Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für ressourcenbasierte Richtlinien AWS Audit Manager
## Amazon S3 S3-Bucket-Richtlinie
Die folgende Richtlinie ermöglicht CloudTrail die Übermittlung von Ergebnissen der Evidence Finder-Abfrage an den angegebenen S3-Bucket. Als bewährte Sicherheitsmethode `aws:SourceArn` trägt der globale IAM-Bedingungsschlüssel dazu bei, dass nur für den Ereignisdatenspeicher in den S3-Bucket CloudTrail geschrieben wird.
**Wichtig**
Sie müssen einen S3-Bucket für die Lieferung von CloudTrail Lake-Abfrageergebnissen angeben. Weitere Informationen finden Sie unter [Angeben eines vorhandenen Buckets für CloudTrail Lake-Abfrageergebnisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery).
Ersetzen Sie die *placeholder text* wie folgt durch Ihre eigenen Informationen:
+ *amzn-s3-demo-destination-bucket*Ersetzen Sie es durch den S3-Bucket, den Sie als Exportziel verwenden.
+ *myQueryRunningRegion*Ersetzen Sie es durch das AWS-Region für Ihre Konfiguration passende.
+ *myAccountID*Ersetzen Sie durch die AWS-Konto ID, die für verwendet wird CloudTrail. Dies entspricht möglicherweise nicht der AWS-Konto ID für den S3-Bucket. Wenn es sich um den Ereignisdatenspeicher einer Organisation handelt, müssen Sie die AWS-Konto für das Verwaltungskonto verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
}
]
}
```
------
## AWS Key Management Service Richtlinie
Wenn in Ihrem S3-Bucket die Standardverschlüsselung auf eingestellt ist`SSE-KMS`, gewähren Sie CloudTrail in der Ressourcenrichtlinie Ihres AWS Key Management Service Schlüssels Zugriff darauf, damit der Schlüssel verwendet werden kann. Fügen Sie in diesem Fall dem AWS KMS Schlüssel die folgende Ressourcenrichtlinie hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------