에 대한 리소스 기반 정책 예제 AWS Audit Manager - AWS Audit Manager
Amazon S3 버킷 정책AWS Key Management Service 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 리소스 기반 정책 예제 AWS Audit Manager

Amazon S3 버킷 정책

다음 정책은 CloudTrail이 증거 찾기 쿼리 결과를 지정된 S3 버킷으로 전달하도록 허용합니다. 보안 모범 사례로서 IAM 전역 조건 키 aws:SourceArn는 CloudTrail이 이벤트 데이터 스토어에 대해서만 S3 버킷에 쓰도록 합니다.

중요

CloudTrail Lake 쿼리 결과 전송을 위한 S3 버킷을 지정해야 합니다. 자세한 내용은 CloudTrail Lake 쿼리 결과에 대한 기존 버킷 지정을 참조하세요.

다음과 같이 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

  • amzn-s3-demo-destination-bucket을 내보내기 대상으로 사용하는 S3 버킷으로 바꿉니다.

  • myQueryRunningRegion을 구성에 AWS 리전 적합한 로 바꿉니다.

  • myAccountID를 CloudTrail에 사용되는 AWS 계정 ID로 바꿉니다. 이는 S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다. 조직 이벤트 데이터 스토어인 경우 관리 계정의 AWS 계정 를 사용해야 합니다.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service 정책

S3 버킷에 기본 암호화가 로 설정된 경우 키를 사용할 수 있도록 AWS Key Management Service 키의 리소스 정책에서 CloudTrail에 대한 액세스 권한을 SSE-KMS부여합니다. 이 경우 AWS KMS 키에 다음 리소스 정책을 추가합니다.

JSON
{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}