翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のリソースベースのポリシーの例 AWS Audit Manager
Amazon S3 バケットポリシー
次のポリシーでは、CloudTrail に証拠ファインダーのクエリ結果を指定された S3 バケットに配信することを許可します。セキュリティのベストプラクティスとして、IAM グローバル条件キー aws:SourceArn
は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。
重要
CloudTrail Lake クエリ結果配信の S3 バケットを指定する必要があります。詳細については、CloudTrail Lake クエリ結果の既存のバケットの指定」を参照してください。
プレースホルダーテキスト
を以下のように自分の情報に置き換えます。
-
amzn-s3-demo-destination-bucket
を、エクスポート先として使用する S3 バケットに置き換えます。 -
myQueryRunningRegion
を、設定 AWS リージョン に適した に置き換えます。 -
myAccountID
を CloudTrail に使用される AWS アカウント ID に置き換えます。これは、S3 バケットの AWS アカウント ID とは異なる場合があります。これが組織のイベントデータストアである場合は、管理アカウントの AWS アカウント を使用する必要があります。
AWS Key Management Service ポリシー
S3 バケットのデフォルトの暗号化が に設定されている場合はSSE-KMS
、キーを使用できるように、 AWS Key Management Service キーのリソースポリシーで CloudTrail へのアクセスを許可します。この場合、次のリソースポリシーを AWS KMS キーに追加します。