Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Permissões para a chave KMS para o canal AWS Config de entrega

PDF
RSS
Modo de foco
Permissões para a chave KMS para o canal AWS Config de entrega - AWS Config
Quando usar perfis do IAMQuando usar perfis vinculados ao serviçoConcedendo acesso AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use as informações deste tópico se quiser criar uma política para uma AWS KMS chave para seu bucket do S3 que permita usar a criptografia baseada em KMS em objetos entregues AWS Config para entrega do bucket do S3.

Permissões obrigatórias para a chave KMS ao usar perfis do IAM (entrega do bucket do S3)

Se você configurar AWS Config usando uma função do IAM, poderá anexar a seguinte política de permissão à chave KMS:


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
nota

Se a função do IAM, a política de bucket do Amazon S3 ou a AWS KMS chave não fornecerem acesso adequado AWS Config, a tentativa AWS Config de enviar informações de configuração para o bucket do Amazon S3 falhará. Nesse caso, AWS Config envia as informações novamente, desta vez como responsável pelo AWS Config serviço. Nesse caso, você deve anexar uma política de permissão, mencionada abaixo, à AWS KMS chave para conceder AWS Config acesso ao uso da chave ao entregar informações ao bucket do Amazon S3.

Permissões necessárias para a AWS KMS chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery)

A função AWS Config vinculada ao serviço não tem permissão para acessar a AWS KMS chave. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará informações como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada abaixo, à AWS KMS chave para conceder AWS Config acesso ao uso da AWS KMS chave ao entregar informações ao bucket do Amazon S3.

Concedendo AWS Config acesso à chave AWS KMS

Essa política permite AWS Config usar uma AWS KMS chave ao entregar informações para um bucket do Amazon S3

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

Substitua os seguintes valores na política de chave:

  • myKMSKeyARN— O ARN da AWS KMS chave usada para criptografar dados no bucket do Amazon S3 que AWS Config entregará itens de configuração para o.

  • sourceAccountID— O ID da conta para a qual AWS Config entregará os itens de configuração.

Você pode usar a AWS:SourceAccount condição na política de AWS KMS chaves acima para restringir o principal do serviço Config a interagir apenas com a AWS KMS chave ao realizar operações em nome de contas específicas.

AWS Config também suporta a AWS:SourceArn condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de canais de entrega específicos. AWS Config Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do canal de entrega e sourceAccountID é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte Gerenciando o canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1 da conta 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.