Beispiele für ressourcenbasierte Richtlinien für AWS Audit Manager - AWS Audit-Manager
Amazon S3 S3-Bucket-RichtlinieAWS Key Management Service Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für ressourcenbasierte Richtlinien für AWS Audit Manager

Amazon S3 S3-Bucket-Richtlinie

Die folgende Richtlinie ermöglicht CloudTrail die Übermittlung von Ergebnissen der Evidence Finder-Abfrage an den angegebenen S3-Bucket. Als bewährte Sicherheitsmethode aws:SourceArn trägt der globale IAM-Bedingungsschlüssel dazu bei, dass nur für den Ereignisdatenspeicher in den S3-Bucket CloudTrail geschrieben wird.

Wichtig

Sie müssen einen S3-Bucket für die Lieferung von CloudTrail Lake-Abfrageergebnissen angeben. Weitere Informationen finden Sie unter Angeben eines vorhandenen Buckets für CloudTrail Lake-Abfrageergebnisse.

Ersetzen Sie die placeholder text wie folgt durch Ihre eigenen Informationen:

  • amzn-s3-demo-destination-bucketErsetzen Sie es durch den S3-Bucket, den Sie als Exportziel verwenden.

  • myQueryRunningRegionErsetzen Sie es durch das AWS-Region für Ihre Konfiguration passende.

  • myAccountIDErsetzen Sie durch die AWS-Konto ID, die für verwendet wird CloudTrail. Dies entspricht möglicherweise nicht der AWS-Konto ID für den S3-Bucket. Wenn es sich um den Ereignisdatenspeicher einer Organisation handelt, müssen Sie die AWS-Konto für das Verwaltungskonto verwenden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service Richtlinie

Wenn in Ihrem S3-Bucket die Standardverschlüsselung auf eingestellt istSSE-KMS, gewähren Sie CloudTrail in der Ressourcenrichtlinie Ihres AWS Key Management Service Schlüssels Zugriff darauf, damit der Schlüssel verwendet werden kann. Fügen Sie in diesem Fall dem AWS KMS Schlüssel die folgende Ressourcenrichtlinie hinzu.

{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}