CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책 - AWS CloudTrail
CloudTrail Lake 쿼리 결과에 대한 기존 버킷 지정추가 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책

기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 리소스 소유자(버킷을 생성한 AWS 계정)만 버킷과 버킷에 포함된 객체에 액세스할 수 있습니다. 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.

S3 버킷에 CloudTrail Lake 쿼리 결과를 전달하려면 CloudTrail에 필요한 권한이 있어야 하며, 버킷을 요청자 지불 버킷으로 구성할 수 없습니다.

CloudTrail은 정책에 다음 필드를 자동으로 추가합니다.

  • 허용된 SID

  • 버킷 이름

  • CloudTrail에 대한 서비스 보안 주체 이름

보안 모범 사례로 aws:SourceArn 조건 키를 Amazon S3 버킷 정책에 추가합니다. IAM 전역 조건 키 aws:SourceArn는 CloudTrail이 이벤트 데이터 스토어에 대해서만 S3 버킷에 쓰도록 합니다.

다음 정책은 CloudTrail이 지원되는 AWS 리전의 버킷에 쿼리 결과를 전달하도록 허용합니다. myBucketName, myAccountID, myQueryRunningRegion을 구성에 적합한 값으로 바꿉니다. myAccountID는 CloudTrail에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다.

참고

버킷 정책에 KMS 키에 대한 문이 포함된 경우 정규화된 KMS 키 ARN을 사용하는 것이 좋습니다. KMS 키 별칭을 대신 사용하는 경우 AWS KMS가 요청자의 계정 내에서 키를 해독합니다. 이 동작으로 인해 버킷 소유자가 아닌 요청자에게 속한 KMS로 데이터가 암호화될 수 있습니다.

조직 이벤트 데이터 스토어인 경우 이벤트 데이터 스토어 ARN에 관리 계정에 대한 AWS 계정 ID가 포함되어야 합니다. 이는 관리 계정이 모든 조직 리소스의 소유권을 유지하기 때문입니다.

S3 버킷 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::myBucketName",
                "arn:aws:s3:::myBucketName/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

CloudTrail Lake 쿼리 결과에 대한 기존 버킷 지정

CloudTrail Lake 쿼리 결과 전달 시 스토리지 위치로 기존 S3 버킷을 지정한 경우 CloudTrail이 버킷에 쿼리 결과를 전달하도록 허용하는 정책을 해당 버킷에 연결해야 합니다.

참고

CloudTrail Lake 쿼리 결과 전용 S3 버킷을 사용하는 것이 가장 좋습니다.

Amazon S3 버킷에 필요한 CloudTrail 정책을 추가하려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. CloudTrail이 Lake 쿼리 결과를 전송할 버킷을 선택한 다음, Permissions(권한)을 선택합니다.

  3. 편집을 선택합니다.

  4. S3 bucket policy for query results를 [Bucket Policy Editor] 창으로 복사합니다. 기울임꼴로 표시된 자리 표시자를 버킷 이름, 리전, 계정 ID로 바꿉니다.

    참고

    기존 버킷에 이미 하나 이상의 정책이 연결되어 있는 경우 CloudTrail 액세스용 문을 해당 정책에 추가합니다. 발생한 권한 집합을 평가해 버킷에 액세스하는 사용자에게 적절한지 확인합니다.

추가 리소스

S3 버킷 및 정책에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서버킷 정책 사용을 참조하십시오.