本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
KMS金鑰的權限 AWS Config 交付通道
如果您想要建立原則,請使用本主題中的資訊 AWS KMS S3 儲存貯體的金鑰,可讓您對提供的物件使用KMS基礎加密 AWS Config 適用於 S3 儲存貯體交付。
使用IAM角色時KMS金鑰的必要權限 (S3 儲存貯體交付)
如果您設定 AWS Config 使用IAM角色,您可以將遵循權限原則附加至KMS金鑰:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
注意
如果IAM角色,Amazon S3 存儲桶政策,或 AWS KMS key 不提供適當的訪問 AWS Config,然後 AWS Config嘗試將組態資訊傳送到 Amazon S3 儲存貯體將會失敗。在這次活動中, AWS Config 再次發送信息,這次作為 AWS Config 服務主體。對於這種情況,您必須將下面提到的權限策略附加到 AWS KMS 授予的鑰匙 AWS Config 在將資訊傳送到 Amazon S3 儲存貯體時存取使用金鑰。
所需的權限 AWS KMS 使用服務連結角色時的關鍵 (S3 儲存貯體交付)
所以此 AWS Config 服務連結角色沒有存取的權限 AWS KMS 索引鍵。所以,如果你設置 AWS Config 使用服務連結角色 AWS Config 將發送信息作為 AWS Config 服務主體而不是。您需要將下面提到的訪問策略附加到 AWS KMS 授予的鑰匙 AWS Config 訪問使用 AWS KMS 將資訊傳送到 Amazon S3 儲存貯體時的關鍵。
授予 AWS Config 存取 AWS KMS 金錀
此政策允許 AWS Config 若要使用 AWS KMS 將資訊傳送到 Amazon S3 儲存貯體時的關鍵
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
替換金鑰政策中的下列值:
-
myKMSKeyARN— ARN 的 AWS KMS 用於在 Amazon S3 儲存貯體中加密資料的金鑰 AWS Config 將會將組態項目遞送至。 -
sourceAccountID— 該帳戶的 ID,該帳戶的 ID AWS Config 將會將組態項目遞送至。
您可以使用中的AWS:SourceAccount條件 AWS KMS 上面的關鍵策略限制 Config 服務主體僅與 AWS KMS 代表特定帳戶執行操作時的 key。
AWS Config 也支援限制 AWS:SourceArn Config 服務主體在代表特定執行操作時僅與 Amazon S3 儲存貯體互動的條件 AWS Config 交付渠道。使用時 AWS Config 服務主體,AWS:SourceArn屬性一律會設arn:aws:config:sourceRegion:sourceAccountID:*定sourceRegion為傳送通道的區域,而且sourceAccountID是包含傳送通道之帳戶的 ID。有關更多信息 AWS Config 交付管道,請參閱管理交付管道。例如,新增下列條件以限制 Config 服務主體在代表帳戶 123456789012 在 us-east-1 區域中的交付通道 "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"} 時,僅能與 Amazon S3 儲存貯體互動。
