Permissões para o bucket Amazon S3 para o AWS Config canal de entrega - AWS Config
Ao usar IAM funçõesQuando usar perfis vinculados ao serviçoConcedendo acesso AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para o bucket Amazon S3 para o AWS Config canal de entrega

Importante

Esta página trata da configuração do Amazon S3 Bucket para o canal de AWS Config entrega. Esta página não trata do tipo de AWS::S3::Bucket recurso que o gravador AWS Config de configuração pode registrar. Para obter mais informações sobre o canal AWS Config de entrega, consulte Gerenciando o canal de entrega.

Por padrão, todos os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso, que é a Conta da AWS que criou o bucket, pode acessar esse bucket. No entanto, o proprietário do recurso pode conceder permissões de acesso a outros usuários e recursos. Uma maneira de fazer isso é escrever uma política de acesso.

Se AWS Config criar um bucket do Amazon S3 para você automaticamente (por exemplo, se você usar o AWS Config console para configurar seu canal de entrega), essas permissões serão adicionadas automaticamente ao bucket do Amazon S3. No entanto, se você especificar um bucket do S3 existente, garanta que esse bucket tenha as permissões corretas.

nota

Um objeto não herda as permissões de seu bucket. Por exemplo, se criar um bucket e conceder acesso de gravação a outro usuário, você não poderá acessar os objetos desse usuário, a menos que ele conceda o acesso explicitamente.

Permissões necessárias para o bucket do Amazon S3 ao usar funções IAM

Quando AWS Config envia informações de configuração (arquivos de histórico e snapshots) para o bucket do Amazon S3 em sua conta, ele assume IAM a função que você atribuiu ao configurar. AWS Config Quando AWS Config envia informações de configuração para um bucket do Amazon S3 em outra conta, ele primeiro tenta usar a IAM função, mas essa tentativa falha se a política de acesso do bucket não conceder WRITE acesso à IAM função. Nesse caso, AWS Config envia as informações novamente, desta vez como responsável pelo AWS Config serviço. Antes que a entrega seja bem-sucedida, a política de acesso deve conceder WRITE acesso ao nome config.amazonaws.com principal. AWS Config é então o proprietário dos objetos que ele entrega ao bucket do S3. Você deve associar uma política de acesso, mencionada na etapa 6 abaixo, ao bucket do S3 em outra conta para conceder ao AWS Config acesso ao bucket do S3.

Antes de AWS Config poder entregar registros para seu bucket do Amazon S3, AWS Config verifique se o bucket existe e em qual AWS região o bucket está localizado. AWS Config tenta chamar o Amazon S3 HeadBucketAPIpara verificar se o bucket existe e obter a região do bucket. Se as permissões não forem fornecidas para localizar o bucket quando a verificação de localização for realizada, você verá AccessDenied um erro nos AWS CloudTrail registros. No entanto, a entrega de logs para o bucket do S3 será bem-sucedida se você não fornecer permissões para localização do bucket.

nota

Para permitir a permissão para o Amazon S3 HeadBucketAPI, forneça permissão para realizar a s3:ListBucket ação como o SidAWSConfigBucketExistenceCheck, mencionado na etapa 6 abaixo.

Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis vinculados ao serviço

A função AWS Config vinculada ao serviço não tem permissão para colocar objetos nos buckets do Amazon S3. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará itens de configuração como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada na etapa 6 abaixo, ao bucket do Amazon S3 em sua própria conta ou em outra conta para conceder AWS Config acesso ao bucket do Amazon S3.

Concedendo AWS Config acesso ao Amazon S3 Bucket

Siga estas etapas para adicionar uma política de acesso a um bucket do S3 em sua própria conta ou em outra conta. A política de acesso permite AWS Config enviar informações de configuração para um bucket do Amazon S3.

  1. Faça login no AWS Management Console usando a conta que tem o bucket do S3.

  2. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  3. Selecione o bucket que você deseja usar AWS Config para entregar itens de configuração e, em seguida, escolha Propriedades.

  4. Escolha Permissões.

  5. Escolha Edit Bucket Policy (Editar política de bucket).

  6. Copie a seguinte política na janela Bucket Policy Editor (Editor de políticas de bucket):

    Importante

    Como melhor prática de segurança ao permitir o AWS Config acesso a um bucket do Amazon S3, recomendamos fortemente que você restrinja o acesso na política de bucket com a AWS:SourceAccount condição. Se sua política de bucket atual não seguir essa prática recomendada de segurança, recomendamos que você a edite para incluir essa proteção. Isso garante que o acesso AWS Config seja concedido somente em nome dos usuários esperados.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}
    nota

    Ao conceder permissões para sua IAM função em vez do nome principal do AWS Config serviço (SPN), certifique-se de que sua IAM função tenha PutObjectACL permissão no bucket entre contas para evitar erros de permissão insuficientes. Veja IAM um exemplo de política de funções em IAMPolítica de função para seu bucket S3.

  7. Substitua os seguintes valores na política do bucket:

    • amzn-s3-demo-bucket— O nome do bucket do Amazon S3 para o qual AWS Config entregará os itens de configuração.

    • [optional] prefix— Uma adição opcional à chave de objeto do Amazon S3 que ajuda a criar uma organização semelhante a uma pasta no bucket.

    • sourceAccountID— O ID da conta para a qual AWS Config entregará os itens de configuração ao bucket de destino.

  8. Escolha Save (Salvar) e Close (Fechar).

Você pode usar a condição AWS:SourceAccount na política de bucket do Amazon S3 acima para restringir a entidade principal de serviço do Config para interagir somente com o bucket do S3 ao realizar operações em nome de contas específicas. Se você planeja configurar várias contas da mesma organização para entregar itens de configuração AWS Config em um único bucket do Amazon S3, recomendamos o uso de IAM funções em vez de funções vinculadas a serviços para que você possa usar chaves de AWS Organizations condições, como. AWS:PrincipalOrgID Para obter mais informações sobre como gerenciar as permissões de acesso de uma IAM função com a qual usar AWS Config, consulte Permissões para a IAM função atribuída AWS Config a. Para obter mais informações sobre como gerenciar permissões de acesso para AWS Organizations, consulte Gerenciando permissões de acesso para sua AWS organização.

AWS Config também suporta a AWS:SourceArn condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de canais de entrega específicos. AWS Config Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do canal de entrega e sourceAccountID é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte Gerenciando o canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1 da conta 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.