As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para a KMS chave do AWS Config Nome do canal de entrega
Use as informações deste tópico se quiser criar uma política para um AWS KMS chave para seu bucket S3 que permite que você use criptografia KMS baseada em objetos fornecidos por AWS Config para entrega de baldes S3.
Sumário
Permissões necessárias para a KMS chave ao usar IAM funções (S3 Bucket Delivery)
Se você configurar AWS Config usando uma IAM função, você pode anexar a seguinte política de permissão à KMS Chave:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
nota
Se a IAM função, a política de bucket do Amazon S3 ou AWS KMS a chave não fornece acesso adequado a AWS Config, então AWS Config A tentativa da de enviar informações de configuração para o bucket do Amazon S3 falhará. Neste evento, AWS Config envia as informações novamente, desta vez como AWS Config diretor de serviço. Nesse caso, você deve anexar uma política de permissão, mencionada abaixo, ao AWS KMS chave para conceder AWS Config acesso para usar a chave ao entregar informações ao bucket do Amazon S3.
Permissões necessárias para o AWS KMS Chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery)
A ferramenta AWS Config a função vinculada ao serviço não tem permissão para acessar o AWS KMS chave. Então, se você configurar AWS Config usando uma função vinculada ao serviço, AWS Config enviará informações como AWS Config principal de serviço em vez disso. Você precisará anexar uma política de acesso, mencionada abaixo, ao AWS KMS chave para conceder AWS Config acesso para usar o AWS KMS chave ao entregar informações para o bucket do Amazon S3.
Concessão AWS Config acesso ao AWS KMS Chave
Essa política permite AWS Config para usar um AWS KMS chave ao entregar informações para um bucket do Amazon S3
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Substitua os seguintes valores na política de chave:
-
myKMSKeyARN— O ARN do AWS KMS chave usada para criptografar dados no bucket do Amazon S3 que AWS Config entregará itens de configuração para o. -
sourceAccountID— O ID da conta para a qual AWS Config entregará itens de configuração para o.
Você pode usar a AWS:SourceAccount condição no AWS KMS política chave acima para restringir o principal do serviço Config a interagir apenas com o AWS KMS chave ao realizar operações em nome de contas específicas.
AWS Config também suporta a AWS:SourceArn condição que restringe o principal do serviço Config a interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de pessoas específicas AWS Config canais de entrega. Ao usar o AWS Config principal do serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do canal de entrega e sourceAccountID é o ID da conta que contém o canal de entrega. Para obter mais informações sobre as AWS Config canais de entrega, consulte Gerenciamento do canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1 da conta 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
