Contoh kebijakan berbasis sumber daya untuk AWS Audit Manager - AWS Audit Manager
Kebijakan bucket Amazon S3AWS Key Management Service kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis sumber daya untuk AWS Audit Manager

Kebijakan bucket Amazon S3

Kebijakan berikut memungkinkan CloudTrail untuk mengirimkan hasil kueri pencari bukti ke bucket S3 yang ditentukan. Sebagai praktik keamanan terbaik, kunci kondisi global IAM aws:SourceArn membantu memastikan bahwa CloudTrail menulis ke bucket S3 hanya untuk penyimpanan data acara.

penting

Anda harus menentukan bucket S3 untuk pengiriman hasil kueri CloudTrail Lake. Untuk informasi selengkapnya, lihat Menentukan bucket yang ada untuk hasil kueri CloudTrail Lake.

Ganti placeholder text dengan informasi Anda sendiri, sebagai berikut:

  • Ganti amzn-s3-demo-destination-bucket dengan bucket S3 yang Anda gunakan sebagai tujuan ekspor Anda.

  • Ganti myQueryRunningRegion dengan yang sesuai Wilayah AWS untuk konfigurasi Anda.

  • Ganti myAccountID dengan Akun AWS ID yang digunakan untuk CloudTrail. Ini mungkin tidak sama dengan Akun AWS ID untuk bucket S3. Jika ini adalah penyimpanan data acara organisasi, Anda harus menggunakan Akun AWS untuk akun manajemen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service kebijakan

Jika bucket S3 Anda memiliki enkripsi default yang disetel keSSE-KMS, berikan akses ke CloudTrail kebijakan sumber daya AWS Key Management Service kunci Anda sehingga dapat menggunakan kunci tersebut. Dalam hal ini, tambahkan kebijakan sumber daya berikut ke AWS KMS kunci.

JSON
{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}