기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM 역할을 사용하면 권한 세트를 정의할 수 있습니다.는 S3 버킷에 쓰고 SNS 주제에 게시하며 AWS 리소스에 대한 구성 세부 정보를 가져오기 위해 Describe 또는 List API 요청을 하기 위해 할당한 역할을 AWS Config 가정합니다. IAM 역할에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 섹션을 참조하세요.
AWS Config 콘솔을 사용하여 IAM 역할을 생성하거나 업데이트하면가 필요한 권한을 AWS Config 자동으로 연결합니다. 자세한 내용은 콘솔 AWS Config 로 설정 단원을 참조하십시오.
정책 및 규정 준수 결과
에서 관리되는 IAM 정책 및 기타 정책은에 리소스에 대한 구성 변경을 기록할 권한이 있는지 여부에 AWS Config 영향을 미칠 수 있습니다. AWS Organizations 또한 규칙은 리소스의 구성을 직접 평가하며, 규칙은 평가를 실행할 때 이러한 정책을 고려하지 않습니다. 적용 중인 정책이 사용 의도와 일치하는지 확인합니다 AWS Config.
목차
IAM 역할 정책 생성
AWS Config 콘솔을 사용하여 IAM 역할을 생성하면는 필요한 권한을 역할에 AWS Config 자동으로 연결합니다.
를 사용하여 AWS CLI 를 설정 AWS Config 하거나 기존 IAM 역할을 업데이트하는 경우가 S3 버킷에 AWS Config 액세스하고 SNS 주제에 게시하며 리소스에 대한 구성 세부 정보를 가져올 수 있도록 정책을 수동으로 업데이트해야 합니다.
역할에 IAM 신뢰 정책 추가
가 역할을 AWS Config 수임하고 이를 사용하여 리소스를 추적할 수 있는 IAM 신뢰 정책을 생성할 수 있습니다. 신뢰 정책에 대한 자세한 내용은 IAM 사용 설명서의 역할 용어 및 개념을 참조하세요.
다음은 AWS Config 역할에 대한 신뢰 정책의 예입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
위의 IAM 역할 신뢰 관계의 AWS:SourceAccount 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS
IAM 역할과만 상호 작용하도록 제한할 수 있습니다.
AWS Config 는 소유 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 IAM 역할만 수임하도록 제한하는 AWS:SourceArn 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 AWS:SourceArn 속성은 항상 로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:* 여기서 sourceRegion는 고객 관리형 구성 레코더의 리전이고 sourceAccountID는 고객 관리형 구성 레코더가 포함된 계정의 ID입니다.
예를 들어 다음 조건을 추가하면 Config 서비스 보안 주체가 계정의 us-east-1 리전에 있는 고객 관리형 구성 레코더를 대신하여 IAM 역할만 수임하도록 제한됩니다123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
S3 버킷에 대한 IAM 역할 정책
다음 예제 정책은 S3 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" } ] }
KMS 키에 대한 IAM 역할 정책
다음 예제 정책은 S3 버킷 전송을 위해 새 객체에 KMS 기반 암호화를 사용할 수 있는 AWS Config 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
Amazon SNS 주제에 대한 IAM 역할 정책
다음 예제 정책은 SNS 주제에 액세스할 수 있는 AWS Config 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
SNS 주제가 암호화된 경우 추가 설정 지침은 Amazon Simple Notification Service 개발자 안내서의 AWS KMS 권한 구성을 참조하세요.
구성 세부 정보를 가져오기 위한 IAM 역할 정책
AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다AWSServiceRoleForConfig. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 AWS Config에 대한 서비스 연결 역할 사용을 참조하십시오.
콘솔을 사용하여 역할을 생성하거나 업데이트하면 AWS Config 가 AWSServiceRoleForConfig를 연결합니다.
를 사용하는 경우 attach-role-policy 명령을 AWS CLI사용하고 AWSServiceRoleForConfig의 Amazon 리소스 이름(ARN)을 지정합니다.
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig
S3 버킷 기록에 대한 권한 관리
AWS Config 는 S3 버킷이 생성, 업데이트 또는 삭제될 때 알림을 기록하고 전달합니다.
AWS Config 서비스 연결 역할인를 사용하는 것이 좋습니다AWSServiceRoleForConfig. 서비스 연결 역할은 사전 정의되며가 다른를 호출하는 데 AWS Config 필요한 모든 권한을 포함합니다 AWS 서비스. AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다. 자세한 내용은 AWS Config에 대한 서비스 연결 역할 사용을 참조하십시오.
