Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien

PDF
RSS
Fokusmodus
AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien - AWS CloudTrail
Beispiele für ressourcenbasierte Richtlinien für KanäleBeispiele für ressourcenbasierte Richtlinien für EreignisdatenspeicherBeispiel für eine ressourcenbasierte Richtlinie für ein Dashboard

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dieser Abschnitt enthält Beispiele für ressourcenbasierte Richtlinien für CloudTrail Lake-Dashboards, Ereignisdatenspeicher und Kanäle.

CloudTrail unterstützt die folgenden Typen von ressourcenbasierten Richtlinien:

  • Ressourcenbasierte Richtlinien für Kanäle, die für CloudTrail Lake-Integrationen mit Ereignisquellen außerhalb von verwendet werden. AWS Die ressourcenbasierte Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) PutAuditEvents auf dem Kanal aufrufen können, um Ereignisse an den Zielereignisdatenspeicher zu übermitteln. Weitere Informationen zum Erstellen von Integrationen mit CloudTrail Lake finden Sie unter. Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS

  • Ressourcenbasierte Richtlinien zur Steuerung, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff auf Ihre Ereignisdatenspeicher zu gewähren.

  • Ressourcenbasierte Richtlinien auf Dashboards ermöglichen die Aktualisierung eines CloudTrail Lake-Dashboards CloudTrail in den Intervallen, die Sie bei der Festlegung eines Aktualisierungszeitplans für ein Dashboard festlegen. Weitere Informationen finden Sie unter Legen Sie mit der CloudTrail Konsole einen Aktualisierungszeitplan für ein benutzerdefiniertes Dashboard fest.

Beispiele für ressourcenbasierte Richtlinien für Kanäle

Die ressourcenbasierte Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) PutAuditEvents auf dem Kanal aufrufen können, um Ereignisse an den Zielereignisdatenspeicher zu übermitteln.

Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt.

  • Für eine direkte Integration CloudTrail muss die Richtlinie die des AWS-Konto IDs Partners enthalten und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. CloudTrail fügt die Richtlinie des Partners automatisch AWS-Konto IDs zur Ressourcenrichtlinie hinzu, wenn Sie eine Integration mithilfe der CloudTrail Konsole erstellen. In der Dokumentation des Partners erfahren Sie, wie Sie die für die Richtlinie erforderlichen AWS-Konto Nummern erhalten.

  • Für eine Lösungsintegration müssen Sie mindestens eine AWS-Konto ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass der Stellvertreter verwirrt wird.

Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:

  • Jede Richtlinie muss mindestens eine Aussage enthalten. Die Richtlinie kann maximal 20 Aussagen umfassen.

  • Jede Aussage enthält mindestens einen Prinzipal. Ein Prinzipal ist ein Konto, ein Benutzer, eine Rolle oder ein Verbundbenutzer. Eine Aussage kann maximal 50 Prinzipale haben.

  • Die in der Richtlinie ARN definierte Ressource muss dem Kanal entsprechen, an ARN den die Richtlinie angehängt ist.

  • Die Richtlinie enthält nur eine Aktion: cloudtrail-data:PutAuditEvents

Der Kanalbesitzer kann den PutAuditEvents API auf dem Kanal anrufen, es sei denn, die Richtlinie verweigert dem Besitzer den Zugriff auf die Ressource.

Beispiel: Bereitstellung von Kanalzugriff für Prinzipale

Im folgenden Beispiel werden den Prinzipalen die Berechtigungen mit ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, und arn:aws:iam::123456789012:root zum Aufrufen von PutAuditEventsAPIauf dem CloudTrail Kanal mit dem erteilt. ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

Beispiel: Verwendung einer externen ID, um einem verwirrten Stellvertreter vorzubeugen

Das folgende Beispiel verwendet eine externe ID, um verwirrte Stellvertreter anzusprechen und zu verhindern. Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann.

Der Integrationspartner erstellt die externe ID, die in der Richtlinie verwendet werden soll. Anschließend stellt er Ihnen die externe ID im Rahmen der Integrationserstellung zur Verfügung. Dieser Wert kann eine beliebige eindeutige Zeichenfolge sein, wie eine Passphrase oder Kontonummer.

Im Beispiel werden den Prinzipalen mit dem ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root, und die Rechte arn:aws:iam::123456789012:root zum Aufrufen der Ressource PutAuditEventsAPIOn auf dem CloudTrail Channel erteilt, wenn der Aufruf von den den in der Richtlinie definierten externen ID-Wert PutAuditEvents API beinhaltet. 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
            "Condition":
            {
                "StringEquals":
                {
                    "cloudtrail:ExternalId": "uniquePartnerExternalID"
                }
            }
        }
    ]
}

Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher

Mit ressourcenbasierten Richtlinien können Sie steuern, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können.

Mithilfe ressourcenbasierter Richtlinien können Sie kontenübergreifenden Zugriff gewähren, sodass ausgewählte Hauptbenutzer Ihren Ereignisdatenspeicher abfragen, Abfragen auflisten und stornieren sowie Abfrageergebnisse anzeigen können.

Für das CloudTrail Lake-Dashboard werden ressourcenbasierte Richtlinien verwendet, um das Ausführen von Abfragen in Ihren Ereignisdatenspeichern CloudTrail zu ermöglichen, um die Daten für die Widgets des Dashboards aufzufüllen, wenn das Dashboard aktualisiert wird. CloudTrail Lake bietet Ihnen die Möglichkeit, Ihren Ereignisdatenspeichern eine standardmäßige ressourcenbasierte Richtlinie zuzuweisen, wenn Sie ein benutzerdefiniertes Dashboard erstellen oder das Highlights-Dashboard auf der Konsole aktivieren. CloudTrail

Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:

  • cloudtrail:StartQuery

  • cloudtrail:CancelQuery

  • cloudtrail:ListQueries

  • cloudtrail:DescribeQuery

  • cloudtrail:GetQueryResults

  • cloudtrail:GenerateQuery

  • cloudtrail:GenerateQueryResultsSummary

  • cloudtrail:GetEventDataStore

Wenn Sie einen Ereignisdatenspeicher erstellen oder aktualisieren oder Dashboards auf der CloudTrail Konsole verwalten, haben Sie die Möglichkeit, Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Sie können den put-resource-policyBefehl auch ausführen, um eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher anzuhängen.

Eine ressourcenbasierte Richtlinie besteht aus einer oder mehreren Anweisungen. Sie kann beispielsweise eine Anweisung enthalten, die es ermöglicht, den Ereignisdatenspeicher für ein Dashboard CloudTrail abzufragen, und eine weitere Anweisung, die den kontenübergreifenden Zugriff ermöglicht, um den Ereignisdatenspeicher abzufragen. Sie können die ressourcenbasierte Richtlinie eines vorhandenen Ereignisdatenspeichers auf der Detailseite des Ereignisdatenspeichers in der Konsole aktualisieren. CloudTrail

CloudTrail Erstellt für Datenspeicher von Organisationsereignissen eine standardmäßige ressourcenbasierte Richtlinie, in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten an Organisationsereignisdatenspeichern ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).

Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards

Um die Daten in einem CloudTrail Lake-Dashboard während einer Aktualisierung aufzufüllen, müssen Sie die Ausführung von Abfragen in Ihrem Namen zulassen CloudTrail . Fügen Sie dazu jedem Ereignisdatenspeicher, der einem Dashboard-Widget zugeordnet ist, eine ressourcenbasierte Richtlinie hinzu, die eine Anweisung enthält, mit der der StartQuery Vorgang CloudTrail zum Auffüllen der Daten für das Widget ausgeführt werden kann.

Im Folgenden sind die Anforderungen für die Erklärung aufgeführt:

  • Das einzige Principal istcloudtrail.amazonaws.com.

  • Das einzig Action erlaubte istcloudtrail:StartQuery.

  • Das beinhaltet Condition nur das (die) Dashboard ARN (s) und die AWS-Konto ID. Denn AWS:SourceArn Sie können eine Reihe von Dashboards bereitstellenARNs.

Die folgende Beispielrichtlinie enthält eine Anweisung, mit der Abfragen in einem Ereignisdatenspeicher für zwei benutzerdefinierte Dashboards mit dem Namen example-dashboard1 und example-dashboard2 und für das Highlights-Dashboard mit dem Namen AWSCloudTrail-Highlights Konto 123456789012 ausgeführt werden können CloudTrail .

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartQuery"
            ],
            "Condition": {
               "StringLike": {
                  "AWS:SourceArn": [
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
                  ],
                  "AWS:SourceAccount": "123456789012"
               }
            }
        }
    ]
}

Beispiel: Erlauben Sie anderen Konten, einen Ereignisdatenspeicher abzufragen und Abfrageergebnisse anzuzeigen

Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff auf Ihre Ereignisdatenspeicher zu gewähren, sodass andere Konten Abfragen in Ihren Ereignisdatenspeichern ausführen können.

Die folgende Beispielrichtlinie enthält eine Anweisung, die es Root-Benutzern in den Konten111122223333,, und ermöglicht 777777777777999999999999, Abfragen auszuführen und 111111111111 Abfrageergebnisse für den Ereignisdatenspeicher abzurufen, der der Konto-ID gehört. 555555555555 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "policy1",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::777777777777:root",
            "arn:aws:iam::999999999999:root",
            "arn:aws:iam::111111111111:root"
        ]
      },
      "Action": [
        "cloudtrail:StartQuery",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetQueryResults"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
    }
  ]
}

Beispiel für eine ressourcenbasierte Richtlinie für ein Dashboard

Sie können einen Aktualisierungszeitplan für ein CloudTrail Lake-Dashboard festlegen, der es ermöglicht, das Dashboard in Ihrem Namen in dem Intervall CloudTrail zu aktualisieren, das Sie bei der Festlegung des Aktualisierungszeitplans festgelegt haben. Dazu müssen Sie dem Dashboard eine ressourcenbasierte Richtlinie hinzufügen, damit CloudTrail der StartDashboardRefresh Vorgang auf Ihrem Dashboard ausgeführt werden kann.

Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:

  • Das einzige Principal ist. cloudtrail.amazonaws.com

  • Das einzige, Action was in der Richtlinie erlaubt ist, istcloudtrail:StartDashboardRefresh.

  • Das beinhaltet Condition nur das Dashboard ARN und die AWS-Konto ID.

Die folgende Beispielrichtlinie ermöglicht es CloudTrail , ein nach einem Konto benanntes exampleDash Dashboard zu aktualisieren123456789012.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartDashboardRefresh"
            ],
            "Condition": {
                "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
                    "AWS:SourceAccount":"123456789012"
                }
            }
        }
    ]
}

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.