Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS CloudTrail esempi di politiche basate sulle risorse
CloudTrail supporta politiche di autorizzazione basate sulle risorse per i canali utilizzati per le integrazioni di Lake. CloudTrail CloudTrail Per ulteriori informazioni sulla creazione di integrazioni con Lake, consulta. CloudTrail Crea un'integrazione con una fonte di eventi esterna a AWS
Le informazioni richieste per la policy dipendono dal tipo di integrazione.
-
Per un'integrazione direzionale, CloudTrail richiede che la policy contenga quello del Account AWS IDs partner e richiede l'inserimento dell'ID esterno univoco fornito dal partner. CloudTrail aggiunge automaticamente la politica delle risorse del partner Account AWS IDs alla politica delle risorse quando si crea un'integrazione utilizzando la CloudTrail console. Consulta la documentazione del partner per scoprire come ottenere i Account AWS numeri richiesti per la policy.
-
Per l'integrazione di una soluzione, è necessario specificare almeno un Account AWS ID come principale e, facoltativamente, inserire un ID esterno per evitare di creare confusione tra deputati.
Di seguito sono riportati i requisiti per la policy basata sulle risorse:
-
La risorsa ARN definita nella policy deve corrispondere al canale a cui è associata ARN la policy.
-
La policy contiene una sola operazione:
cloudtrail-data:PutAuditEvents -
La policy deve includere almeno un'istruzione. La policy può avere un massimo di 20 istruzioni.
-
Ogni istruzione contiene almeno un principale. Un'istruzione può avere un massimo di 50 principali.
Il proprietario del canale può chiamarla PutAuditEvents API sul canale a meno che la politica non neghi al proprietario l'accesso alla risorsa.
Argomenti
Esempio: fornire l'accesso al canale ai principali
L'esempio seguente concede le autorizzazioni ai principali con ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, e arn:aws:iam::123456789012:root per chiamarli PutAuditEventsAPIsul CloudTrail canale con. ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
Esempio: utilizzo di un ID esterno per evitare il problema "confused deputy"
L'esempio seguente utilizza un ID esterno per gestire e prevenire il problema confused deputy. Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione.
Il partner di integrazione crea l'ID esterno da utilizzare nella policy. Quindi, ti fornisce l'ID esterno come parte della creazione dell'integrazione. Il valore può essere qualsiasi stringa univoca, ad esempio una passphrase o un numero di account.
L'esempio concede le autorizzazioni ai principali con il ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root, e arn:aws:iam::123456789012:root per chiamare la risorsa PutAuditEventsAPIsul CloudTrail canale se la chiamata a PutAuditEvents API include il valore dell'ID esterno definito nella politica.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
