Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Izin untuk Bucket Amazon S3 untuk AWS Config Saluran Pengiriman

PDF
RSS
Mode fokus
Izin untuk Bucket Amazon S3 untuk AWS Config Saluran Pengiriman - AWS Config
Saat Menggunakan Peran IAMSaat Menggunakan Peran Tertaut LayananMemberikan akses AWS Config Pengiriman Lintas Akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

penting

Halaman ini berisi tentang menyiapkan Amazon S3 Bucket untuk saluran AWS Config pengiriman. Halaman ini bukan tentang jenis AWS::S3::Bucket sumber daya yang dapat direkam oleh perekam AWS Config konfigurasi.

Bucket dan objek Amazon S3 bersifat pribadi secara default. Hanya Akun AWS yang membuat bucket (pemilik sumber daya) yang memiliki izin akses. Pemilik sumber daya dapat memberikan akses ke sumber daya dan pengguna lain dengan membuat kebijakan akses.

Saat AWS Config secara otomatis membuat bucket S3 untuk Anda, ia menambahkan izin yang diperlukan. Namun, jika Anda menentukan bucket S3 yang ada, Anda harus menambahkan izin ini secara manual.

Izin yang Diperlukan untuk Bucket Amazon S3 Saat Menggunakan Peran IAM

AWS Config menggunakan peran IAM yang Anda tetapkan ke perekam konfigurasi untuk mengirimkan riwayat konfigurasi dan snapshot ke bucket S3 di akun Anda. Untuk pengiriman lintas akun, upaya AWS Config pertama untuk menggunakan peran IAM yang ditetapkan. Jika kebijakan bucket tidak memberikan WRITE akses ke peran IAM, AWS Config gunakan prinsip config.amazonaws.com layanan. Kebijakan bucket harus memberikan WRITE akses config.amazonaws.com untuk menyelesaikan pengiriman. Setelah pengiriman berhasil, AWS Config pertahankan kepemilikan semua objek yang dikirimkan ke bucket S3 lintas akun.

AWS Config memanggil Amazon S3 HeadBucketAPI dengan peran IAM yang Anda tetapkan ke perekam konfigurasi untuk mengonfirmasi apakah bucket S3 ada dan lokasinya. Jika Anda tidak memiliki izin yang diperlukan AWS Config untuk mengonfirmasi, Anda akan melihat AccessDenied kesalahan di AWS CloudTrail log Anda. Namun, masih AWS Config dapat mengirimkan riwayat konfigurasi dan snapshot meskipun AWS Config tidak memiliki izin yang diperlukan untuk mengonfirmasi apakah bucket S3 ada dan lokasinya.

Izin minimum

HeadBucketAPI Amazon S3 memerlukan s3:ListBucket tindakan dengan Sid (ID pernyataan). AWSConfigBucketExistenceCheck

Izin yang Diperlukan untuk Bucket Amazon S3 Saat Menggunakan Peran Tertaut Layanan

Peran AWS Config terkait layanan tidak memiliki izin untuk menempatkan objek ke bucket Amazon S3. Jika Anda mengatur AWS Config menggunakan peran terkait layanan, AWS Config akan menggunakan prinsip config.amazonaws.com layanan untuk memberikan riwayat konfigurasi dan snapshot. Kebijakan bucket S3 di akun atau tujuan lintas akun Anda harus menyertakan izin bagi prinsipal AWS Config layanan untuk menulis objek.

Memberikan AWS Config akses ke Amazon S3 Bucket

Selesaikan langkah-langkah berikut yang memungkinkan AWS Config untuk mengirimkan riwayat konfigurasi dan snapshot ke bucket Amazon S3.

  1. Masuk ke akun AWS Management Console menggunakan akun yang memiliki bucket S3.

  2. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  3. Pilih bucket yang ingin Anda gunakan AWS Config untuk mengirimkan item konfigurasi, lalu pilih Properties.

  4. Pilih Izin.

  5. Pilih Edit Kebijakan Bucket.

  6. Salin kebijakan berikut ke jendela Bucket Policy Editor:

    Praktik terbaik keamanan

    Kami sangat menyarankan Anda membatasi akses dalam kebijakan bucket dengan AWS:SourceAccount kondisi tersebut. Hal ini memastikan bahwa AWS Config diberikan akses atas nama pengguna yang diharapkan saja.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

  7. Ganti nilai berikut dalam kebijakan bucket:

    • amzn-s3-demo-bucket— Nama bucket Amazon S3 tempat AWS Config akan memberikan riwayat konfigurasi dan snapshot.

    • [optional] prefix— Tambahan opsional untuk kunci objek Amazon S3 yang membantu membuat organisasi seperti folder di bucket.

    • sourceAccountID— ID akun tempat AWS Config akan memberikan riwayat konfigurasi dan snapshot.

  8. Pilih Simpan dan kemudian Tutup.

AWS:SourceAccountKondisi membatasi AWS Config operasi untuk ditentukan Akun AWS. Untuk konfigurasi multi-akun dalam organisasi yang mengirimkan ke satu bucket S3, gunakan peran IAM dengan kunci AWS Organizations kondisi, bukan peran terkait layanan. Misalnya, AWS:PrincipalOrgID. Untuk informasi selengkapnya, lihat Mengelola izin akses untuk organisasi di Panduan AWS Organizations pengguna.

AWS:SourceArnKondisi ini membatasi AWS Config operasi ke saluran pengiriman tertentu. AWS:SourceArnFormatnya adalah sebagai berikut:arn:aws:config:sourceRegion:123456789012.

Misalnya, untuk membatasi akses bucket S3 ke saluran pengiriman di Wilayah AS Timur (Virginia N.) untuk akun 123456789012, tambahkan kondisi berikut:

"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}

Izin yang Diperlukan untuk Bucket Amazon S3 Saat Mengirimkan Lintas Akun

Bila AWS Config dikonfigurasi untuk mengirimkan riwayat konfigurasi dan snapshot ke bucket Amazon S3 di akun lain (penyiapan lintas akun), di mana perekam konfigurasi dan bucket S3 yang ditentukan untuk saluran pengiriman Akun AWS berbeda, izin berikut diperlukan:

  • Peran IAM yang Anda tetapkan ke perekam konfigurasi memerlukan izin eksplisit untuk melakukan operasi. s3:ListBucket Ini karena AWS Config memanggil HeadBucketAPI Amazon S3 dengan peran IAM ini untuk menentukan lokasi bucket.

  • Kebijakan bucket S3 harus menyertakan izin untuk prinsipal AWS Config layanan dan peran IAM yang ditetapkan ke perekam konfigurasi.

Berikut ini adalah contoh konfigurasi kebijakan bucket:

{
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com",
        "AWS": "IAM Role-Arn assigned to the configuartion recorder"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
}

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.