AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien - AWS CloudTrail
Beispiele für ressourcenbasierte Richtlinien für KanäleBeispiele für ressourcenbasierte Richtlinien für EreignisdatenspeicherBeispiel für eine ressourcenbasierte Richtlinie für ein Dashboard

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien

Dieser Abschnitt enthält Beispiele für ressourcenbasierte Richtlinien für CloudTrail Lake-Dashboards, Ereignisdatenspeicher und Kanäle.

CloudTrail unterstützt die folgenden Typen von ressourcenbasierten Richtlinien:

  • Ressourcenbasierte Richtlinien für Kanäle, die für CloudTrail Lake-Integrationen mit Ereignisquellen außerhalb von verwendet werden. AWS Die ressourcenbasierte Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) PutAuditEvents auf dem Kanal aufrufen können, um Ereignisse an den Zielereignisdatenspeicher zu übermitteln. Weitere Informationen zum Erstellen von Integrationen mit CloudTrail Lake finden Sie unter. Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS

  • Ressourcenbasierte Richtlinien zur Steuerung, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff auf Ihre Ereignisdatenspeicher zu gewähren.

  • Ressourcenbasierte Richtlinien auf Dashboards ermöglichen die Aktualisierung eines CloudTrail Lake-Dashboards CloudTrail in den Intervallen, die Sie bei der Festlegung eines Aktualisierungszeitplans für ein Dashboard festlegen. Weitere Informationen finden Sie unter Legen Sie mit der CloudTrail Konsole einen Aktualisierungszeitplan für ein benutzerdefiniertes Dashboard fest.

Beispiele für ressourcenbasierte Richtlinien für Kanäle

Die ressourcenbasierte Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) PutAuditEvents auf dem Kanal aufrufen können, um Ereignisse an den Zielereignisdatenspeicher zu übermitteln.

Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt.

  • Für eine Direction-Integration CloudTrail muss die Richtlinie die des AWS-Konto IDs Partners enthalten und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. CloudTrail fügt automatisch die des Partners AWS-Konto IDs zur Ressourcenrichtlinie hinzu, wenn Sie eine Integration mithilfe der CloudTrail Konsole erstellen. In der Dokumentation des Partners erfahren Sie, wie Sie die für die Richtlinie erforderlichen AWS-Konto Nummern erhalten.

  • Für eine Lösungsintegration müssen Sie mindestens eine AWS-Konto ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass der Stellvertreter verwirrt wird.

Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:

  • Jede Richtlinie muss mindestens eine Aussage enthalten. Die Richtlinie kann maximal 20 Aussagen umfassen.

  • Jede Aussage enthält mindestens einen Prinzipal. Ein Prinzipal ist ein Konto, ein Benutzer, eine Rolle oder ein Verbundbenutzer. Eine Aussage kann maximal 50 Prinzipale haben.

  • Der in der Richtlinie definierte Ressourcen-ARN muss mit dem Kanal-ARN übereinstimmen, an den die Richtlinie angehängt ist.

  • Die Richtlinie enthält nur eine Aktion: cloudtrail-data:PutAuditEvents

Der Kanalbesitzer kann die PutAuditEvents-API auf dem Kanal aufrufen, es sei denn, die Richtlinie verweigert dem Besitzer den Zugriff auf die Ressource.

Beispiel: Bereitstellung von Kanalzugriff für Prinzipale

Das folgende Beispiel gewährt den Prinzipalen mit dem ARNsarn:aws:iam::111122223333:root,, und arn:aws:iam::123456789012:root die Berechtigungenarn:aws:iam::444455556666:root, die PutAuditEventsAPI auf dem CloudTrail Kanal mit dem ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b aufzurufen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

Beispiel: Verwendung einer externen ID, um einem verwirrten Stellvertreter vorzubeugen

Das folgende Beispiel verwendet eine externe ID, um verwirrte Stellvertreter anzusprechen und zu verhindern. Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann.

Der Integrationspartner erstellt die externe ID, die in der Richtlinie verwendet werden soll. Anschließend stellt er Ihnen die externe ID im Rahmen der Integrationserstellung zur Verfügung. Dieser Wert kann eine beliebige eindeutige Zeichenfolge sein, wie eine Passphrase oder Kontonummer.

Das Beispiel gewährt den Prinzipalen mit dem ARNsarn:aws:iam::111122223333:root, und arn:aws:iam::123456789012:root die Berechtigungenarn:aws:iam::444455556666:root, die PutAuditEventsAPI auf der CloudTrail Kanalressource aufzurufen, wenn der PutAuditEvents API-Aufruf den in der Richtlinie definierten externen ID-Wert beinhaltet.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher

Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können.

Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff bereitzustellen, sodass ausgewählte Hauptbenutzer Ihren Ereignisdatenspeicher abfragen, Abfragen auflisten und abbrechen sowie Abfrageergebnisse anzeigen können.

Für das CloudTrail Lake-Dashboard werden ressourcenbasierte Richtlinien verwendet, um das Ausführen von Abfragen in Ihren Ereignisdatenspeichern CloudTrail zu ermöglichen, um die Daten für die Widgets des Dashboards aufzufüllen, wenn das Dashboard aktualisiert wird. CloudTrail Lake bietet Ihnen die Möglichkeit, Ihren Ereignisdatenspeichern eine standardmäßige ressourcenbasierte Richtlinie zuzuweisen, wenn Sie ein benutzerdefiniertes Dashboard erstellen oder das Highlights-Dashboard auf der Konsole aktivieren. CloudTrail

Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:

  • cloudtrail:StartQuery

  • cloudtrail:CancelQuery

  • cloudtrail:ListQueries

  • cloudtrail:DescribeQuery

  • cloudtrail:GetQueryResults

  • cloudtrail:GenerateQuery

  • cloudtrail:GenerateQueryResultsSummary

  • cloudtrail:GetEventDataStore

Wenn Sie einen Ereignisdatenspeicher erstellen oder aktualisieren oder Dashboards auf der CloudTrail Konsole verwalten, haben Sie die Möglichkeit, Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Sie können den put-resource-policyBefehl auch ausführen, um eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher anzuhängen.

Eine ressourcenbasierte Richtlinie besteht aus einer oder mehreren Anweisungen. Sie kann beispielsweise eine Anweisung enthalten, die es ermöglicht, den Ereignisdatenspeicher für ein Dashboard CloudTrail abzufragen, und eine weitere Anweisung, die den kontenübergreifenden Zugriff ermöglicht, um den Ereignisdatenspeicher abzufragen. Sie können die ressourcenbasierte Richtlinie eines vorhandenen Ereignisdatenspeichers auf der Detailseite des Ereignisdatenspeichers in der Konsole aktualisieren. CloudTrail

CloudTrail Erstellt für Datenspeicher von Organisationsereignissen eine standardmäßige ressourcenbasierte Richtlinie, in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).

Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards

Um die Daten in einem CloudTrail Lake-Dashboard während einer Aktualisierung aufzufüllen, müssen Sie die Ausführung von Abfragen in Ihrem Namen zulassen CloudTrail . Fügen Sie dazu jedem Ereignisdatenspeicher, der einem Dashboard-Widget zugeordnet ist, eine ressourcenbasierte Richtlinie hinzu, die eine Anweisung enthält, mit der der StartQuery Vorgang CloudTrail zum Auffüllen der Daten für das Widget ausgeführt werden kann.

Im Folgenden sind die Anforderungen für die Erklärung aufgeführt:

  • Das einzige Principal istcloudtrail.amazonaws.com.

  • Das einzig Action Erlaubte istcloudtrail:StartQuery.

  • Das beinhaltet Condition nur die ARN (s) und die AWS-Konto ID des Dashboards. Denn AWS:SourceArn Sie können eine Reihe von Dashboards bereitstellen ARNs.

Die folgende Beispielrichtlinie enthält eine Anweisung, mit der Abfragen in einem Ereignisdatenspeicher für zwei benutzerdefinierte Dashboards mit dem Namen example-dashboard1 und example-dashboard2 und für das Highlights-Dashboard mit dem Namen AWSCloudTrail-Highlights Konto 123456789012 ausgeführt werden können CloudTrail .

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartQuery"
            ],
            "Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
            "Condition": {
               "StringLike": {
                  "AWS:SourceArn": [
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
                  ],
                  "AWS:SourceAccount": "123456789012"
               }
            }
        }
    ]
}

Beispiel: Erlauben Sie anderen Konten, einen Ereignisdatenspeicher abzufragen und Abfrageergebnisse anzuzeigen

Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff auf Ihre Ereignisdatenspeicher zu gewähren, sodass andere Konten Abfragen in Ihren Ereignisdatenspeichern ausführen können.

Die folgende Beispielrichtlinie enthält eine Anweisung, die es Root-Benutzern in den Konten111122223333,, und ermöglicht 777777777777999999999999, Abfragen auszuführen und 111111111111 Abfrageergebnisse für den Ereignisdatenspeicher abzurufen, der der Konto-ID gehört. 555555555555

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "policy1",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::777777777777:root",
            "arn:aws:iam::999999999999:root",
            "arn:aws:iam::111111111111:root"
        ]
      },
      "Action": [
        "cloudtrail:StartQuery",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetQueryResults"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
    }
  ]
}

Beispiel für eine ressourcenbasierte Richtlinie für ein Dashboard

Sie können einen Aktualisierungszeitplan für ein CloudTrail Lake-Dashboard festlegen, sodass CloudTrail das Dashboard in Ihrem Namen in dem Intervall aktualisiert werden kann, das Sie bei der Festlegung des Aktualisierungszeitplans festgelegt haben. Dazu müssen Sie dem Dashboard eine ressourcenbasierte Richtlinie hinzufügen, damit CloudTrail der StartDashboardRefresh Vorgang auf Ihrem Dashboard ausgeführt werden kann.

Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:

  • Das einzige Principal ist. cloudtrail.amazonaws.com

  • Das einzige, Action was in der Richtlinie erlaubt ist, istcloudtrail:StartDashboardRefresh.

  • Das beinhaltet Condition nur den ARN und die AWS-Konto ID des Dashboards.

Die folgende Beispielrichtlinie ermöglicht es CloudTrail , ein nach einem Konto benanntes exampleDash Dashboard zu aktualisieren123456789012.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartDashboardRefresh"
            ],
            "Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
                    "AWS:SourceAccount":"123456789012"
                }
            }
        }
    ]
}