Permissões para a função do IAM atribuída a AWS Config - AWS Config
Criar políticas do perfil do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para a função do IAM atribuída a AWS Config

Uma função do IAM permite que você defina um conjunto de permissões.AWS Config assume a função que você atribui a ele para gravar em seu bucket do S3, publicar em seu tópico do SNS e fazer Describe solicitações de List API para obter detalhes de configuração de seus recursos.AWS Para obter mais informações sobre funções do IAM, consulte Perfis do IAM no Guia do usuário do IAM.

Quando você usa o AWS Config console para criar ou atualizar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias para você. Para obter mais informações, consulte Configuração do AWS Config no console.

Políticas e resultados de conformidade

As políticas do IAM e outras políticas gerenciadas no AWS Organizations podem determinar se o AWS Config tem permissões para registrar alterações na configuração de seus recursos. Além disso, as regras avaliam diretamente a configuração de um recurso e não levam em conta essas políticas ao executar avaliações. As políticas em vigor devem estar alinhadas com a forma como você pretende usar o AWS Config.

Criar políticas do perfil do IAM

Quando você usa o AWS Config console para criar uma função do IAM, anexa AWS Config automaticamente as permissões necessárias à função para você.

Se você estiver usando o AWS CLI para configurar AWS Config ou estiver atualizando uma função existente do IAM, você deve atualizar manualmente a política para permitir o acesso AWS Config ao bucket do S3, publicar no tópico do SNS e obter detalhes de configuração sobre seus recursos.

Adicionar uma política de confiança do IAM à sua função

Você pode criar uma política de confiança do IAM que AWS Config permita assumir uma função e usá-la para monitorar seus recursos. Para obter mais informações sobre políticas de confiança, consulte Termos e conceitos dos perfis no Guia do usuário do IAM.

Veja a seguir um exemplo de política de confiança para AWS Config funções:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

Você pode usar a condição AWS:SourceAccount na relação de confiança acima do perfil do IAM para restringir a entidade principal de serviço do Config a interagir somente com o perfil do IAM da AWS ao realizar operações em nome de contas específicas.

AWS Config também suporta a AWS:SourceArn condição que restringe o responsável pelo serviço Config a assumir apenas a função do IAM ao realizar operações em nome da conta proprietária. Ao usar o principal de AWS Config serviço, a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do gravador de configuração gerenciado pelo cliente e sourceAccountID é a ID da conta que contém o gravador de configuração gerenciado pelo cliente.

Por exemplo, adicione a seguinte condição para restringir a entidade principal do serviço Config a assumir apenas o perfil do IAM somente em nome de um gravador de configuração gerenciado pelo cliente na região us-east-1 na conta 123456789012: "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Política de perfil do IAM para o bucket do S3

O exemplo de política a seguir concede AWS Config permissão para acessar seu bucket do S3:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
    }
  ]
}

Política de perfil do IAM para chave do KMS

O exemplo de política a seguir concede AWS Config permissão para usar criptografia baseada em KMS em novos objetos para entrega de buckets do S3:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
        }
    ]
}

Política de perfil do IAM para o tópico do Amazon SNS

O exemplo de política a seguir concede AWS Config permissão para acessar seu tópico do SNS:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
     }
    ]
}

Se o tópico do SNS for criptografado, para obter mais instruções de configuração, consulte Configuração de permissões do AWS KMS no Guia do desenvolvedor do Amazon Simple Notification Service.

Política de perfil do IAM para obter detalhes de configuração

É recomendável usar a função AWS Config vinculada ao serviço:. AWSServiceRoleForConfig As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas.Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o AWS Config.

Se você criar ou atualizar uma função com o console,AWS Config anexe-a AWSServiceRoleForConfigpara você.

Se você usar o AWS CLI, use o attach-role-policy comando e especifique o Amazon Resource Name (ARN) para: AWSServiceRoleForConfig

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig

Gerenciar permissões para gravação de bucket do S3

AWS Config registra e entrega notificações quando um bucket do S3 é criado, atualizado ou excluído.

É recomendável usar a função AWS Config vinculada ao serviço:. AWSServiceRoleForConfig As funções vinculadas ao serviço são predefinidas e incluem todas as permissões AWS Config necessárias para chamar outras pessoas.Serviços da AWS A função AWS Config vinculada ao serviço é necessária para gravadores de configuração vinculados ao serviço. Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o AWS Config.