Permissões para a IAM função atribuída a AWS Config - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para a IAM função atribuída a AWS Config

Uma IAM função permite que você defina um conjunto de permissões. AWS Config assume a função que você atribui a ele para gravar em seu bucket do S3, publicar em seu SNS tópico e fazer Describe List API solicitações para obter detalhes de configuração para seus AWS recursos. Para obter mais informações sobre IAM funções, consulte IAMFunções no Guia IAM do usuário.

Quando você usa o AWS Config console para criar ou atualizar uma IAM função, anexa AWS Config automaticamente as permissões necessárias para você. Para obter mais informações, consulte Configurando AWS Config com o console.

Criar políticas de função IAM

Quando você usa o AWS Config console para criar uma IAM função, anexa AWS Config automaticamente as permissões necessárias à função para você.

Se você estiver usando o AWS CLI para configurar AWS Config ou estiver atualizando uma IAM função existente, deverá atualizar manualmente a política AWS Config para permitir acessar seu bucket do S3, publicar em seu SNS tópico e obter detalhes de configuração sobre seus recursos.

Adicionando uma política de IAM confiança à sua função

Você pode criar uma política de IAM confiança que AWS Config permita assumir uma função e usá-la para monitorar seus recursos. Para obter mais informações sobre políticas de confiança, consulte os termos e conceitos de funções no Guia IAM do usuário.

Veja a seguir um exemplo de política de confiança para AWS Config funções:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

Você pode usar a AWS:SourceAccount condição na relação IAM Role Trust acima para restringir o responsável pelo serviço Config a interagir somente com a AWS IAM Função ao realizar operações em nome de contas específicas.

AWS Config também suporta a AWS:SourceArn condição que restringe o responsável pelo serviço Config a assumir apenas a função IAM ao realizar operações em nome da conta proprietária. Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do gravador de configuração e sourceAccountID é a ID da conta que contém o gravador de configuração. Para obter mais informações sobre o gravador AWS Config de configuração, consulte Gerenciando o gravador de configuração. Por exemplo, adicione a seguinte condição para restringir o principal do serviço Config a assumir a IAM função apenas em nome de um gravador de configuração na us-east-1 região da conta:. 123456789012 "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

IAMPolítica de função para seu bucket S3

O exemplo de política a seguir concede AWS Config permissão para acessar seu bucket do S3:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" } ] }

IAMPolítica de funções para KMS Key

O exemplo de política a seguir concede AWS Config permissão para usar criptografia KMS baseada em novos objetos para entrega de buckets do S3:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }

IAMPolítica de funções para Amazon SNS Topic

O exemplo de política a seguir concede AWS Config permissão para acessar seu SNS tópico:

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

Se seu SNS tópico estiver criptografado para obter instruções adicionais de configuração, consulte Configuração de AWS KMS permissões no Guia do desenvolvedor do Amazon Simple Notification Service.

IAMPolítica de função para obter detalhes de configuração

Para registrar suas configurações AWS de recursos, AWS Config requer IAM permissões para obter os detalhes de configuração sobre seus recursos.

Use a política AWS gerenciada AWS_ConfigRolee anexe-a à IAM função à qual você atribui AWS Config. AWS atualiza essa política sempre que AWS Config adiciona suporte para um tipo de AWS recurso, o que significa que AWS Config continuará a ter as permissões necessárias para obter detalhes de configuração, desde que a função tenha essa política gerenciada anexada.

Se você criar ou atualizar uma função com o console, AWS Config anexe-a AWS_ConfigRolepara você.

Se você usar o AWS CLI, use o attach-role-policy comando e especifique o Amazon Resource Name (ARN) para AWS_ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

Gerenciar permissões para gravação de bucket do S3

AWS Config registra e entrega notificações quando um bucket do S3 é criado, atualizado ou excluído.

É recomendável que você use a AWSServiceRoleForConfig (consulte Usando funções vinculadas ao serviço para AWS Config) ou uma IAM função personalizada utilizando a AWS_ConfigRole política gerenciada. Para obter mais informações sobre as práticas recomendadas para a gravação de configuração, consulte Práticas recomendadas do AWS Config.

Se você precisar gerenciar permissões em nível de objeto para a gravação do bucket, certifique-se de fornecer config.amazonaws.com (o nome principal do AWS Config serviço) acesso a todas as permissões relacionadas ao S3 da política gerenciada. AWS_ConfigRole Para obter mais informações, consulte Permissões para buckets do Amazon S3.