Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations pour le rôle IAM attribué à AWS Config
Un rôle IAM vous permet de définir un ensemble d'autorisations. AWS Config assume le rôle que vous lui attribuez pour écrire dans votre compartiment S3, publier sur votre rubrique SNS et envoyer des demandes `Describe` d'`List`API pour obtenir les détails de configuration de vos AWS ressources. Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) dans le *Guide de l’utilisateur IAM*.
Lorsque vous utilisez la AWS Config console pour créer ou mettre à jour un rôle IAM, les autorisations requises vous sont AWS Config automatiquement associées. Pour de plus amples informations, veuillez consulter [Configuration à l' AWS Config aide de la console](gs-console.md).
**Politiques et résultats en matière de conformité**
Les [politiques IAM et les](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) [autres politiques gérées dans AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) peuvent avoir une incidence sur le AWS Config fait de disposer des autorisations nécessaires pour enregistrer les modifications de configuration de vos ressources. En outre, les règles évaluent directement la configuration d'une ressource et les règles ne tiennent pas compte de ces politiques lors de l'exécution des évaluations. Assurez-vous que les politiques en vigueur correspondent à la manière dont vous avez l'intention de les utiliser AWS Config.
**Contents**
+ [Création de politiques de rôle IAM](#iam-role-policies)
+ [Ajout d'une politique d'approbation IAM à votre rôle](#iam-trust-policy)
+ [Politique de rôle IAM pour le compartiment S3](#iam-role-policies-S3-bucket)
+ [Politique de rôle IAM pour la clé KMS](#iam-role-policies-S3-kms-key)
+ [Politique de rôle IAM pour la rubrique Amazon SNS](#iam-role-policies-sns-topic)
+ [Politique de rôle IAM pour obtenir des détails de configuration](#iam-role-policies-describe-apis)
+ [Gestion des autorisations pour l'enregistrement du compartiment S3](#troubleshooting-recording-s3-bucket-policy)
## Création de politiques de rôle IAM
Lorsque vous utilisez la AWS Config console pour créer un rôle IAM, les autorisations requises sont AWS Config automatiquement associées au rôle pour vous.
Si vous utilisez le AWS CLI pour configurer AWS Config ou si vous mettez à jour un rôle IAM existant, vous devez mettre à jour manuellement la politique pour autoriser l'accès AWS Config à votre compartiment S3, publier sur votre rubrique SNS et obtenir les détails de configuration de vos ressources.
### Ajout d'une politique d'approbation IAM à votre rôle
Vous pouvez créer une politique de confiance IAM qui permet d' AWS Config assumer un rôle et de l'utiliser pour suivre vos ressources. Pour plus d'informations sur les politiques d'approbation IAM, consultez [Termes et concepts relatifs aux rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) dans le *Guide de l'utilisateur IAM*.
Voici un exemple de politique de confiance pour les AWS Config rôles :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Vous pouvez utiliser la condition `AWS:SourceAccount` de la relation d'approbation du rôle IAM susmentionnée pour limiter le principal du service Config, en lui permettant uniquement d'interagir avec le rôle AWS IAM lorsqu'il effectue des opérations au nom de comptes spécifiques.
AWS Config prend également en charge la `AWS:SourceArn` condition qui empêche le principal du service Config d'assumer le rôle IAM uniquement lorsqu'il effectue des opérations pour le compte propriétaire. Lorsque vous utilisez le principal de AWS Config service, la `AWS:SourceArn` propriété sera toujours définie comme `sourceRegion` étant la région de l'enregistreur de configuration géré par le client et `sourceAccountID` l'ID du compte contenant l'enregistreur de configuration géré par le client. `arn:aws:config:sourceRegion:sourceAccountID:*`
Par exemple, ajoutez la condition suivante pour empêcher le principal du service Config d'assumer le rôle IAM uniquement pour le compte d'un enregistreur de configuration géré par le client dans la `us-east-1` région du compte `123456789012` : `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
### Politique de rôle IAM pour le compartiment S3
L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre compartiment S3 :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Politique de rôle IAM pour la clé KMS
L'exemple de politique suivant AWS Config autorise l'utilisation du chiffrement basé sur KMS sur de nouveaux objets pour la livraison du compartiment S3 :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Politique de rôle IAM pour la rubrique Amazon SNS
L'exemple de politique suivant accorde AWS Config l'autorisation d'accéder à votre rubrique SNS :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Si votre rubrique SNS est chiffrée, consultez [Configuration des autorisations AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) dans le *Guide du développeur Amazon Simple Notification Service* pour obtenir des instructions de configuration supplémentaires.
### Politique de rôle IAM pour obtenir des détails de configuration
Il est recommandé d'utiliser le rôle AWS Config lié au service :. `AWSServiceRoleForConfig` Les rôles liés à un service sont prédéfinis et incluent toutes les autorisations nécessaires pour appeler AWS Config d'autres personnes. Services AWS Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service. Pour de plus amples informations, veuillez consulter [Utilisation des rôles liés à un service pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Si vous créez ou mettez à jour un rôle à l'aide de la console AWS Config , **AWSServiceRoleForConfig**attachez-le pour vous.
Si vous utilisez le AWS CLI, utilisez la `attach-role-policy` commande et spécifiez le nom de ressource Amazon (ARN) pour **AWSServiceRoleForConfig**:
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Gestion des autorisations pour l'enregistrement du compartiment S3
AWS Config enregistre et envoie des notifications lorsqu'un compartiment S3 est créé, mis à jour ou supprimé.
Il est recommandé d'utiliser le rôle AWS Config lié au service :. `AWSServiceRoleForConfig` Les rôles liés à un service sont prédéfinis et incluent toutes les autorisations nécessaires pour appeler AWS Config d'autres personnes. Services AWS Le rôle AWS Config lié à un service est requis pour les enregistreurs de configuration liés à un service. Pour de plus amples informations, veuillez consulter [Utilisation des rôles liés à un service pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).