分配给的 IAM 角色的权限Amazon Config - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

分配给的 IAM 角色的权限Amazon Config

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon Identity and Access Management(IAM) 角色让您可以定义一组权限。Amazon Config扮演您分配给它的角色来写入您的 S3 存储桶、发布到您的 SNS 主题并发布Describe要么List用于获取您的配置详细信息的 API 请求Amazon资源。有关 IAM 角色的更多信息,请参阅IAM 角色在里面IAM 用户指南.

当您使用以下应用程序时:Amazon Config控制台以创建或更新 IAM 角色,Amazon Config自动为您附加所需的权限。有关更多信息,请参阅 使用控制台设置 Amazon Config

创建 IAM 角色策略

当您使用以下应用程序时:Amazon Config控制台创建 IAM 角色,Amazon Config自动为您向角色附上必要的权限。

如果你使用的是Amazon CLI设置Amazon Config或者您要更新现有的 IAM 角色,则必须手动更新策略才能允许Amazon Config要访问您的 S3 存储桶,请发布到您的 SNS 主题,并获取有关您的资源的配置详细信息。

向您的角色添加 IAM 信任策略

您可以创建一个 IAM 信任策略以启用Amazon Config来代入一个角色并用它来跟踪你的资源。有关信任策略的更多信息,请参阅代入角色在里面IAM 用户指南.

下面是 Amazon Config 角色的示例信任策略:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

您可以使用AWS:SourceAccount上述 IAM 角色信任关系中的条件限制Config 服务委托人只能与Amazon代表特定账户执行操作时的 IAM 角色。

Amazon Config还支持AWS:SourceArn该条件限制 Config 服务委托人在代表所属账户执行操作时只能担任 IAM 角色。使用时Amazon Config服务主体AWS:SourceArn属性将始终设置为arn:aws:config:sourceRegion:sourceAccountID:*哪里sourceRegion是配置记录器的区域,sourceAccountID是包含配置记录器的账户的 ID。有关Amazon Config配置记录器参阅管理配置记录器. 例如,添加以下条件限制 Config 服务委托人只能代表配置记录器担任 IAM 角色us-east-1账户中的区域123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Amazon S3 存储桶的 IAmazon S

下面示例策略授予的示例Amazon Config访问您的 Amazon S3 存储桶的权限:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::myBucketName" } ] }

KMS 密钥的 IAM 角色策略

下面示例策略授予的示例Amazon Config在新对象上使用基于 KMS 的加密以进行 S3 存储桶传输的权限:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }

Amazon SNS 主题的 IAM 角色政策

以下示例策略授予 Amazon Config 权限以访问您的 SNS 主题:

{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }

如果您的 SNS 主题已加密以获取其他设置说明,请参阅配置Amazon KMSPermissions (权限)在里面Amazon Simple Notifice.

用于获取配置详细信息的 IAM 角色策略

要录制你的Amazon资源配置,Amazon Config需要 IAM 权限才能获取有关您的资源的配置详细信息。

使用Amazon托管策略AWS_ConfigRole并将其附加到您分配给的 IAM 角色Amazon Config.Amazon每次都会更新此政策Amazon Config添加了对 an的支持Amazon资源类型,这意味着Amazon Config只要角色附加了此托管策略,将继续拥有获取配置详细信息所需的权限。

如果您使用控制台创建或更新角色,Amazon Config附上AWS_ConfigRole为二

如果您将Amazon CLI,使用attach-role-policy命令并指定 Amazon 资源名称 (ARN)AWS_ConfigRole

$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole

管理 S3 存储桶录制的权限

Amazon Config在创建、更新或删除 S3 存储桶时记录和发送通知。

建议您使用以下任一项AWSServiceRoleForConfig请参请参请参请参请参将服务相关角色用于Amazon Config) 或使用以下命令的自定义 IAM 角色AWS_ConfigRole托管策略。有关配置记录最佳做法的更多信息,请参阅Amazon Config最佳实践.

如果您需要管理存储桶录制的对象级权限,请确保在 S3 存储桶策略中提供config.amazonaws.com(Amazon Config服务主体名称)访问所有与 S3 相关的权限AWS_ConfigRole托管策略。有关更多信息,请参阅Amazon S3 存储桶的权限.