のリソースベースのポリシーの例 AWS Audit Manager - AWS Audit Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のリソースベースのポリシーの例 AWS Audit Manager

Amazon S3 バケットポリシー

次のポリシーでは、CloudTrail に証拠ファインダーのクエリ結果を指定された S3 バケットに配信することを許可します。セキュリティのベストプラクティスとして、IAM グローバル条件キー aws:SourceArn は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。

重要

CloudTrail Lake クエリ結果配信の S3 バケットを指定する必要があります。詳細については、CloudTrail Lake クエリ結果の既存のバケットの指定」を参照してください。

プレースホルダーテキストを以下のように自分の情報に置き換えます。

  • amzn-s3-demo-destination-bucket を、エクスポート先として使用する S3 バケットに置き換えます。

  • myQueryRunningRegion を、設定 AWS リージョン に適した に置き換えます。

  • myAccountID を CloudTrail に使用される AWS アカウント ID に置き換えます。これは、S3 バケットの AWS アカウント ID とは異なる場合があります。これが組織のイベントデータストアである場合は、管理アカウントの AWS アカウント を使用する必要があります。

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } } ] }

AWS Key Management Service ポリシー

S3 バケットのデフォルトの暗号化が に設定されている場合はSSE-KMS、キーを使用できるように、 AWS Key Management Service キーのリソースポリシーで CloudTrail へのアクセスを許可します。この場合、次のリソースポリシーを AWS KMS キーに追加します。

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }