Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin untuk Peran IAM Ditugaskan AWS Config
Peran IAM memungkinkan Anda menentukan satu set izin. AWS Config mengasumsikan peran yang Anda tetapkan untuk menulis ke bucket S3 Anda, mempublikasikan ke topik SNS Anda, dan membuat Describe
atau permintaan List
API untuk mendapatkan detail konfigurasi untuk sumber daya Anda. AWS Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Panduan Pengguna IAM.
Saat Anda menggunakan AWS Config konsol untuk membuat atau memperbarui peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan untuk Anda. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol.
Kebijakan dan hasil kepatuhan
Kebijakan IAM dan kebijakan lain yang dikelola AWS Organizations dapat memengaruhi apakah AWS Config memiliki izin untuk merekam perubahan konfigurasi untuk sumber daya Anda. Selain itu, aturan secara langsung mengevaluasi konfigurasi sumber daya dan aturan tidak memperhitungkan kebijakan ini saat menjalankan evaluasi. Pastikan bahwa kebijakan yang berlaku selaras dengan cara Anda berniat untuk menggunakan AWS Config.
Daftar Isi
Membuat Kebijakan Peran IAM
Saat Anda menggunakan AWS Config konsol untuk membuat peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan ke peran untuk Anda.
Jika Anda menggunakan AWS CLI untuk menyiapkan AWS Config atau memperbarui peran IAM yang ada, Anda harus memperbarui kebijakan secara manual agar dapat mengakses bucket S3, memublikasikan ke topik SNS, dan mendapatkan detail konfigurasi tentang sumber daya Anda. AWS Config
Menambahkan Kebijakan Kepercayaan IAM ke Peran Anda
Anda dapat membuat kebijakan kepercayaan IAM yang memungkinkan AWS Config untuk mengambil peran dan menggunakannya untuk melacak sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat Istilah dan konsep peran dalam Panduan Pengguna IAM.
Berikut ini adalah contoh kebijakan kepercayaan untuk AWS Config peran:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "
sourceAccountID
" } } } ] }
Anda dapat menggunakan AWS:SourceAccount
kondisi dalam hubungan IAM Role Trust di atas untuk membatasi prinsip layanan Config agar hanya berinteraksi dengan Peran AWS
IAM saat melakukan operasi atas nama akun tertentu.
AWS Config juga mendukung AWS:SourceArn
kondisi yang membatasi prinsipal layanan Config untuk hanya mengambil Peran IAM saat melakukan operasi atas nama akun yang memiliki. Saat menggunakan prinsip AWS Config layanan, AWS:SourceArn
properti akan selalu disetel ke arn:aws:config:sourceRegion:sourceAccountID:*
wilayah sourceRegion
perekam konfigurasi yang dikelola pelanggan dan sourceAccountID
merupakan ID akun yang berisi perekam konfigurasi yang dikelola pelanggan.
Misalnya, tambahkan kondisi berikut, batasi prinsip layanan Config untuk hanya mengasumsikan Peran IAM hanya atas nama perekam konfigurasi yang dikelola pelanggan di wilayah us-east-1
di akun:. 123456789012
"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
Kebijakan Peran IAM untuk Bucket S3 Anda
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses bucket S3 Anda:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-bucket
/prefix
/AWSLogs/myAccountID
/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket
" } ] }
Kebijakan Peran IAM untuk Kunci KMS
Contoh kebijakan berikut memberikan AWS Config izin untuk menggunakan enkripsi berbasis KMS pada objek baru untuk pengiriman bucket S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
" } ] }
Kebijakan Peran IAM untuk Topik Amazon SNS
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses topik SNS Anda:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"
mySNStopicARN
" } ] }
Jika topik SNS Anda dienkripsi untuk petunjuk penyiapan tambahan, lihat Mengonfigurasi AWS KMS Izin di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
Kebijakan Peran IAM untuk Mendapatkan Detail Konfigurasi
Disarankan untuk menggunakan peran AWS Config terkait layanan:. AWSServiceRoleForConfig
Peran terkait layanan telah ditentukan sebelumnya dan mencakup semua izin yang AWS Config diperlukan untuk memanggil yang lain. Layanan AWS Peran AWS Config terkait layanan diperlukan untuk perekam konfigurasi terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan untuk. AWS Config
Jika Anda membuat atau memperbarui peran dengan konsol, AWS Config lampirkan AWSServiceRoleForConfiguntuk Anda.
Jika Anda menggunakan AWS CLI, gunakan attach-role-policy
perintah dan tentukan Nama Sumber Daya Amazon (ARN) untuk: AWSServiceRoleForConfig
$
aws iam attach-role-policy --role-name
myConfigRole
--policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig
Mengelola Izin untuk Perekaman Bucket S3
AWS Config merekam dan mengirimkan pemberitahuan saat bucket S3 dibuat, diperbarui, atau dihapus.
Disarankan untuk menggunakan peran AWS Config terkait layanan:. AWSServiceRoleForConfig
Peran terkait layanan telah ditentukan sebelumnya dan mencakup semua izin yang AWS Config diperlukan untuk memanggil yang lain. Layanan AWS Peran AWS Config terkait layanan diperlukan untuk perekam konfigurasi terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan untuk. AWS Config