Izin untuk KMS Kunci untuk Saluran AWS Config Pengiriman - AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk KMS Kunci untuk Saluran AWS Config Pengiriman

Gunakan informasi dalam topik ini jika Anda ingin membuat kebijakan untuk AWS KMS kunci untuk bucket S3 yang memungkinkan Anda menggunakan enkripsi KMS berbasis pada objek yang dikirimkan AWS Config untuk pengiriman bucket S3.

Izin yang Diperlukan untuk KMS Kunci Saat Menggunakan IAM Peran (Pengiriman Bucket S3)

Jika Anda mengatur AWS Config menggunakan IAM peran, Anda dapat melampirkan kebijakan izin ikuti ke KMS Kunci:

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
catatan

Jika IAM peran, kebijakan bucket Amazon S3, atau AWS KMS kunci tidak memberikan akses yang sesuai AWS Config, maka AWS Config upaya mengirim informasi konfigurasi ke bucket Amazon S3 akan gagal. Dalam acara ini, AWS Config mengirimkan informasi lagi, kali ini sebagai kepala AWS Config layanan. Untuk kasus ini, Anda harus melampirkan kebijakan izin, yang disebutkan di bawah ini, ke AWS KMS kunci untuk memberikan AWS Config akses untuk menggunakan kunci saat mengirimkan informasi ke bucket Amazon S3.

Izin yang Diperlukan untuk AWS KMS Kunci Saat Menggunakan Peran Tertaut Layanan (Pengiriman Bucket S3)

Peran AWS Config terkait layanan tidak memiliki izin untuk mengakses kunci. AWS KMS Jadi, jika Anda mengatur AWS Config menggunakan peran terkait layanan, AWS Config akan mengirim informasi sebagai prinsipal AWS Config layanan sebagai gantinya. Anda harus melampirkan kebijakan akses, yang disebutkan di bawah ini, ke AWS KMS kunci untuk memberikan AWS Config akses untuk menggunakan AWS KMS kunci saat mengirimkan informasi ke bucket Amazon S3.

Memberikan AWS Config akses ke Kunci AWS KMS

Kebijakan ini memungkinkan AWS Config untuk menggunakan AWS KMS kunci saat mengirimkan informasi ke bucket Amazon S3

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

Gantikan nilai-nilai berikut dalam kebijakan kunci:

  • myKMSKeyARN — AWS KMS Kunci ARN yang digunakan untuk mengenkripsi data di bucket Amazon S3 AWS Config yang akan mengirimkan item konfigurasi ke.

  • sourceAccountID — ID akun yang AWS Config akan mengirimkan item konfigurasi ke.

Anda dapat menggunakan AWS:SourceAccount kondisi dalam kebijakan AWS KMS utama di atas untuk membatasi prinsip layanan Config agar hanya berinteraksi dengan AWS KMS kunci saat melakukan operasi atas nama akun tertentu.

AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi prinsip layanan Config untuk hanya berinteraksi dengan bucket Amazon S3 saat melakukan operasi atas nama saluran pengiriman tertentu. AWS Config Saat menggunakan prinsip AWS Config layanan, AWS:SourceArn properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:* mana sourceRegion wilayah saluran pengiriman dan sourceAccountID merupakan ID akun yang berisi saluran pengiriman. Untuk informasi selengkapnya tentang saluran AWS Config pengiriman, lihat Mengelola Saluran Pengiriman. Misalnya, tambahkan kondisi berikut untuk membatasi prinsip layanan Config agar berinteraksi dengan bucket Amazon S3 Anda hanya atas nama saluran pengiriman di wilayah us-east-1 di akun:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}