Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin untuk Peran IAM Ditugaskan AWS Config
Peran IAM memungkinkan Anda menentukan satu set izin. AWS Config mengasumsikan peran yang Anda tetapkan untuk menulis ke bucket S3 Anda, mempublikasikan ke topik SNS Anda, dan membuat `Describe` atau permintaan `List` API untuk mendapatkan detail konfigurasi untuk sumber daya Anda. AWS Untuk informasi selengkapnya tentang peran IAM, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) dalam *Panduan Pengguna IAM*.
Saat Anda menggunakan AWS Config konsol untuk membuat atau memperbarui peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan untuk Anda. Untuk informasi selengkapnya, lihat [Menyiapkan AWS Config dengan Konsol](gs-console.md).
**Kebijakan dan hasil kepatuhan**
Kebijakan [IAM dan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) [lain yang dikelola AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) dapat memengaruhi apakah AWS Config memiliki izin untuk merekam perubahan konfigurasi untuk sumber daya Anda. Selain itu, aturan secara langsung mengevaluasi konfigurasi sumber daya dan aturan tidak memperhitungkan kebijakan ini saat menjalankan evaluasi. Pastikan bahwa kebijakan yang berlaku selaras dengan cara Anda ingin menggunakan AWS Config.
**Contents**
+ [Membuat Kebijakan Peran IAM](#iam-role-policies)
+ [Menambahkan Kebijakan Kepercayaan IAM ke Peran Anda](#iam-trust-policy)
+ [Kebijakan Peran IAM untuk Bucket S3 Anda](#iam-role-policies-S3-bucket)
+ [Kebijakan Peran IAM untuk Kunci KMS](#iam-role-policies-S3-kms-key)
+ [Kebijakan Peran IAM untuk Topik Amazon SNS](#iam-role-policies-sns-topic)
+ [Kebijakan Peran IAM untuk Mendapatkan Detail Konfigurasi](#iam-role-policies-describe-apis)
+ [Mengelola Izin untuk Perekaman Bucket S3](#troubleshooting-recording-s3-bucket-policy)
## Membuat Kebijakan Peran IAM
Saat Anda menggunakan AWS Config konsol untuk membuat peran IAM, AWS Config secara otomatis melampirkan izin yang diperlukan ke peran untuk Anda.
Jika Anda menggunakan AWS CLI untuk menyiapkan AWS Config atau memperbarui peran IAM yang ada, Anda harus memperbarui kebijakan secara manual agar dapat mengakses bucket S3, memublikasikan ke topik SNS, dan mendapatkan detail konfigurasi tentang sumber daya Anda. AWS Config
### Menambahkan Kebijakan Kepercayaan IAM ke Peran Anda
Anda dapat membuat kebijakan kepercayaan IAM yang memungkinkan AWS Config untuk mengambil peran dan menggunakannya untuk melacak sumber daya Anda. Untuk informasi selengkapnya tentang kebijakan kepercayaan, lihat [Istilah dan konsep peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) dalam *Panduan Pengguna IAM*.
Berikut ini adalah contoh kebijakan kepercayaan untuk AWS Config peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Anda dapat menggunakan `AWS:SourceAccount` kondisi dalam hubungan IAM Role Trust di atas untuk membatasi prinsip layanan Config agar hanya berinteraksi dengan Peran AWS IAM saat melakukan operasi atas nama akun tertentu.
AWS Config juga mendukung `AWS:SourceArn` kondisi yang membatasi prinsip layanan Config untuk hanya mengambil Peran IAM saat melakukan operasi atas nama akun yang memiliki. Saat menggunakan prinsip AWS Config layanan, `AWS:SourceArn` properti akan selalu disetel ke `arn:aws:config:sourceRegion:sourceAccountID:*` wilayah `sourceRegion` perekam konfigurasi yang dikelola pelanggan dan `sourceAccountID` merupakan ID akun yang berisi perekam konfigurasi yang dikelola pelanggan.
Misalnya, tambahkan kondisi berikut, batasi prinsip layanan Config untuk hanya mengasumsikan Peran IAM hanya atas nama perekam konfigurasi yang dikelola pelanggan di wilayah `us-east-1` di akun:. `123456789012` `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
### Kebijakan Peran IAM untuk Bucket S3 Anda
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses bucket S3 Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Kebijakan Peran IAM untuk Kunci KMS
Contoh kebijakan berikut memberikan AWS Config izin untuk menggunakan enkripsi berbasis KMS pada objek baru untuk pengiriman bucket S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Kebijakan Peran IAM untuk Topik Amazon SNS
Contoh kebijakan berikut memberikan AWS Config izin untuk mengakses topik SNS Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Jika topik SNS Anda dienkripsi untuk petunjuk penyiapan tambahan, lihat [Mengonfigurasi AWS KMS Izin](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) di Panduan Pengembang Layanan Pemberitahuan *Sederhana Amazon*.
### Kebijakan Peran IAM untuk Mendapatkan Detail Konfigurasi
Disarankan untuk menggunakan peran AWS Config terkait layanan:. `AWSServiceRoleForConfig` Peran terkait layanan telah ditentukan sebelumnya dan mencakup semua izin yang AWS Config diperlukan untuk memanggil yang lain. Layanan AWS Peran AWS Config terkait layanan diperlukan untuk perekam konfigurasi terkait layanan. Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html) untuk. AWS Config
Jika Anda membuat atau memperbarui peran dengan konsol, AWS Config lampirkan **AWSServiceRoleForConfig**untuk Anda.
Jika Anda menggunakan AWS CLI, gunakan `attach-role-policy` perintah dan tentukan Nama Sumber Daya Amazon (ARN) untuk: **AWSServiceRoleForConfig**
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Mengelola Izin untuk Perekaman Bucket S3
AWS Config merekam dan mengirimkan notifikasi saat bucket S3 dibuat, diperbarui, atau dihapus.
Disarankan untuk menggunakan peran AWS Config terkait layanan:. `AWSServiceRoleForConfig` Peran terkait layanan telah ditentukan sebelumnya dan mencakup semua izin yang AWS Config diperlukan untuk memanggil yang lain. Layanan AWS Peran AWS Config terkait layanan diperlukan untuk perekam konfigurasi terkait layanan. Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html) untuk. AWS Config