Policy sui bucket di Amazon S3 per CloudTrail i risultati delle query Lake - AWS CloudTrail
Specificare un bucket esistente per i risultati delle query di Lake CloudTrail Risorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy sui bucket di Amazon S3 per CloudTrail i risultati delle query Lake

Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Per fornire i risultati delle query CloudTrail Lake a un bucket S3, è CloudTrail necessario disporre delle autorizzazioni richieste e il bucket non può essere configurato come bucket Requester Pays.

CloudTrail aggiunge automaticamente i seguenti campi nella policy:

  • SID consentiti

  • Nome del bucket

  • Il nome principale del servizio per CloudTrail

Come best practice per la sicurezza, aggiungere una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. La chiave di condizione globale IAM aws:SourceArn aiuta a garantire la CloudTrail scrittura nel bucket S3 solo per il data store degli eventi.

La seguente policy consente di inviare i risultati delle query CloudTrail al bucket fornito da Supported. Regioni AWS Replace myBucketName, myAccountID e myQueryRunningRegion con i valori appropriati per la configurazione. MyAccountID è l'ID dell' AWS account utilizzato per CloudTrail, che potrebbe non essere lo stesso dell'ID AWS account per il bucket S3.

Nota

Se la policy del bucket include un'istruzione per una chiave KMS, ti consigliamo di utilizzare l'ARN completo della chiave KMS. Se invece utilizzi un alias di chiave KMS, AWS KMS risolve la chiave all'interno dell'account del richiedente. Ciò potrebbe comportare la crittografia dei dati con una chiave KMS di proprietà del richiedente e non del proprietario del bucket.

Se si tratta di un datastore di eventi dell'organizzazione, l'ARN del datastore di eventi deve includere l'ID account AWS dell'account di gestione, poiché l'account di gestione mantiene la proprietà di tutte le risorse dell'organizzazione.

Policy del bucket S3

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::myBucketName",
                "arn:aws:s3:::myBucketName/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

Specificare un bucket esistente per i risultati delle query di Lake CloudTrail

Se hai specificato un bucket S3 esistente come posizione di archiviazione per la consegna dei risultati delle query CloudTrail Lake, devi allegare una policy al bucket che consenta di inviare i risultati della query CloudTrail al bucket.

Nota

Come best practice, usa un bucket S3 dedicato per i risultati delle query Lake. CloudTrail

Per aggiungere la CloudTrail policy richiesta a un bucket Amazon S3

  1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Scegli il bucket in cui desideri CloudTrail fornire i risultati delle tue query Lake, quindi scegli Autorizzazioni.

  3. Scegliere Edit (Modifica).

  4. Copiare la S3 bucket policy for query results nella finestra Bucket Policy Editor (Editor policy bucket). Sostituire i segnaposto in corsivo con i nomi del proprio bucket, la regione e l'ID account.

    Nota

    Se il bucket esistente ha già una o più politiche allegate, aggiungi le istruzioni per l' CloudTrail accesso a quella o alle politiche. Valutare il set di autorizzazioni risultante per assicurarsi che siano appropriate per gli utenti che accedono al bucket.

Risorse aggiuntive

Per maggiori informazioni sulle politiche dei bucket S3, consultare Utilizzo delle policy dei bucket e dell'utente nella Guida per l'utente di Amazon Simple Storage Service.