Autorizzazioni per il IAM ruolo assegnato a AWS Config - AWS Config
Creazione di policy per i ruoli di IAMGestione delle autorizzazioni per la registrazione dei bucket S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per il IAM ruolo assegnato a AWS Config

Un IAM ruolo consente di definire una serie di autorizzazioni. AWS Config assume il ruolo che gli assegni per scrivere nel tuo bucket S3, pubblicare sul tuo SNS argomento ed effettuare Describe o List API richiedere i dettagli di configurazione per le tue risorse. AWS Per ulteriori informazioni sui IAM ruoli, consulta IAM Ruoli nella Guida per l'utente. IAM

Quando usi la AWS Config console per creare o aggiornare un IAM ruolo, ti assegna AWS Config automaticamente le autorizzazioni necessarie. Per ulteriori informazioni, consulta Configurazione AWS Config con la console.

Creazione di policy per i ruoli di IAM

Quando usi la AWS Config console per creare un IAM ruolo, assegna AWS Config automaticamente le autorizzazioni necessarie al ruolo.

Se utilizzi il AWS CLI per configurare AWS Config o stai aggiornando un IAM ruolo esistente, devi aggiornare manualmente la policy per consentire l'accesso AWS Config al tuo bucket S3, la pubblicazione SNS sull'argomento e ottenere dettagli di configurazione sulle tue risorse.

Aggiungere una politica di IAM fiducia al proprio ruolo

Puoi creare una politica di IAM fiducia che AWS Config consenta di assumere un ruolo e utilizzarla per tenere traccia delle tue risorse. Per ulteriori informazioni sulle politiche di attendibilità, consulta i termini e i concetti relativi ai ruoli nella Guida IAM per l'utente.

Di seguito è riportato un esempio di politica di fiducia per AWS Config i ruoli:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

È possibile utilizzare la AWS:SourceAccount condizione nella relazione IAM Role Trust di cui sopra per limitare l'interazione del principale del servizio Config con il AWS IAM ruolo solo quando esegue operazioni per conto di account specifici.

AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config ad assumere IAM il ruolo solo quando esegue operazioni per conto dell'account proprietario. Quando si utilizza l'entità del AWS Config servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del registratore di configurazione e sourceAccountID sull'ID dell'account contenente il registratore di configurazione. Per ulteriori informazioni sul Registratore di AWS Config configurazione, vedere Gestione del registratore di configurazione. Ad esempio, aggiungi la seguente condizione limita il principale del servizio Config ad assumere il IAM ruolo solo per conto di un registratore di configurazione nella us-east-1 regione dell'account:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

IAMRole Policy per il tuo S3 Bucket

La seguente politica di esempio concede l' AWS Config autorizzazione ad accedere al tuo bucket S3:

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::myBucketName"
    }
  ]
}

IAMRole Policy for Key KMS

La seguente politica di esempio concede l' AWS Config autorizzazione all'uso della crittografia KMS basata su nuovi oggetti per la distribuzione di bucket S3:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

IAMPolitica sul ruolo per Amazon SNS Topic

La seguente politica di esempio concede AWS Config l'autorizzazione ad accedere al tuo SNS argomento:

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Se l'SNSargomento è crittografato per ulteriori istruzioni di configurazione, consulta la sezione Configurazione delle AWS KMS autorizzazioni nella Amazon Simple Notification Service Developer Guide.

IAMPolitica relativa ai ruoli per ottenere i dettagli di configurazione

Per registrare le configurazioni AWS delle risorse, sono AWS Config necessarie le IAM autorizzazioni per ottenere i dettagli di configurazione delle risorse.

Utilizza la policy AWS gestita AWS_ ConfigRole e collegala al IAM ruolo a cui assegni. AWS Config AWS aggiorna questa politica ogni volta che AWS Config aggiunge il supporto per un tipo di AWS risorsa, il che significa che AWS Config continuerà ad avere le autorizzazioni necessarie per ottenere i dettagli di configurazione purché al ruolo sia associata questa politica gestita.

Se crei o aggiorni un ruolo con la console, AWS Config allega il simbolo AWS_ ConfigRole al posto tuo.

Se usi il AWS CLI, usa il attach-role-policy comando e specifica Amazon Resource Name (ARN) per AWS_ ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Gestione delle autorizzazioni per la registrazione dei bucket S3

AWS Config registra e invia notifiche quando un bucket S3 viene creato, aggiornato o eliminato.

Si consiglia di utilizzare il AWSServiceRoleForConfig (vedi Utilizzo dei ruoli collegati ai servizi per AWS Config) o un IAM ruolo personalizzato che utilizza la politica gestita. AWS_ConfigRole Per ulteriori informazioni sulle best practice per la registrazione della configurazione, consulta Best practice di AWS Config.

Se devi gestire le autorizzazioni a livello di oggetto per la registrazione del bucket, assicurati che nella policy del bucket S3 fornisca config.amazonaws.com (il nome principale del AWS Config servizio) l'accesso a tutte le autorizzazioni relative a S3 dalla policy gestita. AWS_ConfigRole Per ulteriori informazioni, consulta Autorizzazioni per il bucket Amazon S3.