指派給的IAM角色的權限 AWS Config - AWS Config
建立 IAM 角色政策管理 S3 儲存貯體記錄的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

指派給的IAM角色的權限 AWS Config

IAM角色可讓您定義一組權限。 AWS Config 假設您指派給它的角色,以寫入 S3 儲存貯體、發佈到您的SNS主題,以及發出DescribeListAPI請求取得 AWS 資源的組態詳細資料。有關IAM角色的詳細資訊,請參閱《IAM使用者指南》中的〈IAM角色〉。

當您使用 AWS Config 主控台建立或更新IAM角色時, AWS Config 會自動為您附加必要的權限。如需詳細資訊,請參閱使用主控 AWS Config 台進行設定

建立 IAM 角色政策

當您使用 AWS Config 主控台建立IAM角色時, AWS Config 會自動為您附加必要的權限至該角色。

如果您使用進行設 AWS CLI 定 AWS Config 或正在更新現有IAM角色,則必須手動更新政策以允許 AWS Config 存取 S3 儲存貯體、發佈到您的SNS主題,以及取得有關資源的組態詳細資訊。

將IAM信任原則新增至您的角色

您可以建立IAM信任原則,以 AWS Config 便擔任角色並使用它來追蹤您的資源。如需有關信任原則的詳細資訊,請參閱IAM使用指南中的角色術語和概念

以下是 AWS Config 角色的信任原則範例:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

您可以使用上述「IAM角色信任」關係中的AWS:SourceAccount條件,將 Config 服務主體限制為在代表特定帳戶執行作業時僅與 AWS IAM角色互動。

AWS Config 也支援限制 AWS:SourceArn Config 服務主體在代表擁有帳戶執行作業時僅承擔IAM角色的條件。使用 AWS Config 服務主體時,AWS:SourceArn屬性一律會設定為arn:aws:config:sourceRegion:sourceAccountID:*組態記錄程式的區域,而且sourceAccountID是包含組態記錄程式的帳戶識別碼。sourceRegion如需 AWS Config 組態錄製程式的詳細資訊,請參閱管理組態錄製程式。例如,新增下列條件將 Config 服務主體限制為僅代表帳戶中us-east-1區域中的組態記錄程式承擔IAM角色123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

IAMS3 儲存貯體的角色政策

下列範例政策授 AWS Config 予存取 S3 儲存貯體的權限:

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::myBucketName"
    }
  ]
}

IAMKMS金鑰的角色原則

下列範例政策授 AWS Config 予對 S3 儲存貯體交付的新物件使用KMS基礎加密的權限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

IAMAmazon SNS 主題的角色政策

下列範例原則授 AWS Config 予存取您SNS主題的權限:

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

如果您的SNS主題已加密以取得其他設定指示,請參Amazon 簡單通知服務開發人員指南中的設定 AWS KMS 許可。

IAM取得組態詳細資料的角色原則

若要記錄您的 AWS 資源組態, AWS Config 需要取得資源相關組態詳細資料的IAM權限。

使用受 AWS 管理的策略 AWS_ ConfigRole 並將其附加到您指派的IAM角色 AWS Config。 AWS 每次新 AWS Config 增 AWS 資源類型支援時,都 AWS Config 會更新此原則,這表示只要角色已附加此受管理原則,就會繼續擁有取得組態詳細資料所需的權限。

如果您使用主控台建立或更新角色,請ConfigRole為您 AWS Config 附加 AWS_

如果您使用 AWS CLI,請使用attach-role-policy命令並為 AWS_ 指定 Amazon 資源名稱 (ARN)ConfigRole:

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

管理 S3 儲存貯體記錄的許可

AWS Config 在建立、更新或刪除 S3 儲存貯體時記錄並傳送通知。

建議您使用 AWSServiceRoleForConfig (請參閱使用服務連結角色 AWS Config) 或利用AWS_ConfigRole受管理策略的自訂IAM角色。如需組態記錄最佳實務的詳細資訊,請參閱《AWS Config 最佳實務》。

如果您需要管理儲存貯體記錄的物件層級許可,請確保在 S3 儲存貯體政策中提供 config.amazonaws.com ( AWS Config 服務主體名稱) 對AWS_ConfigRole受管政策中所有 S3 相關許可的存取權。如需詳細資訊,請參閱《Amazon S3 儲存貯體許可》。