As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para a KMS chave do canal AWS Config de entrega
Use as informações deste tópico se quiser criar uma política para uma AWS KMS chave para seu bucket do S3 que permita usar criptografia KMS baseada em objetos entregues AWS Config para entrega do bucket do S3.
Sumário
Permissões necessárias para a KMS chave ao usar IAM funções (S3 Bucket Delivery)
Se você configurar AWS Config usando uma IAM função, poderá anexar a seguinte política de permissão à KMS Chave:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "
account-id1
", "account-id2
", "account-id3
" ] } } ] }
nota
Se a IAM função, a política de bucket do Amazon S3 ou a AWS KMS chave não fornecerem acesso adequado AWS Config, a tentativa AWS Config de enviar informações de configuração para o bucket do Amazon S3 falhará. Nesse caso, AWS Config envia as informações novamente, desta vez como responsável pelo AWS Config serviço. Nesse caso, você deve anexar uma política de permissão, mencionada abaixo, à AWS KMS chave para conceder AWS Config acesso ao uso da chave ao entregar informações ao bucket do Amazon S3.
Permissões necessárias para a AWS KMS chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery)
A função AWS Config vinculada ao serviço não tem permissão para acessar a AWS KMS chave. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará informações como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada abaixo, à AWS KMS chave para conceder AWS Config acesso ao uso da AWS KMS chave ao entregar informações ao bucket do Amazon S3.
Concedendo AWS Config acesso à chave AWS KMS
Essa política permite AWS Config usar uma AWS KMS chave ao entregar informações para um bucket do Amazon S3
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } } ] }
Substitua os seguintes valores na política de chave:
-
myKMSKeyARN
— A ARN AWS KMS chave usada para criptografar dados no bucket do Amazon S3 AWS Config que entregará itens de configuração para o. -
sourceAccountID
— O ID da conta para a qual AWS Config entregará os itens de configuração.
Você pode usar a AWS:SourceAccount
condição na política de AWS KMS chaves acima para restringir o principal do serviço Config a interagir apenas com a AWS KMS chave ao realizar operações em nome de contas específicas.
AWS Config também suporta a AWS:SourceArn
condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de canais de entrega específicos. AWS Config Ao usar o principal de AWS Config serviço, a AWS:SourceArn
propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:*
onde sourceRegion
está a região do canal de entrega e sourceAccountID
é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte Gerenciando o canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1
da conta 123456789012
: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}
.