As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Permissões para a função do IAM atribuída a AWS Config
Uma função do IAM permite que você defina um conjunto de permissões. AWS Config assume a função que você atribui a ele para gravar em seu bucket do S3, publicar em seu tópico do SNS e fazer `Describe` solicitações de `List` API para obter detalhes de configuração de seus recursos. AWS Para obter mais informações sobre funções do IAM, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) no *Guia do usuário do IAM*.
Quando você usa o AWS Config console para criar ou atualizar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias para você. Para obter mais informações, consulte [Configuração do AWS Config no console](gs-console.md).
**Políticas e resultados de conformidade**
As [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [outras políticas gerenciadas no AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) podem determinar se o AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.
**Contents**
+ [Criar políticas do perfil do IAM](#iam-role-policies)
+ [Adicionar uma política de confiança do IAM à sua função](#iam-trust-policy)
+ [Política de perfil do IAM para o bucket do S3](#iam-role-policies-S3-bucket)
+ [Política de perfil do IAM para chave do KMS](#iam-role-policies-S3-kms-key)
+ [Política de perfil do IAM para o tópico do Amazon SNS](#iam-role-policies-sns-topic)
+ [Política de perfil do IAM para obter detalhes de configuração](#iam-role-policies-describe-apis)
+ [Gerenciar permissões para gravação de bucket do S3](#troubleshooting-recording-s3-bucket-policy)
## Criar políticas do perfil do IAM
Quando você usa o AWS Config console para criar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias à função para você.
Se você estiver usando o AWS CLI para configurar AWS Config ou estiver atualizando uma função existente do IAM, você deve atualizar manualmente a política para permitir o acesso AWS Config ao bucket do S3, publicar no tópico do SNS e obter detalhes de configuração sobre seus recursos.
### Adicionar uma política de confiança do IAM à sua função
Você pode criar uma política de confiança do IAM que AWS Config permita assumir uma função e usá-la para monitorar seus recursos. Para obter mais informações sobre políticas de confiança, consulte [Termos e conceitos dos perfis](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política de confiança para AWS Config funções:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Você pode usar a condição `AWS:SourceAccount` na relação de confiança acima do perfil do IAM para restringir a entidade principal de serviço do Config a interagir somente com o perfil do IAM da AWS ao realizar operações em nome de contas específicas.
AWS Config também suporta a `AWS:SourceArn` condição que restringe o responsável pelo serviço Config a assumir apenas a função do IAM ao realizar operações em nome da conta proprietária. Ao usar o principal de AWS Config serviço, a `AWS:SourceArn` propriedade sempre será definida como a `arn:aws:config:sourceRegion:sourceAccountID:*` região do gravador de configuração gerenciado pelo cliente e `sourceAccountID` a ID da conta que contém o gravador de configuração gerenciado pelo cliente. `sourceRegion`
Por exemplo, adicione a seguinte condição para restringir a entidade principal do serviço Config a assumir apenas o perfil do IAM somente em nome de um gravador de configuração gerenciado pelo cliente na região `us-east-1` na conta `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
### Política de perfil do IAM para o bucket do S3
O exemplo de política a seguir concede AWS Config permissão para acessar seu bucket do S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Política de perfil do IAM para chave do KMS
O exemplo de política a seguir concede AWS Config permissão para usar criptografia baseada em KMS em novos objetos para entrega de buckets do S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Política de perfil do IAM para o tópico do Amazon SNS
O exemplo de política a seguir concede AWS Config permissão para acessar seu tópico do SNS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Se o tópico do SNS for criptografado, para obter mais instruções de configuração, consulte [Configuração de permissões do AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
### Política de perfil do IAM para obter detalhes de configuração
É recomendável usar a função AWS Config vinculada ao serviço:. `AWSServiceRoleForConfig` As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas. Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte [Uso de funções vinculadas ao serviço para o AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Se você criar ou atualizar uma função com o console, AWS Config anexe-a **AWSServiceRoleForConfig**para você.
Se você usar o AWS CLI, use o `attach-role-policy` comando e especifique o Amazon Resource Name (ARN) para: **AWSServiceRoleForConfig**
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Gerenciar permissões para gravação de bucket do S3
AWS Config registra e entrega notificações quando um bucket do S3 é criado, atualizado ou excluído.
É recomendável usar a função AWS Config vinculada ao serviço:. `AWSServiceRoleForConfig` As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas. Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte [Uso de funções vinculadas ao serviço para o AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).