翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# に割り当てられた IAM ロールのアクセス許可 AWS Config
<a name="iamrole-permissions"></a>

IAM ロールを使用すると、一連のアクセス許可を定義できます。 は、S3 バケットへの書き込み、SNS トピックへの発行、 AWS リソースの設定詳細を取得するための `Describe`または `List` API リクエストを行うために割り当てるロール AWS Config を引き受けます。IAM ロールの詳細については、「IAM ユーザーガイド」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html)」を参照してください。**

 AWS Config コンソールを使用して IAM ロールを作成または更新すると、 は必要なアクセス許可 AWS Config を自動的にアタッチします。詳細については、「[コンソールによる AWS Config の設定](gs-console.md)」を参照してください。

**ポリシーとコンプライアンスの結果**  
[IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)と、[AWS Organizationsで管理されるその他のポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)が、 AWS Config がリソースの設定変更の記録を許可されるかどうかに影響する可能性があります。また、ルールはリソースの設定を直接評価し、評価の実行時にこれらのポリシーを考慮しません。適用されるポリシーが、意図する AWS Configの使用方法と合致していることを確認してください。

**Contents**
+ [IAM ロールのポリシーの作成](#iam-role-policies)
  + [ロールへの IAM 信頼ポリシーの追加](#iam-trust-policy)
  + [S3 バケットの IAM ロールのポリシー](#iam-role-policies-S3-bucket)
  + [KMS キーの IAM ロールポリシー](#iam-role-policies-S3-kms-key)
  + [Amazon SNS トピックの IAM ロールポリシー](#iam-role-policies-sns-topic)
  + [設定詳細を取得するための IAM ロールポリシー](#iam-role-policies-describe-apis)
  + [S3 バケット記録のアクセス許可の管理](#troubleshooting-recording-s3-bucket-policy)

## IAM ロールのポリシーの作成
<a name="iam-role-policies"></a>

 AWS Config コンソールを使用して IAM ロールを作成すると、 は必要なアクセス許可 AWS Config を自動的にロールにアタッチします。

を使用して AWS CLI を設定している場合、 AWS Config または既存の IAM ロールを更新する場合は、ポリシーを手動で更新して、 AWS Config が S3 バケットにアクセスし、SNS トピックに発行し、リソースに関する設定の詳細を取得できるようにする必要があります。

### ロールへの IAM 信頼ポリシーの追加
<a name="iam-trust-policy"></a>

がロールを引き受け AWS Config 、それを使用してリソースを追跡できるようにする IAM 信頼ポリシーを作成できます。信頼されたポリシーの詳細については、「IAM ユーザーガイド**」の「[ロールに関する用語と概念](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html)」を参照してください。

 AWS Config ロールの信頼ポリシーの例を次に示します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
```

------

上記の IAM ロールの信頼関係で `AWS:SourceAccount` 条件を使用して、特定のアカウントに代わって操作を実行するときに、この AWS IAM ロールのみとやり取りするように Config サービスプリンシパルを制限することができます。

AWS Config は、所有アカウントに代わってオペレーションを実行するときにのみ IAM ロールを引き受けるように Config サービスプリンシパルを制限する `AWS:SourceArn`条件もサポートします。 AWS Config サービスプリンシパルを使用する場合、 `AWS:SourceArn`プロパティは常に に設定されます`arn:aws:config:sourceRegion:sourceAccountID:*`。ここで、 `sourceRegion` はカスタマーマネージド設定レコーダーのリージョンであり、 `sourceAccountID`はカスタマーマネージド設定レコーダーを含むアカウントの ID です。

例えば、条件 `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}` を追加すると、アカウント `123456789012` にある `us-east-1` リージョン内のカスタマー管理の設定レコーダーに代わって実行する場合にのみ、その IAM ロールを引き受けるように Config サービスプリンシパルを制限できます。

### S3 バケットの IAM ロールのポリシー
<a name="iam-role-policies-S3-bucket"></a>

次のポリシー例では、S3 バケットへのアクセス AWS Config 許可を付与します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}
```

------

### KMS キーの IAM ロールポリシー
<a name="iam-role-policies-S3-kms-key"></a>

次のポリシー例では、S3 バケット配信の新しいオブジェクトで KMS ベースの暗号化を使用する AWS Config アクセス許可を付与します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
        }
    ]
}
```

------

### Amazon SNS トピックの IAM ロールポリシー
<a name="iam-role-policies-sns-topic"></a>

次のポリシー例では、SNS トピックにアクセスするためのアクセス AWS Config 許可を付与します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
     }
    ]
}
```

------

SNS トピックが暗号化されている場合、追加の設定手順については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[AWS KMS アクセス許可の設定](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse)」を参照してください。

### 設定詳細を取得するための IAM ロールポリシー
<a name="iam-role-policies-describe-apis"></a>

 AWS Config サービスにリンクされたロール を使用することをお勧めします`AWSServiceRoleForConfig`。サービスにリンクされたロールは事前定義されており、 が他の を呼び出す AWS Config ために必要なすべてのアクセス許可が含まれています AWS のサービス。 AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。詳細については、「[AWS Configのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)」を参照してください。

コンソールでロールを作成または更新すると、 によって **AWSServiceRoleForConfig** がア AWS Config タッチされます。

を使用する場合は AWS CLI、 `attach-role-policy` コマンドを使用して **AWSServiceRoleForConfig** の Amazon リソースネーム (ARN) を指定します。

```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```

### S3 バケット記録のアクセス許可の管理
<a name="troubleshooting-recording-s3-bucket-policy"></a>

AWS Config は、S3 バケットが作成、更新、または削除されたときに通知を記録して配信します。

 AWS Config サービスにリンクされたロール を使用することをお勧めします`AWSServiceRoleForConfig`。サービスにリンクされたロールは事前定義されており、 が他の を呼び出す AWS Config ために必要なすべてのアクセス許可が含まれています AWS のサービス。 AWS Config サービスにリンクされたロールは、サービスにリンクされた設定レコーダーに必要です。詳細については、「[AWS Configのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)」を参照してください。