Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin untuk Peran IAM Ditugaskan AWS Config
Peran IAM memungkinkan Anda menentukan satu set izin. AWS Config mengasumsikan peran yang Anda tetapkan untuk menulis ke bucket S3 Anda, mempublikasikan ke topik SNS Anda, dan membuat Describe
atau permintaan List
API untuk mendapatkan detail konfigurasi untuk sumber daya Anda. AWS Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Panduan Pengguna IAM.
Saat Anda menggunakan AWS Config konsol untuk membuat atau memperbarui peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan untuk Anda. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol.
Daftar Isi
Membuat Kebijakan Peran IAM
Saat Anda menggunakan AWS Config konsol untuk membuat peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan ke peran untuk Anda.
Jika Anda menggunakan AWS CLI untuk menyiapkan AWS Config atau memperbarui peran IAM yang ada, Anda harus memperbarui kebijakan secara manual agar dapat mengakses bucket S3, memublikasikan ke topik SNS, dan mendapatkan detail konfigurasi tentang sumber daya Anda. AWS Config
Menambahkan Kebijakan Kepercayaan IAM ke Peran Anda
Anda dapat membuat kebijakan kepercayaan IAM yang memungkinkan AWS Config untuk mengambil peran dan menggunakannya untuk melacak sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat Istilah dan konsep peran dalam Panduan Pengguna IAM.
Berikut ini adalah contoh kebijakan kepercayaan untuk AWS Config peran:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
Anda dapat menggunakan AWS:SourceAccount
kondisi dalam hubungan IAM Role Trust di atas untuk membatasi prinsip layanan Config agar hanya berinteraksi dengan Peran AWS
IAM saat melakukan operasi atas nama akun tertentu.
AWS Config juga mendukung AWS:SourceArn
kondisi yang membatasi prinsip layanan Config untuk hanya mengambil Peran IAM saat melakukan operasi atas nama akun yang memiliki. Saat menggunakan prinsip AWS Config layanan, AWS:SourceArn
properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:*
mana sourceRegion
wilayah perekam konfigurasi dan sourceAccountID
merupakan ID akun yang berisi perekam konfigurasi. Untuk informasi selengkapnya tentang Perekam AWS Config Konfigurasi lihat Mengelola Perekam Konfigurasi. Misalnya, tambahkan kondisi berikut, batasi prinsip layanan Config untuk hanya mengasumsikan Peran IAM hanya atas nama perekam konfigurasi di wilayah us-east-1
di akun:. 123456789012
"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
Kebijakan Peran IAM untuk Bucket S3 Anda
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses bucket S3 Anda:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
myBucketName
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName
" } ] }
Kebijakan Peran IAM untuk Kunci KMS
Contoh kebijakan berikut memberikan AWS Config izin untuk menggunakan enkripsi berbasis KMS pada objek baru untuk pengiriman bucket S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
Kebijakan Peran IAM untuk Topik Amazon SNS
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses topik SNS Anda:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
Jika topik SNS Anda dienkripsi untuk petunjuk penyiapan tambahan, lihat Mengonfigurasi AWS KMS Izin di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
Kebijakan Peran IAM untuk Mendapatkan Detail Konfigurasi
Untuk merekam konfigurasi AWS sumber daya Anda, AWS Config memerlukan izin IAM untuk mendapatkan detail konfigurasi tentang sumber daya Anda.
Gunakan AWS_ kebijakan AWS terkelola ConfigRole dan lampirkan ke peran IAM yang Anda tetapkan. AWS Config AWS memperbarui kebijakan ini setiap kali AWS Config menambahkan dukungan untuk jenis AWS sumber daya, yang berarti AWS Config akan terus memiliki izin yang diperlukan untuk mendapatkan detail konfigurasi selama peran tersebut memiliki kebijakan terkelola yang dilampirkan.
Jika Anda membuat atau memperbarui peran dengan konsol, AWS Config lampirkan AWS_ ConfigRole untuk Anda.
Jika Anda menggunakan AWS CLI, gunakan attach-role-policy
perintah dan tentukan Nama Sumber Daya Amazon (ARN) untuk AWS_: ConfigRole
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
Mengelola Izin untuk Perekaman Bucket S3
AWS Config merekam dan mengirimkan notifikasi saat bucket S3 dibuat, diperbarui, atau dihapus.
Anda disarankan untuk menggunakan AWSServiceRoleForConfig
(lihat Menggunakan Peran Tertaut Layanan untuk AWS Config) atau peran IAM kustom yang menggunakan kebijakan terkelola. AWS_ConfigRole
Untuk informasi selengkapnya tentang praktik terbaik untuk perekaman konfigurasi, lihat Praktik AWS Config Terbaik
Jika Anda perlu mengelola izin tingkat objek untuk perekaman bucket, pastikan dalam kebijakan bucket S3 untuk memberikan config.amazonaws.com
(nama utama AWS Config layanan) akses ke semua izin terkait S3 dari kebijakan terkelola. AWS_ConfigRole
Untuk informasi selengkapnya, lihat Izin untuk Bucket Amazon S3.