Permissões para a função do IAM atribuída a AWS Config

Uma função do IAM permite que você defina um conjunto de permissões. AWS Config assume a função que você atribui a ele para gravar em seu bucket do S3, publicar em seu tópico do SNS e fazer Describe solicitações de List API para obter detalhes de configuração de seus recursos. AWS Para obter mais informações sobre funções do IAM, consulte Perfis do IAM no Guia do usuário do IAM.

Quando você usa o AWS Config console para criar ou atualizar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias para você. Para obter mais informações, consulte Configurando AWS Config com o console.

Políticas e resultados de conformidade

As políticas do IAM e outras políticas gerenciadas em AWS Organizations podem afetar se você AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e as regras não levam em conta essas políticas ao executar avaliações. Certifique-se de que as políticas em vigor estejam alinhadas com a forma como você pretende usar AWS Config.

Sumário

Criar políticas do perfil do IAM

Criar políticas do perfil do IAM

Quando você usa o AWS Config console para criar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias à função para você.

Se você estiver usando o AWS CLI para configurar AWS Config ou estiver atualizando uma função existente do IAM, você deve atualizar manualmente a política para permitir o acesso AWS Config ao bucket do S3, publicar no tópico do SNS e obter detalhes de configuração sobre seus recursos.

Adicionar uma política de confiança do IAM à sua função

Você pode criar uma política de confiança do IAM que AWS Config permita assumir uma função e usá-la para monitorar seus recursos. Para obter mais informações sobre políticas de confiança, consulte Termos e conceitos dos perfis no Guia do usuário do IAM.

Veja a seguir um exemplo de política de confiança para AWS Config funções:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Você pode usar a condição AWS:SourceAccount na relação de confiança acima do perfil do IAM para restringir a entidade principal de serviço do Config a interagir somente com o perfil do IAM da AWS ao realizar operações em nome de contas específicas.

AWS Config também suporta a AWS:SourceArn condição que restringe o responsável pelo serviço Config a assumir apenas a função do IAM ao realizar operações em nome da conta proprietária. Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como a arn:aws:config:sourceRegion:sourceAccountID:* região do gravador de configuração gerenciado pelo cliente e sourceAccountID a ID da conta que contém o gravador de configuração gerenciado pelo cliente. sourceRegion

Por exemplo, adicione a seguinte condição para restringir o principal do serviço Config a assumir apenas a função do IAM apenas em nome de um gravador de configuração gerenciado pelo cliente na us-east-1 região da conta:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

Política de perfil do IAM para o bucket do S3

O exemplo de política a seguir concede AWS Config permissão para acessar seu bucket do S3:


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

Política de perfil do IAM para chave do KMS

O exemplo de política a seguir concede AWS Config permissão para usar criptografia baseada em KMS em novos objetos para entrega de buckets do S3:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

O exemplo de política a seguir concede AWS Config permissão para acessar seu tópico do SNS:


{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

Se o tópico do SNS for criptografado, para obter mais instruções de configuração, consulte Configuração de permissões do AWS KMS no Guia do desenvolvedor do Amazon Simple Notification Service.

Política de perfil do IAM para obter detalhes de configuração

É recomendável usar a função AWS Config vinculada ao serviço:. AWSServiceRoleForConfig As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas. Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o AWS Config.

Se você criar ou atualizar uma função com o console, AWS Config anexe-a AWSServiceRoleForConfigpara você.

Se você usar o AWS CLI, use o attach-role-policy comando e especifique o Amazon Resource Name (ARN) para: AWSServiceRoleForConfig


$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSServiceRoleForConfig

Gerenciar permissões para gravação de bucket do S3

AWS Config registra e entrega notificações quando um bucket do S3 é criado, atualizado ou excluído.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS políticas gerenciadas

Atualizar o perfil do IAM