CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策 - AWS CloudTrail
為 CloudTrail Lake 查詢結果指定現有值區其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策

根據預設,所有 Amazon S3 儲存貯體和物件皆為私有。只有資源擁有者 (建立儲存貯體的 AWS 帳戶),可存取儲存貯體及其包含的物件。資源擁有者可藉由編寫存取政策,將存取許可授予其他資源和使用者。

若要將 CloudTrail Lake 查詢結果傳遞至 S3 儲存貯體, CloudTrail 必須具有必要的許可,且無法將其設定為要求者付費儲存貯體。

CloudTrail 在政策中為您新增下列欄位:

  • 允許的 SID

  • 儲存貯體名稱

  • 下列項目的服務主要名稱 CloudTrail

安全最佳實務是將 aws:SourceArn 條件金鑰新增至 Amazon S3 儲存貯體政策。IAM 全域條件金鑰aws:SourceArn有助於確保僅針對事件資料存放區 CloudTrail 寫入 S3 儲存貯體。

下列政策允許 CloudTrail 將查詢結果從支援的值區傳送至值區 AWS 區域。將文件範例儲存貯體我的帳戶 IDmyQueryRunning區域取代為您的組態適當的值。MyAccountId 是用於使用的 AWS 帳戶識別碼 CloudTrail,可能與 S3 儲存貯體的 AWS 帳戶識別碼不同。

注意

如果您的儲存貯體政策包含 KMS 金鑰的陳述式,我們會建議使用完全合格的 KMS 金鑰 ARN。如果您改用 KMS 金鑰別名,請 AWS KMS 解析要求者帳戶內的金鑰。此行為可能會導致資料使用屬於申請者 (而不是儲存貯體擁有者) 的 KMS 金鑰來加密。

如果這是組織事件資料存放區,則事件資料存放區 ARN 必須包含管理帳戶的 AWS 帳戶 ID。這是因為管理帳戶會維護所有組織資源的擁有權。

S3 儲存貯體政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

為 CloudTrail Lake 查詢結果指定現有值區

如果您指定現有的 S3 儲存貯體做為 CloudTrail Lake 查詢結果交付的儲存位置,則必須將政策附加到允許將查詢結果傳送 CloudTrail 到儲存貯體的儲存貯體。

注意

最佳做法是針對 CloudTrail Lake 查詢結果使用專用 S3 儲存貯體。

若要將必要的 CloudTrail 政策新增至 Amazon S3 儲存貯體

  1. 前往 https://console.aws.amazon.com/s3/ 開啟的 Amazon Simple Storage Service (Amazon S3) 主控台。

  2. 選擇您要 CloudTrail 傳送 Lake 查詢結果的值區,然後選擇 [權限]。

  3. 選擇編輯

  4. S3 bucket policy for query results 複製到 Bucket Policy Editor (儲存貯體政策編輯器) 視窗。將斜體預留位置取代成您儲存貯體的名稱、區域和帳戶 ID。

    注意

    如果現有值區已附加一或多個政策,請新增陳述式以 CloudTrail 存取該政策或政策。請評估所產生的一組許可,以確保它們適用於存取儲存貯體的使用者。

其他資源

如需 S3 儲存貯體和政策的詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的使用儲存貯體政策