AWSConfigRoleは非推奨なので、AWS_ConfigRoleに変更しましょう

記事タイトルとURLをコピーする

AWSConfigRoleは「ダメ。ゼッタイ。」

2022年5月4日に AWS Health Event の通知を受信しました。
3行でまとめると以下になります。

  • AWSConfigRole というIAMポリシーは非推奨、今後アタッチできなくなる。
  • AWSConfigRole は使い続けられるが、ポリシーはメンテされないため、新しいリソースタイプに対応できない。
  • AWS_ConfigRole を今後は使ってくれ。

念のため、通知内容の全文も掲載します。

AWS Config will be deprecating the managed policy AWSConfigRole on July 5, 2022, in order to scope down permissions. This policy is replaced with the policy AWS_ConfigRole.

The AWSConfigRole managed policy will continue working for all currently attached users, groups, and roles. However, after July 5, 2022, the AWSConfigRole managed policy cannot be attached to any new users, groups, or roles. The policy will also not be updated to include permissions for newly supported resource types and new managed rules. As a user of AWSConfigRole, please update the policy attached to your AWS Config role to AWS_ConfigRole.

To update the policy, please navigate to the IAM Role you use for Config on the IAM console [1], attach the policy AWS_ConfigRole to the role and remove the policy AWSConfigRole from the role.

If you have any questions or concerns, please reach the AWS Support team [2].

[1] https://console.aws.amazon.com/iamv2/home#/home [2] https://console.aws.amazon.com/support/home#/

AWS managed policies for AWS Config - AWS Config によると、2021年4月1日の時点で AWSConfigRole is deprecated. The replacement policy is AWS_ConfigRole. となっています。

マネージメントコンソールでConfigRoleで検索した時の表示が以下です。

名前が非常にまぎらわしいですが、 AWS_ConfigRole の方を使いましょう。
もし AWSConfigRole を使っていたら、 AWS_ConfigRole に変更しましょう。

変更例

CloudFormationを使う場合

  ConfigRecorderRole:
    Type: AWS::IAM::Role
    DeletionPolicy: Delete
    Properties:
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - config.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/service-role/AWSConfigRole  <--- ここを
        - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole  <--- こう変更する
      RoleName: !Ref ConfigRecorderRoleName

マネージメントコンソールを使う場合

以下のようにAWSConfigRoleポリシーがある場合は、

まずはAWS_ConfigRoleポリシーを追加します。

次にAWSConfigRoleポリシーを削除します。

まとめ

AWSConfigRole ではなく、 AWS_ConfigRole を使いましょう。

渡辺 信秀(記事一覧)

2017年入社 / 地味な内容を丁寧に書きたい