Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Izin untuk Kunci KMS untuk Saluran Pengiriman AWS Config

PDF
RSS
Mode fokus
Izin untuk Kunci KMS untuk Saluran Pengiriman AWS Config - AWS Config
Saat Menggunakan Peran IAMSaat Menggunakan Peran Tertaut LayananMemberikan akses AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan informasi dalam topik ini jika Anda ingin membuat kebijakan untuk AWS KMS kunci bucket S3 yang memungkinkan Anda menggunakan enkripsi berbasis KMS pada objek yang dikirimkan AWS Config untuk pengiriman bucket S3.

Izin yang Diperlukan untuk Kunci KMS Saat Menggunakan Peran IAM (Pengiriman Bucket S3)

Jika Anda mengatur AWS Config menggunakan peran IAM, Anda dapat melampirkan kebijakan izin ikuti ke Kunci KMS:


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
catatan

Jika peran IAM, kebijakan bucket Amazon S3, AWS KMS atau kunci tidak memberikan akses yang sesuai, AWS Config maka upaya AWS Config untuk mengirim informasi konfigurasi ke bucket Amazon S3 akan gagal. Dalam acara ini, AWS Config mengirimkan informasi lagi, kali ini sebagai kepala AWS Config layanan. Untuk kasus ini, Anda harus melampirkan kebijakan izin, yang disebutkan di bawah ini, ke AWS KMS kunci untuk memberikan AWS Config akses untuk menggunakan kunci saat mengirimkan informasi ke bucket Amazon S3.

Izin yang Diperlukan untuk AWS KMS Kunci Saat Menggunakan Peran Tertaut Layanan (Pengiriman Bucket S3)

Peran AWS Config terkait layanan tidak memiliki izin untuk mengakses kunci. AWS KMS Jadi, jika Anda mengatur AWS Config menggunakan peran terkait layanan, AWS Config akan mengirim informasi sebagai prinsipal AWS Config layanan sebagai gantinya. Anda harus melampirkan kebijakan akses, yang disebutkan di bawah ini, ke AWS KMS kunci untuk memberikan AWS Config akses untuk menggunakan AWS KMS kunci saat mengirimkan informasi ke bucket Amazon S3.

Memberikan AWS Config akses ke Kunci AWS KMS

Kebijakan ini memungkinkan AWS Config untuk menggunakan AWS KMS kunci saat mengirimkan informasi ke bucket Amazon S3

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Gantikan nilai-nilai berikut dalam kebijakan kunci:

  • myKMSKeyARN— ARN AWS KMS kunci yang digunakan untuk mengenkripsi data di bucket Amazon S3 yang AWS Config akan mengirimkan item konfigurasi ke.

  • sourceAccountID— ID akun yang AWS Config akan mengirimkan item konfigurasi ke.

Anda dapat menggunakan AWS:SourceAccount kondisi dalam kebijakan AWS KMS utama di atas untuk membatasi prinsip layanan Config agar hanya berinteraksi dengan AWS KMS kunci saat melakukan operasi atas nama akun tertentu.

AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi prinsip layanan Config untuk hanya berinteraksi dengan bucket Amazon S3 saat melakukan operasi atas nama saluran pengiriman tertentu. AWS Config Saat menggunakan prinsip AWS Config layanan, AWS:SourceArn properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:* mana sourceRegion wilayah saluran pengiriman dan sourceAccountID merupakan ID akun yang berisi saluran pengiriman. Untuk informasi selengkapnya tentang saluran AWS Config pengiriman, lihat Mengelola Saluran Pengiriman. Misalnya, tambahkan kondisi berikut untuk membatasi prinsip layanan Config agar berinteraksi dengan bucket Amazon S3 Anda hanya atas nama saluran pengiriman di wilayah us-east-1 di akun:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.