Izin untuk Peran IAM Ditugaskan AWS Config

Peran IAM memungkinkan Anda menentukan satu set izin. AWS Config mengasumsikan peran yang Anda tetapkan untuk menulis ke bucket S3 Anda, mempublikasikan ke topik SNS Anda, dan membuat Describe atau permintaan List API untuk mendapatkan detail konfigurasi untuk sumber daya Anda. AWS Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Panduan Pengguna IAM.

Saat Anda menggunakan AWS Config konsol untuk membuat atau memperbarui peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan untuk Anda. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol.

Kebijakan dan hasil kepatuhan

Kebijakan IAM dan kebijakan lain yang dikelola AWS Organizations dapat memengaruhi apakah AWS Config memiliki izin untuk merekam perubahan konfigurasi untuk sumber daya Anda. Selain itu, aturan secara langsung mengevaluasi konfigurasi sumber daya dan aturan tidak memperhitungkan kebijakan ini saat menjalankan evaluasi. Pastikan bahwa kebijakan yang berlaku selaras dengan cara Anda berniat untuk menggunakan AWS Config.

Daftar Isi

Membuat Kebijakan Peran IAM

Membuat Kebijakan Peran IAM

Saat Anda menggunakan AWS Config konsol untuk membuat peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan ke peran untuk Anda.

Jika Anda menggunakan AWS CLI untuk menyiapkan AWS Config atau memperbarui peran IAM yang ada, Anda harus memperbarui kebijakan secara manual agar dapat mengakses bucket S3, memublikasikan ke topik SNS, dan mendapatkan detail konfigurasi tentang sumber daya Anda. AWS Config

Menambahkan Kebijakan Kepercayaan IAM ke Peran Anda

Anda dapat membuat kebijakan kepercayaan IAM yang memungkinkan AWS Config untuk mengambil peran dan menggunakannya untuk melacak sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat Istilah dan konsep peran dalam Panduan Pengguna IAM.

Berikut ini adalah contoh kebijakan kepercayaan untuk AWS Config peran:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Anda dapat menggunakan AWS:SourceAccount kondisi dalam hubungan IAM Role Trust di atas untuk membatasi prinsip layanan Config agar hanya berinteraksi dengan Peran AWS IAM saat melakukan operasi atas nama akun tertentu.

AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi prinsipal layanan Config untuk hanya mengambil Peran IAM saat melakukan operasi atas nama akun yang memiliki. Saat menggunakan prinsip AWS Config layanan, AWS:SourceArn properti akan selalu disetel ke arn:aws:config:sourceRegion:sourceAccountID:* wilayah sourceRegion perekam konfigurasi yang dikelola pelanggan dan sourceAccountID merupakan ID akun yang berisi perekam konfigurasi yang dikelola pelanggan.

Misalnya, tambahkan kondisi berikut, batasi prinsip layanan Config untuk hanya mengasumsikan Peran IAM hanya atas nama perekam konfigurasi yang dikelola pelanggan di wilayah us-east-1 di akun:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

Kebijakan Peran IAM untuk Bucket S3 Anda

Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses bucket S3 Anda:


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

Kebijakan Peran IAM untuk Kunci KMS

Contoh kebijakan berikut memberikan AWS Config izin untuk menggunakan enkripsi berbasis KMS pada objek baru untuk pengiriman bucket S3:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses topik SNS Anda:


{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Jika topik SNS Anda dienkripsi untuk petunjuk penyiapan tambahan, lihat Mengonfigurasi AWS KMS Izin di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.

Kebijakan Peran IAM untuk Mendapatkan Detail Konfigurasi

Disarankan untuk menggunakan peran AWS Config terkait layanan:. AWSServiceRoleForConfig Peran terkait layanan telah ditentukan sebelumnya dan mencakup semua izin yang AWS Config diperlukan untuk memanggil yang lain. Layanan AWS Peran AWS Config terkait layanan diperlukan untuk perekam konfigurasi terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan untuk. AWS Config

Jika Anda membuat atau memperbarui peran dengan konsol, AWS Config lampirkan AWSServiceRoleForConfiguntuk Anda.

Jika Anda menggunakan AWS CLI, gunakan attach-role-policy perintah dan tentukan Nama Sumber Daya Amazon (ARN) untuk: AWSServiceRoleForConfig


$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig

Mengelola Izin untuk Perekaman Bucket S3

AWS Config merekam dan mengirimkan pemberitahuan saat bucket S3 dibuat, diperbarui, atau dihapus.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS kebijakan terkelola

Memperbarui Peran IAM