Autorizzazioni per il ruolo IAM assegnato a AWS Config

Un ruolo IAM consente di definire un set di autorizzazioni. AWS Config assume il ruolo che gli assegni per scrivere nel tuo bucket S3, pubblicare sul tuo argomento SNS ed effettuare richieste List API per ottenere i dettagli di Describe configurazione delle tue risorse. AWS Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.

Quando utilizzi la AWS Config console per creare o aggiornare un ruolo IAM, ti assegna AWS Config automaticamente le autorizzazioni necessarie. Per ulteriori informazioni, consulta Configurazione AWS Config con la console.

Politiche e risultati di conformità

Le policy IAM e le altre policy gestite in AWS Organizations possono influire AWS Config sulla disponibilità delle autorizzazioni per registrare le modifiche alla configurazione delle risorse. Inoltre, le regole valutano direttamente la configurazione di una risorsa e le regole non tengono conto di queste politiche durante l'esecuzione delle valutazioni. Assicurati che le politiche in vigore siano in linea con il modo in cui intendi AWS Config utilizzarle.

Indice

Creazione di policy del ruolo IAM

Creazione di policy del ruolo IAM

Quando utilizzi la AWS Config console per creare un ruolo IAM, assegna AWS Config automaticamente le autorizzazioni necessarie al ruolo.

Se utilizzi il AWS CLI per configurare AWS Config o stai aggiornando un ruolo IAM esistente, devi aggiornare manualmente la policy per consentire l'accesso AWS Config al tuo bucket S3, la pubblicazione sul tuo argomento SNS e ottenere dettagli di configurazione sulle tue risorse.

Aggiunta di una policy di attendibilità IAM al ruolo

Puoi creare una policy di fiducia IAM che AWS Config consenta di assumere un ruolo e utilizzarlo per tenere traccia delle tue risorse. Per ulteriori informazioni sulle policy di attendibilità, consulta Termini e concetti dei ruoli nella Guida per l'utente di IAM.

Di seguito è riportato un esempio di policy di fiducia per AWS Config i ruoli:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Puoi utilizzare la condizione AWS:SourceAccount nella relazione di trust del ruolo IAM riportata sopra per fare in modo che il principale del servizio Config interagisca con il ruolo AWS IAM solo quando esegue operazioni per conto di account specifici.

AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config ad assumere il ruolo IAM solo quando esegue operazioni per conto dell'account proprietario. Quando si utilizza l'entità del AWS Config servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del registratore di configurazione gestito dal cliente e sourceAccountID sull'ID dell'account contenente il registratore di configurazione gestito dal cliente.

Ad esempio, aggiungi la seguente condizione che limita il principale del servizio Config ad assumere il ruolo IAM solo per conto di un registratore di configurazione gestito dal cliente nella us-east-1 regione dell'account:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

Policy del ruolo IAM per il bucket S3

La seguente policy di esempio concede l' AWS Config autorizzazione ad accedere al tuo bucket S3:


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

Policy del ruolo IAM per la chiave KMS

La seguente policy di esempio concede l' AWS Config autorizzazione a utilizzare la crittografia basata su KMS su nuovi oggetti per la distribuzione di bucket S3:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

La seguente politica di esempio concede l' AWS Config autorizzazione ad accedere all'argomento SNS:


{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Se l'argomento SNS è crittografato per istruzioni di configurazione aggiuntive, consulta Configurazione delle autorizzazioni per AWS KMS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Policy del ruolo IAM per il recupero dei dettagli di configurazione

Si consiglia di utilizzare il ruolo collegato al AWS Config servizio:. AWSServiceRoleForConfig I ruoli collegati ai servizi sono predefiniti e includono tutte le autorizzazioni necessarie per chiamare altri. AWS Config Servizi AWS Il ruolo AWS Config collegato al servizio è richiesto per i registratori di configurazione collegati al servizio. Per ulteriori informazioni, consulta la sezione relativa all'utilizzo di ruoli collegati ai servizi per AWS Config.

Se crei o aggiorni un ruolo con la console, AWS Config lo allega automaticamente. AWSServiceRoleForConfig

Se utilizzi il AWS CLI, usa il attach-role-policy comando e specifica l'Amazon Resource Name (ARN) per: AWSServiceRoleForConfig


$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig

Gestione delle autorizzazioni per la registrazione dei bucket S3

AWS Config registra e invia notifiche quando un bucket S3 viene creato, aggiornato o eliminato.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS politiche gestite

Aggiornamento del ruolo IAM