Permissões para a chave KMS para o canal de entrega do AWS Config
Use as informações deste tópico se quiser criar uma política para uma chave AWS KMS para seu bucket do S3 que permita usar a criptografia baseada em KMS em objetos fornecidos pelo AWS Config para a entrega do bucket do S3.
Sumário
Permissões obrigatórias para a chave KMS ao usar perfis do IAM (entrega do bucket do S3)
Se você configurar o AWS Config usando um perfil do IAM, poderá anexar a seguinte política de permissão à chave KMS:
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
nota
Se o perfil do IAM, a política de bucket do Amazon S3 ou a chave AWS KMS não fornecerem acesso adequado ao AWS Config, a tentativa do AWS Config de enviar as informações de configuração para o bucket do Amazon S3 falhará. Nesse caso, o AWS Config enviará as informações novamente, dessa vez como entidade principal de serviço do AWS Config. Assim, você deve anexar uma política de permissão, mencionada abaixo, à chave AWS KMS para conceder ao AWS Config acesso ao uso da chave ao entregar informações ao bucket do Amazon S3.
Permissões obrigatórias para a chave do AWS KMS ao usar perfis vinculados ao serviço (entrega do bucket do S3)
O perfil vinculado ao serviço do AWS Config não tem permissão para acessar a chave do AWS KMS. Portanto, se você configurar o AWS Config usando um perfil vinculado ao serviço, o AWS Config enviará informações como a entidade principal de serviço do AWS Config. Você precisará anexar uma política de acesso, mencionada abaixo, à chave AWS KMS para conceder ao AWS Config acesso ao uso da chave AWS KMS ao entregar informações ao bucket do Amazon S3.
Como conceder AWS Config acesso à chave AWS KMS
Esta política permite que o AWS Config use uma chave AWS KMS ao entregar informações para um bucket do Amazon S3
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
Substitua os seguintes valores na política de chave:
-
myKMSKeyARN: o ARN da chave AWS KMS usada para criptografar os dados no bucket do Amazon S3 ao qual oAWS Config entregará itens de configuração. -
sourceAccountID: o ID da conta para a qual o AWS Config fornecerá os itens de configuração.
Você pode usar a condição AWS:SourceAccount na política de chave AWS KMS acima para restringir a entidade principal de serviço do Config para interagir somente com a chave AWS KMS ao realizar operações em nome de contas específicas.
AWS Config também oferece suporte à condição AWS:SourceArn, que restringe a entidade principal de serviço do Config para interagir apenas com o bucket do Amazon S3 ao realizar operações em nome de canais de entrega específicos do AWS Config. Ao usar a entidade principal de serviço do AWS Config, a propriedade AWS:SourceArn sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion é a região do canal de entrega e sourceAccountID é o ID da conta que contém o canal de entrega. Para obter mais informações sobre os canais de entrega do AWS Config, consulte Gerenciar o canal de entrega. Por exemplo, adicione a seguinte condição para restringir a entidade principal de serviço do Config a interagir com seu bucket do Amazon S3 somente em nome de um canal de entrega na região us-east-1 da conta 123456789012: "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}.
