Ejemplos de políticas basadas en recursos para AWS Audit Manager - AWS Audit Manager
Política de buckets de Amazon S3AWS Key Management Service política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en recursos para AWS Audit Manager

Política de buckets de Amazon S3

La siguiente política permite CloudTrail enviar los resultados de las consultas del buscador de evidencias al bucket S3 especificado. Como práctica recomendada de seguridad, la clave de condición global de IAM aws:SourceArn ayuda a garantizar que solo se CloudTrail escriba en el depósito de S3 para el almacén de datos de eventos.

importante

Debe especificar un bucket de S3 para la entrega de los resultados de las consultas de CloudTrail Lake. Para obtener más información, consulte Especificar un depósito existente para los resultados de la consulta de CloudTrail Lake.

placeholder textSustitúyala por tu propia información, de la siguiente manera:

  • amzn-s3-demo-destination-bucketSustitúyalo por el depósito S3 que utiliza como destino de exportación.

  • myQueryRunningRegionSustitúyalo por el apropiado Región de AWS para su configuración.

  • myAccountIDSustitúyalo por el Cuenta de AWS identificador para el que se utiliza CloudTrail. Puede que no sea el mismo que el Cuenta de AWS ID del bucket de S3. Si se trata de un almacén de datos de eventos de la organización, debe utilizar la Cuenta de AWS para la cuenta de administración.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service política

Si su bucket de S3 tiene el cifrado predeterminado establecido CloudTrail enSSE-KMS, concédale acceso a la política de recursos de su AWS Key Management Service clave para que pueda usarla. En este caso, añada la siguiente política de recursos a la AWS KMS clave.

JSON
{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}