AWS Config 配信チャネルのKMSキーのアクセス許可 - AWS Config
IAM ロールを使用する場合サービスにリンクされたロールを使用する場合 AWS Config アクセスの許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config 配信チャネルのKMSキーのアクセス許可

S3 バケット配信 AWS Config のために によって配信されるオブジェクトに対して KMSベースの暗号化を使用できるようにする S3 バケットの AWS KMS キーのポリシーを作成する場合は、このトピックの情報を使用します。

IAM ロールを使用する際のKMSキーに必要なアクセス許可 (S3 バケット配信)

IAM ロール AWS Config を使用して を設定する場合は、次のアクセス許可ポリシーを KMS キーにアタッチできます。


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
注記

IAM ロール、Amazon S3 バケットポリシー、または AWS KMS キーが への適切なアクセスを提供しない場合 AWS Config、 が設定情報を Amazon S3 バケットに送信 AWS Configしようとすると失敗します。このイベントでは、 は、今回 AWS Config サービスプリンシパルとして情報を再び AWS Config 送信します。この場合、Amazon S3 バケットに情報を配信するときに AWS KMS キーを使用する AWS Config アクセスを許可するには、以下のアクセス許可ポリシーを キーにアタッチする必要があります。

サービスにリンクされたロールを使用する際の AWS KMS キーに必要なアクセス許可 (S3 バケット配信)

AWS Config サービスにリンクされたロールには、 AWS KMS キーにアクセスするアクセス許可がありません。したがって、サービスにリンクされたロール AWS Config を使用して をセットアップすると、 AWS Config は代わりにサービスプリンシパルとして AWS Config 情報を送信します。Amazon S3 バケットに情報を配信するときに AWS KMS キーを使用する AWS Config ためのアクセスを許可するには、以下のアクセスポリシーを AWS KMS キーにアタッチする必要があります。

AWS KMS キー AWS Config へのアクセスの許可

このポリシーでは AWS Config 、Amazon S3 バケットに情報を配信するときに が AWS KMS キーを使用できるようにします。

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

キーポリシーの以下の数値を置き換えます。

  • myKMSKeyARN – 設定項目を AWS Config 配信する Amazon S3 バケット内のデータを暗号化するために使用される AWS KMS キーARN。

  • sourceAccountID – AWS Config が設定項目を配信するアカウントの ID。

上記の AWS KMS キーポリシーAWS:SourceAccountの条件を使用して、Config サービスプリンシパルが特定のアカウントに代わってオペレーションを実行する場合にのみ AWS KMS キーを操作するように制限できます。

AWS Config は、特定の AWS Config 配信チャネルに代わってオペレーションを実行するときに Amazon S3 バケットとのみやり取りするように Config サービスプリンシパルを制限する AWS:SourceArn 条件もサポートします。 AWS Config サービスプリンシパルを使用する場合、 AWS:SourceArnプロパティは常に に設定され、 arn:aws:config:sourceRegion:sourceAccountID:* sourceRegionは配信チャネルのリージョンであり、 sourceAccountIDは配信チャネルを含むアカウントの ID です。 AWS Config 配信チャネルの詳細については、「配信チャネルの管理」を参照してください。たとえば、以下の条件を追加すると、アカウント us-east-1123456789012リージョン中の送信チャンネルに代わってのみ、Config サービスプリンシパルが Amazon S3 バケットと交信するように制限します: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}