Usando funções vinculadas ao serviço para AWS Config - AWS Config
Permissões de função vinculadas ao serviço para AWS ConfigCriando uma função vinculada ao serviço para AWS ConfigEditando uma função vinculada ao serviço para AWS ConfigExcluindo uma função vinculada ao serviço para AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas ao serviço para AWS Config

AWS Config usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente a. AWS Config As funções vinculadas ao serviço são predefinidas AWS Config e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração AWS Config porque você não precisa adicionar manualmente as permissões necessárias. AWS Config define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Config pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculadas ao serviço para AWS Config

AWS Config usa a função vinculada ao serviço chamada AWSConfigServiceRolePolicy— AWS Config usa essa função vinculada ao serviço para chamar outros AWS serviços em seu nome.

O perfil vinculado ao serviço AWSConfigServiceRolePolicy confia no serviço config.amazonaws.com para presumir o perfil.

A política de permissões para a AWSConfigServiceRolePolicy função contém permissões somente leitura e somente gravação para recursos e permissões somente leitura para AWS Config recursos em outros serviços que oferecem suporte. AWS Config Para ver a política gerenciada AWSConfigServiceRolePolicy, consulte políticas AWS gerenciadas para AWS Config. Para obter mais informações, consulte Tipos de recursos suportados para AWS Config.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões da função vinculada ao serviço no Guia do usuário do IAM.

Para usar uma função vinculada ao serviço com AWS Config, você deve configurar permissões no bucket do Amazon S3 e no tópico da Amazon. SNS Para ter mais informações, consulte Permissões obrigatórias para o bucket do Amazon S3 ao usar perfis vinculados ao serviço, Permissões necessárias para a AWS KMS chave ao usar funções vinculadas ao serviço (S3 Bucket Delivery) e Permissões necessárias para o SNS tópico da Amazon ao usar funções vinculadas a serviços.

Criando uma função vinculada ao serviço para AWS Config

No IAM CLI ou no IAMAPI, crie uma função vinculada ao serviço com o nome do config.amazonaws.com serviço. Para obter mais informações, consulte Criação de uma função vinculada ao serviço no Guia do IAMusuário. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editando uma função vinculada ao serviço para AWS Config

AWS Config não permite que você edite a função AWSConfigServiceRolePolicyvinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você poderá editar a descrição da função usando o IAM. Para obter mais informações, consulte Editando uma função vinculada ao serviço no Guia do IAMusuário.

Excluindo uma função vinculada ao serviço para AWS Config

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o AWS Config serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir AWS Config recursos usados pelo AWSConfigServiceRolePolicy

Verifique se você não tem ConfigurationRecorders usando a função vinculada ao serviço. Você pode usar o AWS Config console para parar o gravador de configuração. Para interromper o registro, em Recording is on (Registro ativado), escolha Turn off (Desativar).

Você pode excluir o ConfigurationRecorder uso AWS Config API. Para excluir, use o comando delete-configuration-recorder.


        $ aws configservice delete-configuration-recorder --configuration-recorder-name default

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o IAM console IAMCLI, o ou o IAM API para excluir a função AWSConfigServiceRolePolicy vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.