기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 할당된 IAM 역할에 대한 권한 AWS Config
IAM 역할을 통해 권한 세트를 정의할 수 있습니다. 는 S3 버킷에 쓰고, SNS 주제에 게시하고, AWS 리소스에 대한 구성 세부 정보를 가져오도록 Describe 또는 List API 요청하기 위해 할당한 역할을 AWS Config 가정합니다. IAM 역할에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할을 참조하세요.
AWS Config 콘솔을 사용하여 IAM 역할을 생성하거나 업데이트하면 가 필요한 권한을 AWS Config 자동으로 연결합니다. 자세한 내용은 콘솔 AWS Config 로 설정 단원을 참조하십시오.
목차
IAM 역할 정책 만들기
AWS Config 콘솔을 사용하여 IAM 역할을 생성하면 는 필요한 권한을 역할에 AWS Config 자동으로 연결합니다.
를 사용하여 AWS CLI 를 설정 AWS Config 하거나 기존 IAM 역할을 업데이트하는 경우 가 S3 버킷에 AWS Config 액세스하고, SNS 주제에 게시하고, 리소스에 대한 구성 세부 정보를 가져올 수 있도록 정책을 수동으로 업데이트해야 합니다.
역할에 IAM 신뢰 정책 추가
가 역할을 AWS Config 수임하고 이를 사용하여 리소스를 추적할 수 있는 IAM 신뢰 정책을 생성할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 IAM 사용 설명서의 역할 용어 및 개념을 참조하세요.
다음은 AWS Config 역할에 대한 신뢰 정책의 예입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
위의 IAM 역할 신뢰 관계의 AWS:SourceAccount 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때만 Config 서비스 보안 주체가 AWS IAM 역할과 상호 작용하도록 제한할 수 있습니다.
AWS Config 는 소유 계정을 대신하여 작업을 수행할 때만 IAM 역할을 수임하도록 Config 서비스 보안 주체를 제한하는 AWS:SourceArn 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용하는 경우 AWS:SourceArn 속성은 항상 로 설정되며, arn:aws:config:sourceRegion:sourceAccountID:* 여기서 sourceRegion 는 구성 레코더의 리전이고 sourceAccountID는 구성 레코더가 포함된 계정의 ID입니다. AWS Config 구성 레코더에 대한 자세한 내용은 구성 레코더 관리를 참조하세요. 예를 들어 다음 조건을 추가하면 Config 서비스 보안 주체가 계정 의 us-east-1 리전에 있는 구성 레코더를 대신하여 IAM 역할만 수임하도록 제한됩니다123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
IAM S3 버킷의 역할 정책
다음 예제 정책은 S3 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" } ] }
IAM KMS 키에 대한 역할 정책
다음 예제 정책은 S3 버킷 전송을 위한 새 객체에 KMS기반 암호화를 사용할 수 있는 AWS Config 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
IAM Amazon SNS 주제에 대한 역할 정책
다음 예제 정책은 SNS 주제에 액세스할 수 있는 AWS Config 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
추가 설정 지침을 위해 SNS 주제가 암호화된 경우 Amazon Simple Notification Service 개발자 안내서의 AWS KMS 권한 구성을 참조하세요.
IAM 구성 세부 정보 가져오기에 대한 역할 정책
AWS 리소스 구성을 기록하려면 에 리소스에 대한 구성 세부 정보를 가져오는 IAM 권한이 AWS Config 필요합니다.
AWS 관리형 정책을 사용하여 에 할당하는 IAM 역할에 AWS_ConfigRole 연결합니다 AWS Config. AWS 는 AWS 리소스 유형에 대한 지원을 AWS Config 추가할 때마다 이 정책을 업데이트합니다. 즉, 역할에 이 관리형 정책이 연결되어 있는 한 AWS Config 는 구성 세부 정보를 가져오는 데 필요한 권한을 계속 갖게 됩니다.
콘솔을 사용하여 역할을 생성하거나 업데이트하는 경우 가 사용자를 AWS_ConfigRole 위해 를 AWS Config 연결합니다.
를 사용하는 경우 attach-role-policy 명령을 AWS CLI사용하고 에 대한 Amazon 리소스 이름(ARN)을 지정합니다AWS_ConfigRole.
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
S3 버킷 기록에 대한 권한 관리
AWS Config 는 S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전달합니다.
AWSServiceRoleForConfig (용 서비스 연결 역할 사용 AWS Config참조) 또는 AWS_ConfigRole 관리형 정책을 사용하는 사용자 지정 IAM 역할을 사용하는 것이 좋습니다. 구성 기록 모범 사례에 대한 자세한 내용은 AWS Config 모범 사례
버킷 레코딩에 대한 객체 수준 권한을 관리해야 하는 경우 S3 버킷 정책에서 config.amazonaws.com 관리형 정책의 모든 S3 관련 권한에 대한 ( AWS Config 서비스 보안 주체 이름) 액세스를 제공해야 합니다AWS_ConfigRole. 자세한 내용을 알아보려면 Amazon S3 버킷에 대한 권한을 참조하세요.
