Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS CloudTrail esempi di policy basate sulle risorse
CloudTrail supporta politiche di autorizzazione basate sulle risorse per i canali utilizzati per le integrazioni di Lake. CloudTrail CloudTrail Per ulteriori informazioni sulla creazione di integrazioni con Lake, consulta. CloudTrail Crea un'integrazione con una fonte di eventi esterna a AWS
Le informazioni richieste per la policy dipendono dal tipo di integrazione.
-
Per un'integrazione direzionale, CloudTrail richiede che la policy contenga Account AWS gli ID del partner e richiede l'inserimento dell'ID esterno univoco fornito dal partner. CloudTrail aggiunge automaticamente gli Account AWS ID del partner alla politica delle risorse quando crei un'integrazione utilizzando la CloudTrail console. Consulta la documentazione del partner per scoprire come ottenere i Account AWS numeri richiesti per la policy.
-
Per l'integrazione di una soluzione, è necessario specificare almeno un Account AWS ID come principale e, facoltativamente, inserire un ID esterno per evitare di creare confusione tra deputati.
Di seguito sono riportati i requisiti per la policy basata sulle risorse:
-
L'ARN della risorsa definito nella policy deve corrispondere all'ARN del canale al quale è collegata la policy.
-
La policy contiene una sola operazione:
cloudtrail-data:PutAuditEvents -
La policy deve includere almeno un'istruzione. La policy può avere un massimo di 20 istruzioni.
-
Ogni istruzione contiene almeno un principale. Un'istruzione può avere un massimo di 50 principali.
Il proprietario del canale può chiamare l'API PutAuditEvents sul canale, a meno che la policy non gli neghi l'accesso alla risorsa.
Argomenti
Esempio: fornire l'accesso al canale ai principali
L'esempio seguente concede le autorizzazioni ai principali con gli ARN arn:aws:iam::111122223333:root e arn:aws:iam::123456789012:root per chiamare l'PutAuditEventsAPI sul canale CloudTrail con l'ARN. arn:aws:iam::444455556666:root arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
Esempio: utilizzo di un ID esterno per evitare il problema "confused deputy"
L'esempio seguente utilizza un ID esterno per gestire e prevenire il problema confused deputy. Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione.
Il partner di integrazione crea l'ID esterno da utilizzare nella policy. Quindi, ti fornisce l'ID esterno come parte della creazione dell'integrazione. Il valore può essere qualsiasi stringa univoca, ad esempio una passphrase o un numero di account.
L'esempio concede le autorizzazioni ai principali con gli ARN arn:aws:iam::111122223333:root e consente di chiamare l'PutAuditEventsAPI sulla risorsa del CloudTrail canale se la chiamata arn:aws:iam::123456789012:root all'PutAuditEventsAPI include il valore dell'ID esterno definito nella policy. arn:aws:iam::444455556666:root
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
