Autorizzazioni per il bucket Amazon S3 per AWS Config Canale di distribuzione - AWS Config
Quando si utilizzano i ruoli IAMQuando si utilizzano i ruoli collegati ai serviziConcessione AWS Config accedi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per il bucket Amazon S3 per AWS Config Canale di distribuzione

Importante

Questa pagina riguarda la configurazione del bucket Amazon S3 per AWS Config canale di distribuzione. Questa pagina non riguarda il tipo di AWS::S3::Bucket risorsa che AWS Config il registratore di configurazione può registrare. Per ulteriori informazioni su AWS Config canale di consegna, vedi Gestione del canale di consegna.

Per impostazione predefinita, tutti gli oggetti e i bucket Amazon S3 sono privati. Solo il proprietario della risorsa, che è il Account AWS chi ha creato il bucket può accedere a quel bucket. Tuttavia, il proprietario della risorsa può concedere ad altre risorse e utenti le autorizzazioni di accesso. Un modo per farlo è scrivere una policy d'accesso.

Se AWS Config crea automaticamente un bucket Amazon S3 (ad esempio, se usi AWS Config console per configurare il canale di distribuzione), queste autorizzazioni vengono aggiunte automaticamente al bucket Amazon S3. Tuttavia, se specifichi un bucket Amazon S3 esistente, devi accertarti che il bucket S3 disponga delle autorizzazioni corrette.

Nota

Un oggetto non eredita le autorizzazioni dal bucket a cui appartiene. Se ad esempio si crea un bucket e si concede l'accesso in scrittura a un utente, non sarà possibile accedere agli oggetti di tale utente a meno che questi non conceda esplicitamente l'accesso.

Autorizzazioni richieste per il bucket Amazon S3 quando si utilizzano i ruoli IAM

Quando AWS Config invia informazioni di configurazione (file di cronologia e istantanee) al bucket Amazon S3 nel tuo account, assume il ruolo che hai assegnato IAM al momento della configurazione AWS Config. Quando AWS Config invia informazioni di configurazione a un bucket Amazon S3 in un altro account, tenta innanzitutto di utilizzare il IAM ruolo, ma questo tentativo fallisce se la politica di accesso per il bucket non concede l'WRITEaccesso al ruolo. IAM In questo caso, AWS Config invia nuovamente le informazioni, questa volta come AWS Config preside del servizio. Prima che la consegna possa avere esito positivo, la politica di accesso deve concedere l'WRITEaccesso al nome config.amazonaws.com principale. AWS Config è quindi il proprietario degli oggetti che consegna al bucket S3. È necessario allegare una politica di accesso, menzionata nel passaggio 6 di seguito, al bucket Amazon S3 di un altro account da concedere AWS Config accesso al bucket Amazon S3.

Prima AWS Config può inviare log al tuo bucket Amazon S3 AWS Config controlla se il bucket esiste e in quale AWS regione in cui si trova il bucket. AWS Config tenta di chiamare Amazon S3 HeadBucketAPIper verificare se il bucket esiste e per ottenere la regione del bucket. Se non vengono fornite le autorizzazioni per localizzare il bucket quando viene eseguito il controllo della posizione, viene visualizzato un errore in AccessDenied AWS CloudTrail registri. Tuttavia, la distribuzione del log al bucket Amazon S3 va a buon fine se non fornisci le autorizzazioni per la posizione del bucket.

Nota

Per consentire l'autorizzazione per Amazon S3 HeadBucketAPI, fornisci l'autorizzazione a eseguire l's3:ListBucketazione come SidAWSConfigBucketExistenceCheck, menzionata nel passaggio 6 seguente.

Autorizzazioni richieste per il bucket Amazon S3 quando si usano i ruoli collegati ai servizi

Il AWS Config il ruolo collegato al servizio non dispone dell'autorizzazione per inserire oggetti nei bucket Amazon S3. Quindi, se configuri AWS Config utilizzando un ruolo collegato al servizio, AWS Config invierà gli elementi di configurazione come AWS Config service principal invece. Dovrai allegare una politica di accesso, menzionata nel passaggio 6 di seguito, al bucket Amazon S3 del tuo account o di un altro account da concedere AWS Config accesso al bucket Amazon S3.

Concessione AWS Config accesso al bucket Amazon S3

Segui questi passaggi per aggiungere una policy di accesso al bucket Amazon S3 nel tuo account o in un altro account. La politica di accesso consente AWS Config per inviare informazioni di configurazione a un bucket Amazon S3.

  1. Accedi al AWS Management Console utilizzando l'account che ha il bucket S3.

  2. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  3. Seleziona il bucket che desideri AWS Config da utilizzare per fornire gli elementi di configurazione, quindi scegli Proprietà.

  4. Seleziona Autorizzazioni.

  5. Scegliere Edit Bucket Policy (Modifica policy bucket).

  6. Copiare la seguente policy nella finestra Bucket Policy Editor (Editor policy del bucket).

    Importante

    Come best practice di sicurezza quando si consente AWS Config accesso a un bucket Amazon S3, ti consigliamo vivamente di limitare l'accesso nella policy del bucket con la condizione. AWS:SourceAccount Se la tua policy sui bucket esistente non segue questa best practice di sicurezza, ti consigliamo vivamente di modificarla per includere questa protezione. Questo assicura che AWS Config viene concesso l'accesso solo per conto degli utenti previsti.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    Nota

    Quando concedi le autorizzazioni al tuo IAM ruolo anziché AWS Config service principal name (SPN), assicurati che il tuo IAM ruolo disponga PutObjectACL dell'autorizzazione sul bucket tra account per evitare errori di autorizzazione insufficienti. Vedi un esempio di politica sui IAM ruoli all'indirizzo. IAMRole Policy per il tuo S3 Bucket

  7. Sostituire i seguenti valori nella policy del bucket:

    • amzn-s3-demo-bucket — Il nome del bucket Amazon S3 verso il quale AWS Config consegnerà gli elementi di configurazione.

    • [optional] prefix — Un'aggiunta opzionale alla chiave oggetto Amazon S3 che aiuta a creare un'organizzazione simile a una cartella nel bucket.

    • sourceAccountID — L'ID dell'account per il quale AWS Config consegnerà gli elementi di configurazione al bucket di destinazione.

  8. Scegliere Save (Salva) e Close (Chiudi).

Puoi utilizzare la condizione AWS:SourceAccount nella policy del bucket Amazon S3 riportata sopra per fare in modo il principale del servizio Config interagisca con il bucket Amazon S3 solo quando esegue operazioni per conto di account specifici. Se hai intenzione di configurare AWS Config in molti account della stessa organizzazione per fornire elementi di configurazione a un singolo bucket Amazon S3, consigliamo di utilizzare i IAM ruoli anziché i ruoli collegati ai servizi in modo da poter utilizzare AWS Organizations chiavi di condizioni come. AWS:PrincipalOrgID Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso per un IAM ruolo da utilizzare con AWS Config, vedi Autorizzazioni per il IAM ruolo assegnato a AWS Config. Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso per AWS Organizations, vedi Gestione delle autorizzazioni di accesso per AWS organizzazione.

AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config a interagire solo con il bucket Amazon S3 quando esegue operazioni per conto di specifici AWS Config canali di distribuzione. Quando si utilizza il AWS Config principale del servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni su AWS Config canali di consegna, vedi Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare il principale del servizio Config in modo che interagisca con il bucket Amazon S3 solo per conto di un canale di distribuzione nella regione us-east-1 dell'account 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.