에 할당된 IAM 역할에 대한 권한 AWS Config - AWS Config
IAM 역할 정책 만들기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 할당된 IAM 역할에 대한 권한 AWS Config

IAM 역할을 통해 권한 세트를 정의할 수 있습니다.는 S3 버킷에 쓰고, SNS 주제에 게시하고, AWS 리소스에 대한 구성 세부 정보를 가져오기 위해 Describe 또는 List API 요청을 하기 위해 할당한 역할을 AWS Config 가정합니다. IAM 역할에 대한 자세한 내용은 IAM 사용 설명서IAM 역할을 참조하세요.

AWS Config 콘솔을 사용하여 IAM 역할을 생성하거나 업데이트하면가 필요한 권한을 AWS Config 자동으로 연결합니다. 자세한 내용은 콘솔 AWS Config 로 설정 단원을 참조하십시오.

IAM 역할 정책 만들기

AWS Config 콘솔을 사용하여 IAM 역할을 생성하면는 필요한 권한을 역할에 AWS Config 자동으로 연결합니다.

를 사용하여 AWS CLI 를 설정 AWS Config 하거나 기존 IAM 역할을 업데이트하는 경우가 S3 버킷에 AWS Config 액세스하고, SNS 주제에 게시하고, 리소스에 대한 구성 세부 정보를 가져올 수 있도록 정책을 수동으로 업데이트해야 합니다.

역할에 IAM 신뢰 정책 추가

가 역할을 AWS Config 수임하고 이를 사용하여 리소스를 추적할 수 있는 IAM 신뢰 정책을 생성할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 IAM 사용 설명서역할 용어 및 개념을 참조하세요.

다음은 AWS Config 역할에 대한 신뢰 정책의 예입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

위의 IAM 역할 신뢰 관계의 AWS:SourceAccount 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS IAM 역할과만 상호 작용하도록 제한할 수 있습니다.

AWS Config 는 소유 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 IAM 역할만 수임하도록 제한하는 AWS:SourceArn 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 AWS:SourceArn 속성은 항상 로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:* 여기서 sourceRegion는 고객 관리형 구성 레코더의 리전이고 sourceAccountID는 고객 관리형 구성 레코더가 포함된 계정의 ID입니다.

예를 들어 다음 조건을 추가하면 Config 서비스 보안 주체가 계정의 us-east-1 리전에 있는 고객 관리형 구성 레코더를 대신하여 IAM 역할만 수임하도록 제한됩니다123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

IAM S3 버킷에 대한 역할 정책

다음 예제 정책은 S3 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

IAM KMS 키에 대한 역할 정책

다음 예제 정책은 S3 버킷 전송을 위해 새 객체에 KMS기반 암호화를 사용할 수 있는 AWS Config 권한을 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

IAM Amazon SNS 주제에 대한 역할 정책

다음 예제 정책은 SNS 주제에 액세스할 수 있는 AWS Config 권한을 부여합니다.

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

추가 설정 지침을 위해 SNS 주제가 암호화된 경우 Amazon Simple Notification Service 개발자 안내서AWS KMS 권한 구성을 참조하세요.

구성 세부 정보를 가져오기 위한 IAM 역할 정책

AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다AWSServiceRoleForConfig. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 AWS Config에 대한 서비스 연결 역할 사용을 참조하십시오.

콘솔을 사용하여 역할을 생성하거나 업데이트하는 경우 AWS Config 가 AWSServiceRoleForConfig를 연결합니다.

를 사용하는 경우 attach-role-policy 명령을 AWS CLI사용하고에 대한 Amazon 리소스 이름(ARN)을 지정합니다AWSServiceRoleForConfig.

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig

S3 버킷 기록에 대한 권한 관리

AWS Config 는 S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전달합니다.

AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다AWSServiceRoleForConfig. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 AWS Config에 대한 서비스 연결 역할 사용을 참조하십시오.