Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per la KMS chiave per AWS Config Canale di distribuzione
Utilizzate le informazioni contenute in questo argomento se desiderate creare una politica per un AWS KMS chiave per il tuo bucket S3 che ti consente di utilizzare la crittografia KMS basata su oggetti forniti da AWS Config per la consegna di bucket S3.
Indice
Autorizzazioni richieste per la KMS chiave quando si utilizzano i IAM ruoli (S3 Bucket Delivery)
Se configuri AWS Config utilizzando un IAM ruolo, puoi allegare la seguente politica di autorizzazione alla KMS chiave:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Nota
Se il IAM ruolo, la policy del bucket di Amazon S3 o AWS KMS la chiave non fornisce un accesso appropriato a AWS Config, quindi AWS Config il tentativo di inviare informazioni di configurazione al bucket Amazon S3 avrà esito negativo. In questo caso, AWS Config invia nuovamente le informazioni, questa volta come AWS Config preside del servizio. In questo caso, è necessario allegare una politica di autorizzazione, menzionata di seguito, al AWS KMS chiave da concedere AWS Config accesso per utilizzare la chiave per fornire informazioni al bucket Amazon S3.
Autorizzazioni richieste per AWS KMS Fondamentale quando si utilizzano ruoli collegati ai servizi (S3 Bucket Delivery)
Il AWS Config il ruolo collegato al servizio non dispone dell'autorizzazione per accedere a AWS KMS chiave. Quindi, se configuri AWS Config utilizzando un ruolo collegato al servizio, AWS Config invierà informazioni come AWS Config service principal invece. Dovrai allegare una politica di accesso, menzionata di seguito, al AWS KMS chiave da concedere AWS Config accesso per utilizzare il AWS KMS fondamentale per fornire informazioni al bucket Amazon S3.
Concessione AWS Config accesso al AWS KMS Chiave
Questa politica consente AWS Config usare un AWS KMS fondamentale per fornire informazioni a un bucket Amazon S3
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Sostituisci i seguenti valori nella policy della chiave:
-
myKMSKeyARN— La delle ARN AWS KMS chiave utilizzata per crittografare i dati nel bucket Amazon S3 che AWS Config consegnerà gli elementi di configurazione a. -
sourceAccountID— L'ID dell'account per il quale AWS Config consegnerà gli elementi di configurazione a.
È possibile utilizzare la AWS:SourceAccount condizione in AWS KMS politica chiave sopra riportata per limitare il principale del servizio Config a interagire solo con AWS KMS chiave quando si eseguono operazioni per conto di account specifici.
AWS Config supporta anche la AWS:SourceArn condizione che limita il principale del servizio Config a interagire solo con il bucket Amazon S3 quando esegue operazioni per conto di specifici AWS Config canali di distribuzione. Quando si utilizza il AWS Config principale del servizio, la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni su AWS Config canali di consegna, vedi Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare il principale del servizio Config in modo che interagisca con il bucket Amazon S3 solo per conto di un canale di distribuzione nella regione us-east-1 dell'account 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
