Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politique relative au compartiment Amazon S3 dans le compte d'audit
Dans AWS Control Tower, les AWS services ont accès à vos ressources uniquement lorsque la demande provient de votre organisation ou unité organisationnelle (UO). Une aws:SourceOrgID condition doit être remplie pour toute autorisation d'écriture.
Vous pouvez utiliser la clé de aws:SourceOrgID condition et définir la valeur en fonction de l'ID de votre organisation dans l'élément condition de votre politique de compartiment Amazon S3. Cette condition garantit que CloudTrail seuls les journaux peuvent être écrits pour le compte de comptes au sein de votre organisation dans votre compartiment S3 ; elle empêche CloudTrail les journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3.
Cette politique n'affecte pas la fonctionnalité de vos charges de travail existantes. La politique est illustrée dans l'exemple suivant.
S3AuditBucketPolicy: Type: AWS::S3::BucketPolicy Properties: Bucket: !Ref S3AuditBucket PolicyDocument: Version: 2012-10-17 Statement: - Sid: AllowSSLRequestsOnly Effect: Deny Principal: '*' Action: s3:* Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*" Condition: Bool: aws:SecureTransport: false - Sid: AWSBucketPermissionsCheck Effect: Allow Principal: Service: - cloudtrail.amazonaws.com - config.amazonaws.com Action: s3:GetBucketAcl Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - Sid: AWSConfigBucketExistenceCheck Effect: Allow Principal: Service: - cloudtrail.amazonaws.com - config.amazonaws.com Action: s3:ListBucket Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - Sid: AWSBucketDeliveryForConfig Effect: Allow Principal: Service: - config.amazonaws.com Action: s3:PutObject Resource: - Fn::Join: - "" - - !Sub "arn:${AWS::Partition}:s3:::" - !Ref "S3AuditBucket" - !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"Condition: StringEquals: aws:SourceOrgID: !Ref OrganizationId- Sid: AWSBucketDeliveryForOrganizationTrail Effect: Allow Principal: Service: - cloudtrail.amazonaws.com Action: s3:PutObject Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail, [!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"], !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]Condition: StringEquals: aws:SourceOrgID: !Ref OrganizationId
Pour plus d'informations sur cette clé de condition, consultez la documentation IAM et le billet de blog IAM intitulé « Utiliser des contrôles évolutifs pour les AWS services accédant à vos ressources ».
