AWS Config전송 채널에 대한 Amazon S3 버킷에 대한 권한 - AWS Config
IAM 역할 사용 시서비스 연결 역할 사용 시AWS Config액세스 권한 부여교차 계정 전송

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config전송 채널에 대한 Amazon S3 버킷에 대한 권한

중요

이 페이지에서는AWS Config전송 채널에 대한 Amazon S3 버킷을 설정합니다. 이 페이지는AWS Config구성 레코더가 기록할 수 있는 AWS::S3::Bucket 리소스 유형에 대한 것이 아닙니다.

기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 버킷AWS 계정(리소스 소유자)을 생성한 에만 액세스 권한이 있습니다. 리소스 소유자는 액세스 정책을 생성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.

가AWS Config자동으로 S3 버킷을 생성하면 필요한 권한이 추가됩니다. 그러나 기존 S3 버킷을 지정하는 경우 이러한 권한을 수동으로 추가해야 합니다.

IAM 역할을 사용할 때 Amazon S3 버킷에 필요한 권한

AWS Config는 구성 레코더에 할당한 IAM 역할을 사용하여 계정의 S3 버킷에 구성 기록 및 스냅샷을 전달합니다. 교차 계정 전송의 경우AWS Config먼저 할당된 IAM 역할을 사용하려고 시도합니다. 버킷 정책이 IAM 역할에 WRITE 액세스 권한을 부여하지 않으면AWS Config는 config.amazonaws.com 서비스 위탁자를 사용합니다. 버킷 정책은 전송을 완료하기 위해 config.amazonaws.com.rproxy.govskope.caWRITE 액세스 권한을 부여해야 합니다. 전송에 성공하면는 교차 계정 S3 버킷에 전달하는 모든 객체의 소유권을AWS Config유지합니다.

AWS Config는 구성 레코더에 할당한 IAM 역할로 Amazon S3 HeadBucket API를 호출하여 S3 버킷의 존재 여부와 위치를 확인합니다. 에서 확인하는AWS Config데 필요한 권한이 없는 경우AWS CloudTrail로그에 AccessDenied 오류가 표시됩니다. 그러나는에 S3 버킷이 존재하는지 여부와 그 위치를 확인하는 데 필요한 권한이AWS Config없더라도 구성 기록 및 스냅샷을 전달할AWS Config수 있습니다.

최소 권한

Amazon S3 HeadBucket API에는 s3:ListBucket 작업이 필요합니다.

서비스 연결 역할을 사용할 때 Amazon S3 버킷에 필요한 권한

AWS Config서비스 연결 역할에는 Amazon S3 버킷에 객체를 넣을 수 있는 권한이 없습니다. 서비스 연결 역할을AWS Config사용하여를 설정하면AWS Config는 config.amazonaws.com 서비스 보안 주체를 사용하여 구성 기록 및 스냅샷을 제공합니다. 계정 또는 교차 계정 대상의 S3 버킷 정책에는AWS Config서비스 보안 주체가 객체를 작성할 수 있는 권한이 포함되어야 합니다.

Amazon S3 버킷에 대한AWS Config액세스 권한 부여

다음 단계를 완료하면가 Amazon S3 버킷AWS Config에 구성 기록 및 스냅샷을 전달할 수 있습니다.

  1. S3 버킷이 있는 계정을AWS Management 콘솔사용하여에 로그인합니다.

  2. https://console.aws.amazon.com/s3/에서 S3 콘솔을 엽니다.

  3. 구성 항목을 전달하는 데 사용할 버킷AWS Config을 선택한 다음 속성을 선택합니다.

  4. 권한을 선택합니다.

  5. [Edit Bucket Policy]를 선택합니다.

  6. 다음 정책을 버킷 정책 편집기 창으로 복사합니다.

    보안 모범 사례

    AWS:SourceAccount 조건으로 버킷 정책의 액세스를 제한하는 것이 좋습니다. 이렇게 하면이 예상 사용자를 대신하여 액세스 권한을 부여AWS Config받습니다.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSConfigBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    },
    {
      "Sid": "AWSConfigBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control",
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

  7. 버킷 정책에서 다음 값을 바꿉니다.

    • amzn-s3-demo-bucket -AWS Config가 구성 기록 및 스냅샷을 제공하는 Amazon S3 버킷의 이름입니다.

    • [선택 사항] prefix - Amazon S3 버킷 안에 폴더 같은 조직을 만들기 위해 객체 키에 선택적으로 추가할 수 있습니다.

    • sourceAccountID -AWS Config가 구성 기록 및 스냅샷을 전송하는 계정의 ID입니다.

  8. 저장을 선택한 후 닫기를 선택합니다.

AWS:SourceAccount 조건은AWS Config작업을 지정된 로 제한합니다AWS 계정. 단일 S3 버킷에 전달하는 조직 내 다중 계정 구성의 경우 서비스 연결 역할 대신AWS Organizations조건 키가 있는 IAM 역할을 사용합니다. 예를 들어 AWS:PrincipalOrgID입니다. 자세한 내용은 AWS Organizations사용 설명서조직 내 액세스 권한 관리 섹션을 참조하세요.

AWS:SourceArn 조건은 지정된 전송 채널로AWS Config작업을 제한합니다. AWS:SourceArn 형식은 arn:aws:config:sourceRegion:123456789012입니다.

예를 들어 계정 123456789012의 미국 동부(버지니아 북부) 리전에 있는 전송 채널에 대한 S3 버킷 액세스를 제한하려면 다음 조건을 추가합니다.

"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}

교차 계정을 전송할 때 Amazon S3 버킷에 필요한 권한

AWS Config가 구성 기록과 스냅샷을 다른 계정의 Amazon S3 버킷에 전송하도록 구성된 경우(교차 계정 설정), 전송 채널에 지정된 구성 레코더와 S3 버킷이 다른 경우AWS 계정다음 권한이 필요합니다.

  • 구성 레코더에 할당하는 IAM 역할에는 s3:ListBucket 작업을 수행할 수 있는 명시적 권한이 필요합니다. 이는가이 IAM 역할로 Amazon S3 HeadBucket API를AWS Config호출하여 버킷 위치를 결정하기 때문입니다.

  • S3 버킷 정책에는 구성 레코더에 할당된 IAM 역할에 대한 권한이 포함되어야 합니다.

다음은 버킷 정책 구성의 예제입니다.

{
      "Sid": "AWSConfigBucketExistenceCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": "IAM Role-Arn assigned to the configuration recorder"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}