Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin untuk KMS Kunci untuk AWS Config Saluran Pengiriman
Gunakan informasi dalam topik ini jika Anda ingin membuat kebijakan untuk AWS KMS kunci untuk bucket S3 Anda yang memungkinkan Anda menggunakan enkripsi KMS berbasis pada objek yang dikirimkan oleh AWS Config untuk pengiriman ember S3.
Daftar Isi
Izin yang Diperlukan untuk KMS Kunci Saat Menggunakan IAM Peran (Pengiriman Bucket S3)
Jika Anda mengatur AWS Config menggunakan IAM peran, Anda dapat melampirkan kebijakan izin ikuti ke KMS Kunci:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
catatan
Jika IAM peran, kebijakan bucket Amazon S3, atau AWS KMS kunci tidak memberikan akses yang sesuai ke AWS Config, maka AWS Config Upaya untuk mengirim informasi konfigurasi ke bucket Amazon S3 akan gagal. Dalam acara ini, AWS Config mengirimkan informasi lagi, kali ini sebagai AWS Config kepala layanan. Untuk kasus ini, Anda harus melampirkan kebijakan izin, yang disebutkan di bawah ini, ke AWS KMS kunci untuk memberikan AWS Config akses untuk menggunakan kunci saat mengirimkan informasi ke bucket Amazon S3.
Izin yang diperlukan untuk AWS KMS Kunci Saat Menggunakan Peran Tertaut Layanan (Pengiriman Bucket S3)
Bagian AWS Config peran terkait layanan tidak memiliki izin untuk mengakses AWS KMS kunci. Jadi, jika Anda mengatur AWS Config menggunakan peran terkait layanan, AWS Config akan mengirimkan informasi sebagai AWS Config prinsipal layanan sebagai gantinya. Anda harus melampirkan kebijakan akses, yang disebutkan di bawah ini, ke AWS KMS kunci untuk memberikan AWS Config akses untuk menggunakan AWS KMS kunci saat mengirimkan informasi ke bucket Amazon S3.
Pemberian AWS Config akses ke AWS KMS Kunci
Kebijakan ini memungkinkan AWS Config untuk menggunakan AWS KMS kunci saat mengirimkan informasi ke bucket Amazon S3
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Gantikan nilai-nilai berikut dalam kebijakan kunci:
-
myKMSKeyARN— ARN Dari AWS KMS kunci yang digunakan untuk mengenkripsi data di bucket Amazon S3 itu AWS Config akan mengirimkan item konfigurasi ke. -
sourceAccountID— ID akun yang AWS Config akan mengirimkan item konfigurasi ke.
Anda dapat menggunakan AWS:SourceAccount kondisi di AWS KMS kebijakan utama di atas untuk membatasi prinsip layanan Config untuk hanya berinteraksi dengan AWS KMS kunci saat melakukan operasi atas nama akun tertentu.
AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi prinsip layanan Config untuk hanya berinteraksi dengan bucket Amazon S3 saat melakukan operasi atas nama tertentu AWS Config saluran pengiriman. Saat menggunakan AWS Config prinsipal layanan, AWS:SourceArn properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:* mana sourceRegion wilayah saluran pengiriman dan sourceAccountID merupakan ID akun yang berisi saluran pengiriman. Untuk informasi lebih lanjut tentang AWS Config saluran pengiriman, lihat Mengelola Saluran Pengiriman. Misalnya, tambahkan kondisi berikut untuk membatasi prinsip layanan Config agar berinteraksi dengan bucket Amazon S3 Anda hanya atas nama saluran pengiriman di wilayah us-east-1 di akun:. 123456789012 "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}
