のリソースベースのポリシーの例 AWS Audit Manager - AWS Audit Manager
Amazon S3 バケットポリシーAWS Key Management Service ポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のリソースベースのポリシーの例 AWS Audit Manager

Amazon S3 バケットポリシー

次のポリシーでは、CloudTrail に証拠ファインダーのクエリ結果を指定された S3 バケットに配信することを許可します。セキュリティのベストプラクティスとして、IAM グローバル条件キー aws:SourceArn は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。

重要

CloudTrail Lake クエリ結果配信の S3 バケットを指定する必要があります。詳細については、CloudTrail Lake クエリ結果の既存のバケットの指定」を参照してください。

プレースホルダーテキストを以下のように自分の情報に置き換えます。

  • amzn-s3-demo-destination-bucket を、エクスポート先として使用する S3 バケットに置き換えます。

  • myQueryRunningRegion を、設定 AWS リージョン に適した に置き換えます。

  • myAccountID を CloudTrail に使用される AWS アカウント ID に置き換えます。これは、S3 バケットの AWS アカウント ID とは異なる場合があります。これが組織のイベントデータストアである場合は、管理アカウントの AWS アカウント を使用する必要があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service ポリシー

S3 バケットのデフォルトの暗号化が に設定されている場合はSSE-KMS、キーを使用できるように、 AWS Key Management Service キーのリソースポリシーで CloudTrail へのアクセスを許可します。この場合、次のリソースポリシーを AWS KMS キーに追加します。

JSON
{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}