Ejemplos de políticas basadas en la identidad para AWS Audit Manager - AWS Audit Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en la identidad para AWS Audit Manager

De forma predeterminada, los usuarios y roles no tienen permiso para crear o modificar recursos del Audit Manager. Tampoco pueden realizar tareas con AWS Management Console, AWS Command Line Interface (AWS CLI) o. AWS API Para conceder a los usuarios permiso para realizar acciones en los recursos que necesitan, un IAM administrador puede crear IAM políticas. A continuación, el administrador puede añadir las IAM políticas a las funciones y los usuarios pueden asumir las funciones.

Para obtener información sobre cómo crear una política IAM basada en la identidad mediante estos documentos de JSON política de ejemplo, consulte Creación de IAM políticas en la Guía del IAMusuario.

Para obtener más información sobre las acciones y los tipos de recursos definidos por AWS Audit Manager, incluido el ARNs formato de cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición de AWS Audit Manager en la Referencia de autorización de servicios.

Prácticas recomendadas sobre las políticas

Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Audit Manager de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:

  • Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Para obtener más información, consulte las políticas AWS gestionadas o las políticas AWS gestionadas para las funciones laborales en la Guía del IAM usuario.

  • Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.

  • Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.

  • Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte la validación de políticas de IAM Access Analyzer en la Guía del IAM usuario.

  • Requerir autenticación multifactorial (MFA): si se encuentra en una situación en la que se requieren IAM usuarios o un usuario raíz Cuenta de AWS, actívela MFA para aumentar la seguridad. Para solicitarlo MFA cuando se convoque a API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.

Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

Permita los permisos mínimos necesarios para activar Audit Manager

En este ejemplo se muestra cómo puede permitir que se habiliten cuentas sin función de administrador para habilitar AWS Audit Manager.

nota

Lo que ofrecemos aquí es una política básica que concede los permisos mínimos necesarios para activar Audit Manager. Todos los permisos de la política siguiente son obligatorios. Si omite alguna parte de esta política, no podrá habilitar Audit Manager.

Le recomendamos que dedique un tiempo a personalizar sus permisos para que se adapten a sus necesidades específicas. Si necesita ayuda, póngase en contacto con su administrador o con AWSSupport.

Para conceder el acceso mínimo necesario para activar Audit Manager, utilice los siguientes permisos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }

No es necesario conceder permisos mínimos de consola a los usuarios que realicen llamadas únicamente al AWS CLI o al AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la API operación que está intentando realizar.

Permitir a los usuarios acceso de administrador total a AWS Audit Manager

Los siguientes ejemplos de políticas otorgan acceso de administrador total a AWS Audit Manager.

Ejemplo 1 (política gestionada, AWSAuditManagerAdministratorAccess)

La AWSAuditManagerAdministratorAccesspolítica incluye la capacidad de activar y desactivar Audit Manager, la posibilidad de cambiar la configuración de Audit Manager y la capacidad de gestionar todos los recursos del Audit Manager, como las evaluaciones, los marcos, los controles y los informes de evaluación.

Ejemplo 2 (permisos de destino del informe de evaluación)

Esta política le concede permiso para acceder a un bucket de S3 específico y para añadir y eliminar archivos de él. Esto le permite utilizar el bucket especificado como destino del informe de evaluación en Audit Manager.

Sustituya el placeholder text con su propia información. Incluya el depósito de S3 que utiliza como destino del informe de evaluación y la KMS clave que utiliza para cifrar los informes de evaluación.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }

Ejemplo 3 (permisos de destino de exportación)

La siguiente política permite CloudTrail enviar los resultados de las consultas del buscador de evidencias al depósito de S3 especificado. Como práctica recomendada de seguridad, la clave de condición IAM global aws:SourceArn ayuda a garantizar que solo se CloudTrail escriba en el depósito de S3 para el almacén de datos del evento.

Sustituya la placeholder text con su propia información, de la siguiente manera:

  • Reemplazar amzn-s3-demo-destination-bucket con el depósito S3 que utiliza como destino de exportación.

  • Reemplazar myQueryRunningRegion con el apropiado Región de AWS para su configuración.

  • Reemplazar myAccountID con el Cuenta de AWS identificador para el que se utiliza CloudTrail. Puede que no coincida con el ID Cuenta de AWS del bucket de S3. Si se trata de un almacén de datos de eventos de la organización, debe usarlo Cuenta de AWS para la cuenta de administración.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }

Ejemplo 4 (Permisos para activar el buscador de evidencias)

Se requiere la siguiente política de permisos si desea activar y utilizar la característica de búsqueda de evidencias. Esta declaración de política permite a Audit Manager crear un almacén de datos de eventos de CloudTrail Lake y ejecutar consultas de búsqueda.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }

Ejemplo 5 (Permisos para desactivar el buscador de evidencias)

Este ejemplo de política otorga permiso para deshabilitar la característica de búsqueda de evidencias en Audit Manager. Esto implica eliminar el almacén de datos de eventos que se creó cuando habilitó la característica por primera vez.

Antes de usar esta política, sustituya la placeholder text con su propia información. Debe especificar el almacén UUID de datos de eventos que se creó al activar el buscador de pruebas. Puede recuperar el almacén ARN de datos de eventos desde la configuración de Audit Manager. Para obtener más información, consulte GetSettingsla AWS Audit Manager APIReferencia.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }

Permita que la administración de los usuarios acceda a AWS Audit Manager

En este ejemplo se muestra cómo puede permitir el acceso de administración de no administradores a AWS Audit Manager.

Esta política permite gestionar todos los recursos de Audit Manager (evaluaciones, marcos y controles), pero no permite activar o desactivar Audit Manager ni modificar la configuración del Audit Manager.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }

Permita a los usuarios el acceso de solo lectura a AWS Audit Manager

Esta política otorga acceso de solo lectura a AWS Audit Manager recursos como evaluaciones, marcos y controles.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }

Cómo permitir a los usuarios consultar sus propios permisos

En este ejemplo, se muestra cómo se puede crear una política que permita a IAM los usuarios ver las políticas integradas y administradas asociadas a su identidad de usuario. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la tecla o. AWS CLI AWS API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

AWS Audit Manager Permitir el envío de notificaciones a los SNS temas de Amazon

Las políticas de este ejemplo otorgan a Audit Manager permisos para enviar notificaciones a un SNS tema existente de Amazon.

  • Ejemplo 1: Si desea recibir notificaciones de Audit Manager, utilice este ejemplo para añadir permisos a la política de acceso a los SNS temas.

  • Ejemplo 2: si su SNS tema usa AWS Key Management Service (AWS KMS) para el cifrado del lado del servidor (SSE), use este ejemplo para agregar permisos a la política de acceso a KMS claves.

En el siguiente ejemplo de política, la entidad principal que obtiene los permisos es la entidad principal del servicio Audit Manager, que es auditmanager.amazonaws.com. Cuando la entidad principal de una declaración de política es una entidad principal del servicio de AWS, recomendamos encarecidamente que utilice las claves de condición globales aws:SourceArn o aws:SourceAccount en la política. Puede utilizar estas claves de contexto de condición global para evitar que se produzca una situación de subdirección confusa.

Ejemplo 1 (Permisos para el SNS tema)

Esta declaración de política permite a Audit Manager publicar eventos sobre el SNS tema especificado. Cualquier solicitud de publicación sobre el SNS tema especificado debe cumplir las condiciones de la política.

Antes de usar esta política, sustituya la placeholder text con su propia información. Tome nota de lo siguiente:

  • Si utiliza la clave de aws:SourceArn condición en esta política, el valor debe ser el ARN del recurso Audit Manager del que proviene la notificación. En el ejemplo siguiente, aws:SourceArn utiliza un comodín (*) como identificador del recurso. Esto permite todas las solicitudes que provienen de Audit Manager en todos los recursos de Audit Manager. Con la clave de condición global aws:SourceArn, puede utilizar el operador de condición StringLike o ArnLike. La práctica recomendada consiste en utilizar ArnLike.

  • Si utiliza la clave de condición aws:SourceAccount, puede utilizar el operador de condición StringEquals o StringLike. La práctica recomendada consiste en usar StringEquals para implementar privilegios mínimos.

  • Si utiliza ambos aws:SourceAccount y aws:SourceArn, los valores de la cuenta deben mostrar el mismo ID de cuenta.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }

El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceArn, con el operador de condición StringLike:

"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }

El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceAccount, con el operador de condición StringLike:

"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }

Ejemplo 2 (permisos para la KMS clave adjunta al SNS tema)

Esta declaración de política permite a Audit Manager utilizar la KMS clave para generar la clave de datos que utiliza para cifrar un SNS tema. Cualquier solicitud de uso de la KMS clave para la operación especificada debe cumplir las condiciones de la política.

Antes de usar esta política, sustituya la placeholder text con su propia información. Tome nota de lo siguiente:

  • Si utiliza la clave de aws:SourceArn condición en esta política, el valor debe ser el ARN del recurso que se está cifrando. Por ejemplo, en este caso, es el SNS tema de tu cuenta. Defina el valor en ARN o en un ARN patrón con caracteres comodín (*). Con la clave de condición aws:SourceArn, puede utilizar el operador de condición StringLike o ArnLike. La práctica recomendada consiste en utilizar ArnLike.

  • Si utiliza la clave de condición aws:SourceAccount, puede utilizar el operador de condición StringEquals o StringLike. La práctica recomendada consiste en usar StringEquals para implementar privilegios mínimos. Puede usarlo aws:SourceAccount si no conoce ARN el SNS tema.

  • Si utiliza ambos aws:SourceAccount y aws:SourceArn, los valores de la cuenta deben mostrar el mismo ID de cuenta.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }

El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceArn, con el operador de condición StringLike:

"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }

El siguiente ejemplo alternativo usa solo la clave de condición aws:SourceAccount, con el operador de condición StringLike:

"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }

Permita a los usuarios realizar consultas de búsqueda en el buscador de evidencias

La siguiente política otorga permisos para realizar consultas en un banco de datos de eventos de CloudTrail Lake. Esta política de permisos es necesaria si desea utilizar la característica de búsqueda de pruebas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }