分配给的 IAM 角色权限Amazon Config - Amazon Config
创建 IAM 角色策略管理 S3 存储桶录制权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

分配给的 IAM 角色权限Amazon Config

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon Identity and Access Management(IAM) 角色允许您定义一组权限。Amazon Config代入您分配给它的角色,将写入您的 S3 存储桶、发布到您的 SNS 主题,以及创建Describe要么ListAPI 请求获取您的配置详细信息Amazon资源的费用。有关 IAM 角色的更多信息,请参阅IAM 角色中的IAM 用户指南.

当您使用以下应用程序时:Amazon Config控制台,用于创建或更新 IAM 角色,Amazon Config会自动为您附加所需权限。有关更多信息,请参阅 使用控制台设置 Amazon Config

创建 IAM 角色策略

当您使用以下应用程序时:Amazon Config控制台创建 IAM 角色,Amazon Config会自动为您附加该角色所需的权限。

在使用Amazon CLI设置Amazon Config或者您要更新一个现有 IAM 角色,您必须手动更新策略以允许Amazon Config要访问您的 S3 存储桶,请发布到您的 SNS 主题,并获取有关您资源的配置详细信息。

将一个 IAM 信任策略添加到您的角色

您可以创建一个 IAM 信任策略来启用Amazon Config以代入一个角色并利用该角色跟踪您的资源。有关信任策略的更多信息,请参阅代入一个角色中的IAM 用户指南.

下面是 Amazon Config 角色的示例信任策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": { 
        "StringEquals": {
          "AWS:SourceAccount": "sourceAccountID"
        }
      }
    }
  ]
}

您可以使用AWS:SourceAccount上述 IAM 角色信任关系中的条件,以限制 Config 服务委托人仅与Amazon代表特定账户执行操作时的 IAM 角色。

Amazon Config也支持AWS:SourceArn条件,该条件限制 Config 服务委托人仅在代表拥有账户执行操作时担任 IAM 角色。使用Amazon Config服务委托人,AWS:SourceArn属性将始终设置为arn:aws:config:sourceRegion:sourceAccountID:*哪里sourceRegion是配置记录器的区域,sourceAccountID是包含配置记录器的帐户的 ID。有关Amazon Config配置记录器请参阅管理配置记录器. 例如,添加以下条件限制 Config 服务委托人仅代表配置记录器在us-east-1账户中的区域123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Amazon S3 存储桶的 IAM 角色策略

以下示例策略授予的示例Amazon Config访问您的 Amazon S3 存储桶的权限:

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource":[
        "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*"
      ],
      "Condition":{
        "StringLike":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    },
    {
      "Effect":"Allow",
      "Action":[
        "s3:GetBucketAcl"
      ],
      "Resource":"arn:aws:s3:::myBucketName"
    }
  ]
}

KMS 密钥的 IAM 角色策略

以下示例策略授予的示例Amazon Config对 S3 存储桶交付的新对象使用基于 KMS 的加密的权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN"
        }
    ]
}

适用于Amazon SNS 的 IAM 角色策略主题

以下示例策略授予 Amazon Config 权限以访问您的 SNS 主题:

{
  "Version": "2012-10-17",
  "Statement": 
   [
     {
      "Effect":"Allow",
      "Action":"sns:Publish",
      "Resource":"mySNStopicARN"
     }
    ]
}

如果您的 SNS 主题已加密,请参阅配置Amazon KMSPermissions (权限)中的Amazon Simple Notifice.

用于获取配置详细信息的 IAM 角色策略

录制你的Amazon资源配置,Amazon Config需要 IAM 权限才能获取有关您的资源的配置详细信息。

使用Amazon管理的策略AWS_ConfigRole并将其附加到您分配给的 IAM 角色Amazon Config.Amazon每次都更新此策略Amazon Config添加了对以下应用程序的支持:Amazon资源类型,这意味着Amazon Config只要角色附加了此托管策略,就将继续拥有必需权限来获取配置详细信息。

如果您使用控制台创建或更新角色,Amazon Config将附加到AWS_ConfigRole为您。

如果您将Amazon CLI,请使用attach-role-policy命令并指定的 Amazon 资源名称 (ARN)AWS_ConfigRole

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

管理 S3 存储桶录制权限

Amazon Config当创建、更新或删除 S3 存储桶时进行记录并发送通知。

建议您使用AWSServiceRoleForConfig(请参阅对 使用服务相关角色Amazon Config) 或使用AWS_ConfigRole管理的策略。有关配置录制的最佳做法的更多信息,请参阅Amazon Config最佳实践.

如果您需要管理存储桶记录的对象级权限,请确保在 S3 存储桶策略中提供config.amazonaws.com(的Amazon Config服务主体名称)访问所有 S3 相关权限AWS_ConfigRole管理的策略。有关更多信息,请参阅 。Amazon S3 存储桶的权限.