適用於 CloudTrail Lake 查詢結果的 Amazon S3 儲存貯體政策 - AWS CloudTrail
為 CloudTrail Lake 查詢結果指定現有的儲存貯體其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 CloudTrail Lake 查詢結果的 Amazon S3 儲存貯體政策

根據預設,所有 Amazon S3 儲存貯體和物件皆為私有。只有資源擁有者 (建立儲存貯體的 AWS 帳戶),可存取儲存貯體及其包含的物件。資源擁有者可藉由編寫存取政策,將存取許可授予其他資源和使用者。

若要將 CloudTrail Lake 查詢結果傳送到 S3 儲存貯體,CloudTrail 必須具備必要的許可,而且不得設定為申請者付款儲存貯體。

CloudTrail 會在政策中為您新增下列欄位:

  • 允許的 SID

  • 儲存貯體名稱

  • CloudTrail 的服務委託人名稱

安全最佳實務是將 aws:SourceArn 條件金鑰新增至 Amazon S3 儲存貯體政策。IAM 全域條件索引鍵 aws:SourceArn 有助於確保 CloudTrail 僅針對事件資料存放區寫入 S3 儲存貯體。

下列政策允許 CloudTrail 將查詢結果傳遞到受支援 AWS 區域 中的儲存貯體。請將 myBucketNamemyAccountIDmyQueryRunningRegion 取代為適當的組態值。myAccountID 是 CloudTrail 所使用的 AWS 帳戶 ID,可能不同於S3 儲存貯體的 AWS 帳戶 ID。

注意

如果您的儲存貯體政策包含 KMS 金鑰的陳述式,我們會建議使用完全合格的 KMS 金鑰 ARN。如果您改用 KMS 金鑰別名,AWS KMS 會解析要求者帳戶內的金鑰。此行為可能會導致資料使用屬於申請者 (而不是儲存貯體擁有者) 的 KMS 金鑰來加密。

如果這是組織事件資料存放區,則事件資料存放區 ARN 必須包含管理帳戶的 AWS 帳戶 ID。這是因為管理帳戶會維護所有組織資源的擁有權。

S3 儲存貯體政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::myBucketName",
                "arn:aws:s3:::myBucketName/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

為 CloudTrail Lake 查詢結果指定現有的儲存貯體

如果您指定現有的 S3 儲存貯體做為 CloudTrail Lake 查詢結果傳送的儲存位置,您必須將政策連接到儲存貯體,以允許 CloudTrail 將查詢結果傳送到儲存貯體。

注意

最佳實務是使用 CloudTrail Lake 查詢結果專用的 S3 儲存貯體。

將必要的 CloudTrail 政策新增至 Amazon S3 儲存貯體

  1. 請在 https://console.aws.amazon.com/s3/ 開啟 Amazon Simple Storage Service (Amazon S3) 主控台。

  2. 選擇您想要讓 CloudTrail 傳送查詢結果的目標儲存貯體,然後選擇 Permissions (許可)。

  3. 選擇編輯

  4. S3 bucket policy for query results 複製到 Bucket Policy Editor (儲存貯體政策編輯器) 視窗。將斜體預留位置取代成您儲存貯體的名稱、區域和帳戶 ID。

    注意

    如果現有的儲存貯體已連接一或多個政策,請將 CloudTrail 存取陳述式新增至這些政策。請評估所產生的一組許可,以確保它們適用於存取儲存貯體的使用者。

其他資源

如需 S3 儲存貯體和政策的詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的使用儲存貯體政策