Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour AWS Audit Manager
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier des ressources Audit Manager. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM. L’administrateur peut ensuite ajouter les politiques IAM aux rôles et les utilisateurs peuvent assumer les rôles.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez Création de politiques dans l’onglet JSON dans le Guide de l’utilisateur IAM.
Pour plus de détails sur les actions et les types de ressources définis par AWS Audit Manager, y compris le format des ARN pour chacun des types de ressources, veuillez consulter Actions, ressources et clés de condition pour AWS Audit Manager dans la Référence de l’autorisation de service.
Table des matières
- Bonnes pratiques en matière de politiques
- Ajoutez les autorisations minimales requises pour activer Audit Manager
- Permettre aux utilisateurs un accès administrateur complet à AWS Audit Manager
- Exemple 1 (politique gérée, AWSAuditManagerAdministratorAccess)
- Exemple 2 (autorisations de destination du rapport d’évaluation)
- Exemple 3 (autorisations de destination d’exportation)
- Exemple 4 (Autorisations pour activer l’outil de recherche d’éléments probants)
- Exemple 5 (Autorisations pour désactiver l’outil de recherche d’éléments probants)
- Autoriser l’accès de gestion des utilisateurs à AWS Audit Manager
- Autoriser les utilisateurs à accéder en lecture seule à AWS Audit Manager
- Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
- AWS Audit Manager Autoriser l'envoi de notifications aux rubriques Amazon SNS
- Autoriser les utilisateurs à exécuter des requêtes de recherche dans l’outil de recherche d’éléments probants
Bonnes pratiques en matière de politiques
Les politiques basées sur l’identité déterminent si une personne peut créer, consulter ou supprimer des ressources Audit Manager dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.
-
Accorder les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation de IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.
-
Utiliser des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
-
Utilisez IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : IAM Access Analyzer valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politique IAM Access Analyzer dans le Guide de l’utilisateur IAM.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger le MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Configuration de l’accès aux API protégé par MFA dans le Guide de l’utilisateur IAM.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.
Ajoutez les autorisations minimales requises pour activer Audit Manager
Cet exemple montre comment autoriser des comptes sans rôle d’administrateur à activer AWS Audit Manager.
Note
Ce que nous proposons ici est une politique de base accordant les autorisations minimales nécessaires pour activer Audit Manager. Toutes les autorisations définies dans la politique suivante sont requises. Si vous omettez une partie de cette politique, vous ne pourrez pas activer Audit Manager.
Nous vous recommandons de prendre le temps de personnaliser vos autorisations en fonction de vos besoins spécifiques. Si vous avez encore besoin d’aide, contactez votre administrateur ou AWS Support
Pour accorder l’accès minimum requis pour activer Audit Manager, utilisez les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
Permettre aux utilisateurs un accès administrateur complet à AWS Audit Manager
Les exemples de politiques suivants accordent un accès administrateur complet à AWS Audit Manager.
Exemple 1 (politique gérée, AWSAuditManagerAdministratorAccess)
La AWSAuditManagerAdministratorAccesspolitique inclut la possibilité d'activer et de désactiver Audit Manager, la possibilité de modifier les paramètres d'Audit Manager et la capacité de gérer toutes les ressources d'Audit Manager telles que les évaluations, les cadres, les contrôles et les rapports d'évaluation.
Exemple 2 (autorisations de destination du rapport d’évaluation)
Cette politique vous autorise à accéder à un compartiment S3 spécifique, à y ajouter des fichiers et à en supprimer. Cela vous permet d’utiliser le compartiment spécifié comme destination du rapport d’évaluation dans Audit Manager.
Remplacez chaque espace réservé par vos propres informations. Incluez le compartiment S3 destination de votre rapport d’évaluation et la clé KMS utilisée pour chiffrer vos rapports d’évaluation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
Exemple 3 (autorisations de destination d’exportation)
La politique suivante permet de CloudTrail fournir les résultats des requêtes Evidence Finder au compartiment S3 spécifié. En tant que bonne pratique en matière de sécurité, la clé de condition globale IAM aws:SourceArn permet de garantir que les CloudTrail écritures dans le compartiment S3 ne sont destinées qu'au magasin de données d'événements.
Remplacez l’espace réservé par vos propres informations.
-
Remplacez DOC-EXAMPLE-DESTINATION-BUCKET par le compartiment S3 utilisé comme destination d’exportation.
-
Remplacez
myQueryRunningRegionpar la région appropriée Région AWS à votre configuration. -
Remplacez
MyAccountIDpar l' Compte AWS ID utilisé pour. CloudTrail Il se peut qu’il ne soit pas identique à l’ID Compte AWS du compartiment S3. S'il s'agit d'un magasin de données sur les événements d'une organisation, vous devez utiliser le Compte AWS pour le compte de gestion.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }
Exemple 4 (Autorisations pour activer l’outil de recherche d’éléments probants)
La politique d’autorisation suivante est requise si vous souhaitez activer et utiliser la fonctionnalité de recherche d’éléments probants. Cette déclaration de politique permet à Audit Manager de créer un magasin de données d'événements CloudTrail Lake et d'exécuter des requêtes de recherche.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }
Exemple 5 (Autorisations pour désactiver l’outil de recherche d’éléments probants)
Cet exemple de politique autorise la désactivation de la fonctionnalité de recherche d’éléments probants dans Audit Manager. Cela implique de supprimer l’entrepôt de données d’événements créé lors de la première activation de cette fonctionnalité.
Pour utiliser cette politique, remplacez le texte de l’espace réservé par vos propres informations. Vous devez spécifier l’UUID de l’entrepôt de données d’événements créé lors de l’activation de l’outil de recherche d’éléments probants. Vous pouvez récupérer l’ARN de l’entrepôt de données d’événements à partir de vos paramètres Audit Manager. Pour plus d'informations, consultez GetSettingsla référence de AWS Audit Manager l'API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }
Autoriser l’accès de gestion des utilisateurs à AWS Audit Manager
Cet exemple montre comment autoriser un accès de gestion non administrateur à AWS Audit Manager.
Cette politique permet de gérer toutes les ressources d’Audit Manager (évaluations, frameworks et contrôles), mais ne permet pas d’activer ou de désactiver Audit Manager ou de modifier les paramètres d’Audit Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }
Autoriser les utilisateurs à accéder en lecture seule à AWS Audit Manager
Cette politique accorde un accès en lecture seule aux AWS Audit Manager ressources telles que les évaluations, les cadres et les contrôles.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
AWS Audit Manager Autoriser l'envoi de notifications aux rubriques Amazon SNS
Les politiques de cet exemple accordent à Audit Manager l’autorisation d’envoyer des notifications à une rubrique Amazon SNS existante.
-
Exemple 1 — Si vous souhaitez recevoir des notifications d'Audit Manager, utilisez cet exemple pour ajouter des autorisations à votre politique d'accès aux rubriques SNS.
-
Exemple 2 — Si votre rubrique SNS utilise AWS Key Management Service (AWS KMS) pour le chiffrement côté serveur (SSE), utilisez cet exemple pour ajouter des autorisations à la politique d'accès aux clés KMS.
Dans les politiques suivantes, le principal qui obtient les autorisations est le principal du service Audit Manager, qui est auditmanager.amazonaws.com. Lorsque le principal d’une instruction de politique est un principal du service AWS, nous vous recommandons vivement d’utiliser les clés de condition globales aws:SourceArn ou aws:SourceAccount dans la politique. Vous pouvez utiliser ces clés contextuelles de condition globale pour éviter le scénario de l’adjoint désorienté.
Exemple 1 (Autorisations pour la rubrique SNS)
Cette instruction de politique autorise Audit Manager à publier des événements sur la rubrique SNS spécifiée. Toute demande de publication sur la rubrique SNS spécifiée doit satisfaire aux conditions de la politique.
Pour utiliser cette politique, remplacez le texte de l’espace réservé par vos propres informations. Notez les informations suivantes :
-
Si vous utilisez la clé de condition
aws:SourceArndans cette politique, la valeur doit être l’ARN de la ressource Audit Manager d’où provient la notification. Dans l’exemple ci-dessous,aws:SourceArnutilise un caractère générique (*) pour l’ID de ressource. Cela autorise toutes les demandes provenant d’Audit Manager sur toutes les ressources d’Audit Manager. Avec la clé de condition globaleaws:SourceArn, vous pouvez utiliser l’opérateur de conditionStringLikeouArnLike. Comme bonne pratique, nous vous recommandons d’utiliserArnLike. -
Avec la clé de condition
aws:SourceAccount, vous pouvez utiliser l’opérateur de conditionStringEqualsouStringLike. Comme bonne pratique, nous vous recommandons d’utiliserStringEqualspour la mise en place du moindre privilège. -
Si vous utilisez à la fois
aws:SourceAccountetaws:SourceArn, les valeurs de compte doivent comporter le même ID de compte.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceArn, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceAccount, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Exemple 2 (autorisations pour la clé KMS associée à la rubrique SNS)
L’instruction de politique permet à Audit Manager d’utiliser la clé KMS pour générer la clé de donnéesutilisée pour chiffrer une rubrique SNS. Toute demande d’utilisation de la clé KMS pour l’opération spécifiée doit répondre aux conditions de la politique.
Pour utiliser cette politique, remplacez le texte de l’espace réservé par vos propres informations. Notez les informations suivantes :
-
Si vous utilisez la clé de condition
aws:SourceArndans cette politique, la valeur doit être l’ARN de la ressource chiffrée. Par exemple, dans ce cas, il s’agit de la rubrique SNS de votre compte. Définissez la valeur sur l’ARN ou un modèle d’ARN avec des caractères génériques (*). Avec la clé de conditionaws:SourceArn, vous pouvez utiliser l’opérateur de conditionStringLikeouArnLike. Comme bonne pratique, nous vous recommandons d’utiliserArnLike. -
Avec la clé de condition
aws:SourceAccount, vous pouvez utiliser l’opérateur de conditionStringEqualsouStringLike. Comme bonne pratique, nous vous recommandons d’utiliserStringEqualspour la mise en place du moindre privilège. Si vous ne connaissez pas l’ARN de la rubrique SNS, vous pouvez utiliseraws:SourceAccount. -
Si vous utilisez à la fois
aws:SourceAccountetaws:SourceArn, les valeurs de compte doivent comporter le même ID de compte.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceArn, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceAccount, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Autoriser les utilisateurs à exécuter des requêtes de recherche dans l’outil de recherche d’éléments probants
La politique suivante accorde des autorisations pour effectuer des requêtes sur un magasin de données d'événements CloudTrail Lake. La politique d’autorisation est requise si vous souhaitez utiliser la fonctionnalité de recherche d’éléments probants.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }
