Permisos del bucket de Amazon S3 para el canal AWS Config de entrega - AWS Config
Cuando se usan los roles de IAMCuando se usan los roles vinculados a serviciosConcesión de AWS Config accesoEntrega entre cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos del bucket de Amazon S3 para el canal AWS Config de entrega

importante

Esta página trata sobre cómo configurar el Amazon S3 Bucket para el canal AWS Config de entrega. Esta página no trata sobre el tipo AWS::S3::Bucket de recurso que puede grabar la grabadora de AWS Config configuración.

De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo la persona Cuenta de AWS que creó el depósito (el propietario del recurso) tiene permisos de acceso. Los propietarios de recursos pueden conceder acceso a otros recursos y usuarios creando políticas de acceso.

Cuando crea AWS Config automáticamente un bucket de S3 para usted, añade los permisos necesarios. No obstante, si especifica un bucket de S3 existente, debe agregar estos permisos de forma manual.

Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles de IAM

AWS Config utiliza la función de IAM que asignó al grabador de configuración para enviar el historial de configuración y las instantáneas a los depósitos de S3 de su cuenta. Para la entrega entre cuentas,AWS Config primero intenta usar la función de IAM asignada. Si la política de bucket no concede acceso a WRITE al rol de IAM,AWS Config utiliza la entidad principal de servicio config.amazonaws.com. La política de bucket debe conceder acceso a WRITE a config.amazonaws.com para completar la entrega. Tras una entrega correcta,AWS Config conserva la propiedad de todos los objetos que entrega al depósito S3 multicuenta.

AWS Config llama a la HeadBucketAPI de Amazon S3 con la función de IAM que asignó al registrador de configuración para confirmar si el bucket de S3 existe y su ubicación. Si no tiene los permisos necesarios AWS Config para confirmarlo, aparecerá un AccessDenied error en sus AWS CloudTrail registros. Sin embargo,AWS Config puede seguir proporcionando el historial de configuración y las instantáneas aunque AWS Config no disponga de los permisos necesarios para confirmar la existencia del bucket de S3 y su ubicación.

Permisos mínimos

La API HeadBucket de Amazon S3 requiere esta acción s3:ListBucket.

Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados a servicios

El rol AWS Config vinculado al servicio no tiene permiso para colocar objetos en los buckets de Amazon S3. Si lo configura AWS Config mediante un rol vinculado a un servicio,AWS Config utilizará el principal de config.amazonaws.com servicio para entregar el historial de configuración y las instantáneas. La política de compartimentos de S3 de su cuenta o de los destinos de varias cuentas debe incluir permisos para que el director del AWS Config servicio escriba objetos.

Concesión de AWS Config acceso al Amazon S3 Bucket

Complete los siguientes pasos AWS Config para enviar el historial de configuración y las instantáneas a un bucket de Amazon S3.

  1. Inicie sesión Consola de administración de AWS con la cuenta que tiene el bucket de S3.

  2. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  3. Seleccione el depósito que quiere usar AWS Config para entregar los elementos de configuración y, a continuación, elija Propiedades.

  4. Elija Permisos.

  5. Elija Edit Bucket Policy.

  6. Copie la siguiente política en la ventana Bucket Policy Editor (Editor de política de bucket):

    Prácticas recomendadas de seguridad

    Le recomendamos encarecidamente que restrinja el acceso a la política de bucket con la condición AWS:SourceAccount. Esto garantiza que solo AWS Config se conceda el acceso en nombre de los usuarios esperados.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

  7. Cambie los siguientes valores de la política del bucket:

    • amzn-s3-demo-bucket— Nombre del bucket de Amazon S3 donde se AWS Config entregarán el historial de configuración y las instantáneas.

    • [optional] prefix— Una adición opcional a la clave de objeto de Amazon S3 que ayuda a crear una organización similar a una carpeta en el bucket.

    • sourceAccountID— ID de la cuenta en la que se AWS Config entregarán el historial de configuración y las instantáneas.

  8. Elija Save (Guardar) y, a continuación, Close (Cerrar).

La AWS:SourceAccount condición restringe las AWS Config operaciones a lo especificado.Cuentas de AWS Para las configuraciones de varias cuentas dentro de una organización que realizan entregas en un único segmento de S3, utilice funciones de IAM con claves de AWS Organizations condiciones en lugar de funciones vinculadas al servicio. Por ejemplo, AWS:PrincipalOrgID. Para obtener más información, consulte Administración de permisos de acceso para una organización en la Guía del usuario de AWS Organizations.

La AWS:SourceArn condición restringe las AWS Config operaciones a canales de entrega específicos. El formato de AWS:SourceArn es el siguiente: arn:aws:config:sourceRegion:123456789012.

Por ejemplo, para restringir el acceso al bucket de S3 a un canal de entrega en la región Este de EE. UU. (Norte de Virginia) de la cuenta 123456789012, añada la siguiente condición:

"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}

Permisos necesarios para el bucket de Amazon S3 cuando se realizan entregas entre cuentas

Si AWS Config está configurado para entregar el historial de configuración y las instantáneas a un bucket de Amazon S3 en una cuenta diferente (configuración multicuenta), donde el registrador de configuración y el bucket de S3 especificado para el canal de entrega son diferentes Cuentas de AWS, se requieren los siguientes permisos:

  • El rol de IAM que asigne al registrador de configuración necesita un permiso explícito para realizar la operación s3:ListBucket. Esto se debe a que AWS Config llama a la HeadBucketAPI de Amazon S3 con esta función de IAM para determinar la ubicación del bucket.

  • La política de bucket de S3 debe incluir los permisos para la función de IAM asignada al registrador de configuración.

A continuación se muestra un ejemplo de política de bucket.

{
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": "IAM Role-Arn assigned to the configuration recorder"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}