Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan bucket Amazon S3 untuk hasil kueri CloudTrail Lake
Secara default, ember dan objek Amazon S3 bersifat pribadi. Hanya pemilik sumber daya ( AWS akun yang membuat bucket) yang dapat mengakses bucket dan objek yang dikandungnya. Pemilik sumber daya dapat memberikan izin akses ke sumber daya dan pengguna lain dengan menulis kebijakan akses.
Untuk mengirimkan hasil kueri CloudTrail Lake ke bucket S3, CloudTrail harus memiliki izin yang diperlukan, dan tidak dapat dikonfigurasi sebagai bucket Requester Pays.
CloudTrail menambahkan bidang berikut dalam kebijakan untuk Anda:
-
SID yang diizinkan
-
Nama ember
-
Nama utama layanan untuk CloudTrail
Sebagai praktik terbaik keamanan, tambahkan kunci aws:SourceArn kondisi ke kebijakan bucket Amazon S3. Kunci kondisi global IAM aws:SourceArn membantu memastikan bahwa CloudTrail menulis ke bucket S3 hanya untuk penyimpanan data acara.
Kebijakan berikut memungkinkan CloudTrail untuk mengirimkan hasil kueri ke bucket dari yang didukung Wilayah AWS. Ganti DOC-EXAMPLE-BUCKET, MyAccountID, dan myQueryRunningRegion dengan nilai yang sesuai untuk konfigurasi Anda. MyAccountID adalah ID AWS akun yang digunakan CloudTrail, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.
catatan
Jika kebijakan bucket Anda menyertakan pernyataan untuk kunci KMS, sebaiknya gunakan ARN kunci KMS yang memenuhi syarat sepenuhnya. Jika Anda menggunakan alias kunci KMS sebagai gantinya, AWS KMS selesaikan kunci dalam akun pemohon. Perilaku ini dapat menghasilkan data yang dienkripsi dengan kunci KMS milik pemohon, dan bukan pemilik bucket.
Jika ini adalah penyimpanan data acara organisasi, ARN penyimpanan data acara harus menyertakan ID AWS akun untuk akun manajemen. Ini karena akun manajemen mempertahankan kepemilikan semua sumber daya organisasi.
Kebijakan bucket S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailLake1", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Sid": "AWSCloudTrailLake2", "Effect": "Allow", "Principal": {"Service":"cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } } ] }
Menentukan bucket yang ada untuk hasil kueri CloudTrail Lake
Jika Anda menetapkan bucket S3 yang ada sebagai lokasi penyimpanan untuk pengiriman hasil kueri CloudTrail Lake, Anda harus melampirkan kebijakan ke bucket yang memungkinkan CloudTrail pengiriman hasil kueri ke bucket.
catatan
Sebagai praktik terbaik, gunakan bucket S3 khusus untuk hasil kueri CloudTrail Lake.
Untuk menambahkan CloudTrail kebijakan yang diperlukan ke bucket Amazon S3
Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/
. -
Pilih bucket tempat Anda CloudTrail ingin mengirimkan hasil kueri Lake, lalu pilih Izin.
-
Pilih Edit.
-
Salin S3 bucket policy for query results ke jendela Bucket Policy Editor. Ganti placeholder dalam huruf miring dengan nama bucket, Region, dan ID akun Anda.
catatan
Jika bucket yang ada sudah memiliki satu atau beberapa kebijakan yang dilampirkan, tambahkan pernyataan untuk CloudTrail akses ke kebijakan atau kebijakan tersebut. Evaluasi kumpulan izin yang dihasilkan untuk memastikan bahwa izin tersebut sesuai untuk pengguna yang mengakses bucket.
Sumber daya tambahan
Untuk informasi selengkapnya tentang bucket dan kebijakan S3, lihat Menggunakan kebijakan bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
