Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en la identidad para AWS Audit Manager
De forma predeterminada, los usuarios y roles no tienen permiso para crear o modificar recursos del Audit Manager. Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS la API. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
A fin de obtener más información sobre las acciones y los tipos de recursos definidos por AWS Audit Manager, incluido el formato de los ARN para cada tipo de recurso, consulte Acciones, recursos y claves de condición para AWS Audit Manager en la Referencia de autorizaciones de servicio.
Contenido
- Prácticas recomendadas sobre las políticas
- Permita los permisos mínimos necesarios para activar Audit Manager
- Permitir a los usuarios acceso de administrador total a AWS Audit Manager
- Permita que la administración de los usuarios acceda a AWS Audit Manager
- Permita a los usuarios el acceso de solo lectura a AWS Audit Manager
- Cómo permitir a los usuarios consultar sus propios permisos
- Permitir AWS Audit Manager enviar notificaciones a temas de Amazon SNS
- Permita a los usuarios realizar consultas de búsqueda en el buscador de evidencias
Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Audit Manager de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía de usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Política de validación de Analizador de acceso de IAM en la Guía de usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para más información, consulte Configuración del acceso a una API protegido por MFA en la Guía de usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Permita los permisos mínimos necesarios para activar Audit Manager
En este ejemplo se muestra cómo puede permitir que se habiliten cuentas sin función de administrador para habilitar AWS Audit Manager.
nota
Lo que ofrecemos aquí es una política básica que concede los permisos mínimos necesarios para activar Audit Manager. Todos los permisos de la política siguiente son obligatorios. Si omite alguna parte de esta política, no podrá habilitar Audit Manager.
Le recomendamos que dedique un tiempo a personalizar sus permisos para que se adapten a sus necesidades específicas. Si necesita ayuda, póngase en contacto con su administrador o con AWS Support
Para conceder el acceso mínimo necesario para activar Audit Manager, utilice los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API o a la AWS CLI API. AWS En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
Permitir a los usuarios acceso de administrador total a AWS Audit Manager
Los siguientes ejemplos de políticas otorgan acceso de administrador total a AWS Audit Manager.
Ejemplo 1 (política gestionada, AWSAuditManagerAdministratorAccess)
La AWSAuditManagerAdministratorAccesspolítica incluye la capacidad de activar y desactivar Audit Manager, la posibilidad de cambiar la configuración de Audit Manager y la capacidad de gestionar todos los recursos del Audit Manager, como las evaluaciones, los marcos, los controles y los informes de evaluación.
Ejemplo 2 (permisos de destino del informe de evaluación)
Esta política le concede permiso para acceder a un bucket de S3 específico y para añadir y eliminar archivos de él. Esto le permite utilizar el bucket especificado como destino del informe de evaluación en Audit Manager.
Sustituya el texto del marcador de posición por su propia información. Incluya el bucket de S3 que utiliza como destino del informe de evaluación y la clave KMS que utiliza para cifrar los informes de evaluación.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
Ejemplo 3 (permisos de destino de exportación)
La siguiente política permite CloudTrail enviar los resultados de las consultas del buscador de evidencias al segmento S3 especificado. Como práctica recomendada de seguridad, la clave de condición global de IAM aws:SourceArn ayuda a garantizar que solo se CloudTrail escriba en el depósito de S3 para el almacén de datos de eventos.
Sustituya el texto del marcador de posición por su propia información, de la siguiente manera:
-
Reemplace DOC-EXAMPLE-DESTINATION-BUCKET con el bucket de S3 que utiliza como destino de exportación.
-
Sustituya
myQueryRunningla regiónRegión de AWS por la que corresponda a su configuración. -
Sustituya
myAccountID porel Cuenta de AWS ID que se utiliza para. CloudTrail Puede que no coincida con el ID Cuenta de AWS del bucket de S3. Si se trata de un almacén de datos de eventos de la organización, debes usarlo Cuenta de AWS para la cuenta de administración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }
Ejemplo 4 (Permisos para activar el buscador de evidencias)
Se requiere la siguiente política de permisos si desea activar y utilizar la característica de búsqueda de evidencias. Esta declaración de política permite a Audit Manager crear un almacén de datos de eventos de CloudTrail Lake y ejecutar consultas de búsqueda.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }
Ejemplo 5 (Permisos para desactivar el buscador de evidencias)
Este ejemplo de política otorga permiso para deshabilitar la característica de búsqueda de evidencias en Audit Manager. Esto implica eliminar el almacén de datos de eventos que se creó cuando habilitó la característica por primera vez.
Antes de utilizar esta política, sustituya el texto del marcador por su propia información. Debe especificar el UUID del almacén de datos de eventos que se creó al activar el buscador de evidencias. Puede recuperar el ARN del almacén de datos de eventos desde la configuración de Audit Manager. Para obtener más información, consulte GetSettingsla referencia de la AWS Audit Manager API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }
Permita que la administración de los usuarios acceda a AWS Audit Manager
En este ejemplo se muestra cómo puede permitir el acceso de administración de no administradores a AWS Audit Manager.
Esta política permite gestionar todos los recursos de Audit Manager (evaluaciones, marcos y controles), pero no permite activar o desactivar Audit Manager ni modificar la configuración del Audit Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }
Permita a los usuarios el acceso de solo lectura a AWS Audit Manager
Esta política otorga acceso de solo lectura a AWS Audit Manager recursos como evaluaciones, marcos y controles.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Permitir AWS Audit Manager enviar notificaciones a temas de Amazon SNS
Las políticas de este ejemplo conceden a Audit Manager permisos para enviar notificaciones a un tema de Amazon SNS existente.
-
Ejemplo 1: Si desea recibir notificaciones de Audit Manager, utilice este ejemplo para añadir permisos a la política de acceso a los temas de SNS.
-
Ejemplo 2: Si su tema de SNS utiliza AWS Key Management Service (AWS KMS) para el cifrado del lado del servidor (SSE), utilice este ejemplo para añadir permisos a la política de acceso a claves de KMS.
En el siguiente ejemplo de política, la entidad principal que obtiene los permisos es la entidad principal del servicio Audit Manager, que es auditmanager.amazonaws.com. Cuando la entidad principal de una declaración de política es una entidad principal del servicio de AWS, recomendamos encarecidamente que utilice las claves de condición globales aws:SourceArn o aws:SourceAccount en la política. Puede utilizar estas claves de contexto de condición global para evitar que se produzca una situación de subdirección confusa.
Ejemplo 1 (Permisos para el tema SNS)
Esta declaración de política permite a Audit Manager publicar eventos en el tema SNS especificado. Cualquier solicitud de publicación sobre el tema de SNS especificado debe cumplir las condiciones de la política.
Antes de utilizar esta política, sustituya el texto del marcador por su propia información. Tome nota de lo siguiente:
-
Si utiliza la clave de condición
aws:SourceArnen esta política, el valor debe ser el ARN del recurso Audit Manager del que proviene la notificación. En el ejemplo siguiente,aws:SourceArnutiliza un comodín (*) como identificador del recurso. Esto permite todas las solicitudes que provienen de Audit Manager en todos los recursos de Audit Manager. Con la clave de condición globalaws:SourceArn, puede utilizar el operador de condiciónStringLikeoArnLike. La práctica recomendada consiste en utilizarArnLike. -
Si utiliza la clave de condición
aws:SourceAccount, puede utilizar el operador de condiciónStringEqualsoStringLike. La práctica recomendada consiste en usarStringEqualspara implementar privilegios mínimos. -
Si utiliza ambos
aws:SourceAccountyaws:SourceArn, los valores de la cuenta deben mostrar el mismo ID de cuenta.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }
El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceArn, con el operador de condición StringLike:
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }
El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceAccount, con el operador de condición StringLike:
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Ejemplo 2 (permisos para la clave de KMS que se adjunta al tema de SNS)
Esta declaración de política permite a Audit Manager utilizar la clave KMS para generar la clave de datos que utiliza para cifrar un tema SNS. Cualquier solicitud de uso de la clave KMS para la operación especificada debe cumplir las condiciones de la política.
Antes de utilizar esta política, sustituya el texto del marcador por su propia información. Tome nota de lo siguiente:
-
Si usa la clave de condición
aws:SourceArnen esta política, el valor debe ser el ARN del recurso que se está cifrando. Por ejemplo, en este caso, es el tema del SNS de su cuenta. Establezca el valor en el ARN o un patrón ARN con caracteres comodín (*). Con la clave de condiciónaws:SourceArn, puede utilizar el operador de condiciónStringLikeoArnLike. La práctica recomendada consiste en utilizarArnLike. -
Si utiliza la clave de condición
aws:SourceAccount, puede utilizar el operador de condiciónStringEqualsoStringLike. La práctica recomendada consiste en usarStringEqualspara implementar privilegios mínimos. Puede usaraws:SourceAccountsi no conoce el ARN del tema de SNS. -
Si utiliza ambos
aws:SourceAccountyaws:SourceArn, los valores de la cuenta deben mostrar el mismo ID de cuenta.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }
El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceArn, con el operador de condición StringLike:
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }
El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceAccount, con el operador de condición StringLike:
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Permita a los usuarios realizar consultas de búsqueda en el buscador de evidencias
La siguiente política otorga permisos para realizar consultas en un banco de datos de eventos de CloudTrail Lake. Esta política de permisos es necesaria si desea utilizar la característica de búsqueda de pruebas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }
