk KMS Kunci
Contoh kebijakan berikut memberikan AWS Config izin untuk menggunakan enkripsi KMS berbasis pada objek baru untuk pengiriman bucket S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
IAMKebijakan Peran untuk SNS Topik Amazon
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses SNS topik Anda:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
Jika SNS topik Anda dienkripsi untuk petunjuk penyiapan tambahan, lihat Mengonfigurasi AWS KMS Izin di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
IAMKebijakan Peran untuk Mendapatkan Detail Konfigurasi
Untuk merekam konfigurasi AWS sumber daya Anda, AWS Config memerlukan IAM izin untuk mendapatkan detail konfigurasi tentang sumber daya Anda.
Gunakan kebijakan AWS terkelola AWS_ConfigRoledan lampirkan ke IAM peran yang Anda tetapkan. AWS Config AWS memperbarui kebijakan ini setiap kali AWS Config menambahkan dukungan untuk jenis AWS sumber daya, yang berarti AWS Config akan terus memiliki izin yang diperlukan untuk mendapatkan detail konfigurasi selama peran tersebut memiliki kebijakan terkelola yang dilampirkan.
Jika Anda membuat atau memperbarui peran dengan konsol, AWS Config lampirkan AWS_ConfigRoleuntuk Anda.
Jika Anda menggunakan AWS CLI, gunakan attach-role-policy perintah dan tentukan Amazon Resource Name (ARN) untuk AWS_ConfigRole:
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Mengelola Izin untuk Perekaman Bucket S3
AWS Config merekam dan mengirimkan notifikasi saat bucket S3 dibuat, diperbarui, atau dihapus.
Anda disarankan untuk menggunakan AWSServiceRoleForConfig (lihat Menggunakan Peran Tertaut Layanan untuk AWS Config) atau IAM peran kustom yang menggunakan kebijakan AWS_ConfigRole terkelola. Untuk informasi selengkapnya tentang praktik terbaik untuk perekaman konfigurasi, lihat Praktik AWS Config Terbaik
Jika Anda perlu mengelola izin tingkat objek untuk perekaman bucket, pastikan dalam kebijakan bucket S3 untuk memberikan config.amazonaws.com (nama utama AWS Config layanan) akses ke semua izin terkait S3 dari kebijakan terkelola. AWS_ConfigRole Untuk informasi selengkapnya, lihat Izin untuk Bucket Amazon S3.
