AWS CloudTrailEjemplos de políticas basadas en recursos de - AWS CloudTrail
Ejemplos de política basada en recursos para los canalesEjemplos de políticas basadas en recursos para almacenes de datos de eventosEjemplo de política basada en recursos para un panel

AWS CloudTrailEjemplos de políticas basadas en recursos de

En esta sección se ofrecen ejemplos de las políticas basadas en recursos para los paneles de CloudTrail Lake, los almacenes de datos de eventos y los canales.

CloudTrail admite los tipos de políticas basadas en recursos que se encuentran a continuación:

  • Políticas basadas en recursos en los canales utilizados para las integraciones de CloudTrail Lake con orígenes de eventos externos a AWS. La política basada en recursos del canal define qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden llamar a PutAuditEvents en el canal para enviar eventos al almacén de datos de eventos de destino. Para obtener más información acerca de la creación de integraciones con CloudTrail Lake, consulte Creación de una integración con un origen de eventos externo a AWS.

  • Las políticas basadas en recursos para controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Puede utilizar las políticas basadas en recursos para ofrecer acceso entre cuentas a los almacenes de datos de eventos.

  • Las políticas basadas en recursos en los paneles para permitir que CloudTrail actualice un panel de CloudTrail Lake en el lapso que defina al establecer un programa de actualización para un panel. Para obtener más información, consulte Establezca un programa de actualización de un panel personalizado con la consola de CloudTrail.

Ejemplos de política basada en recursos para los canales

La política basada en recursos del canal define qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden llamar a PutAuditEvents en el canal para enviar eventos al almacén de datos de eventos de destino.

La información necesaria para la política está determinada por el tipo de integración.

  • Para una integración directa, CloudTrail exige que la política contenga los ID de Cuenta de AWS del socio y requiere que introduzca el ID externo único proporcionado por el socio. CloudTrail agrega de forma automática los ID de la Cuenta de AWS del socio a la política de recursos cuando se crea una integración mediante la consola de CloudTrail. Consulte la documentación de socios para obtener información sobre cómo obtener los números de Cuenta de AWS necesarios para la política.

  • Para la integración de una solución, debe especificar al menos un ID de Cuenta de AWS como entidad principal y, si lo desea, puede introducir un ID externo para evitar un suplente confuso.

Estos son los requisitos de la política basada en recursos:

  • La política contiene como mínimo una instrucción. La política puede tener como máximo 20 instrucciones.

  • Cada instrucción contiene como mínimo una entidad principal. Una entidad principal es una cuenta, un rol o un usuario federado. Una instrucción puede tener como máximo 50 entidades principales.

  • El ARN del recurso definido en la política debe coincidir con el ARN del canal al que está asociada la política.

  • La política contiene solo una acción: cloudtrail-data:PutAuditEvents

El propietario del canal puede llamar a la API PutAuditEvents en el canal a menos que la política le niegue el acceso al recurso.

Ejemplo: proporcionar acceso al canal a las entidades principales.

El siguiente ejemplo otorga permisos a las entidades principales con arn:aws:iam::111122223333:root, arn:aws:iam::444455556666:root y arn:aws:iam::123456789012:root del ARN para llamar a la API PutAuditEvents del canal de CloudTrail con el ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

Ejemplo: usar un ID externo para evitar un suplente confuso.

En el siguiente ejemplo se utiliza un ID externo para direccionar y evitar que haya un suplente confuso. El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.

El socio de integración crea el ID externo para usarlo en la política. A continuación, se proporciona el ID externo como parte de la creación de la integración. Este valor puede ser cualquier cadena única, como, por ejemplo, una frase de contraseña o un número de cuenta.

El ejemplo otorga permisos a las entidades principales con arn:aws:iam::111122223333:root, arn:aws:iam::444455556666:root y arn:aws:iam::123456789012:root del ARN para llamar a la API PutAuditEvents en el recurso del canal de CloudTrail si la llamada a la API PutAuditEvents incluye el valor del ID externo definido en la política.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

Ejemplos de políticas basadas en recursos para almacenes de datos de eventos

Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos.

Puede utilizar políticas basadas en recursos para ofrecer acceso entre cuentas y permitir que las entidades principales seleccionadas consulten al almacén de datos de eventos, enumeren y cancelen consultas y vean los resultados de las consultas.

Para el panel de CloudTrail Lake, se utilizan políticas basadas en recursos para permitir que CloudTrail ejecute consultas en los almacenes de datos de eventos para completar los datos de los widgets del panel cuando este se actualiza. CloudTrail Lake le ofrece la opción de adjuntar una política basada en recursos predeterminada a sus almacenes de datos de eventos cuando crea un panel personalizado o habilita el panel de Highlights en la consola de CloudTrail.

Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:

  • cloudtrail:StartQuery

  • cloudtrail:CancelQuery

  • cloudtrail:ListQueries

  • cloudtrail:DescribeQuery

  • cloudtrail:GetQueryResults

  • cloudtrail:GenerateQuery

  • cloudtrail:GenerateQueryResultsSummary

  • cloudtrail:GetEventDataStore

Al crear o actualizar almacén de datos de eventos, o al administrar paneles en la consola de CloudTrail, tiene la opción de agregar una política basada en recursos al almacén de datos de eventos. También puede ejecutar el comando put-resource-policy para asociar una política basada en recursos a un almacén de datos de eventos.

Una política basada en recursos consta de una o varias instrucciones. Por ejemplo, puede incluir una instrucción que permita a CloudTrail consultar el almacén de datos de eventos para un panel y otra que permita el acceso entre cuentas para consultar el almacén de datos de eventos. Puede actualizar la política basada en recursos de un almacén de datos de eventos existente desde la página de detalles del almacén de datos de eventos en la consola de CloudTrail.

Para los almacenes de datos de eventos de la organización, CloudTrail crea una política basada en los recursos predeterminada que enumera las acciones que las cuentas del administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza de manera automática tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o elimina una cuenta de administrador delegado de CloudTrail).

Ejemplo: permitir que CloudTrail ejecute consultas para actualizar un panel

Para completar los datos en un panel de CloudTrail Lake durante una actualización, debe permitir que CloudTrail ejecute consultas en su nombre. Para que esto suceda, adjunte una política basada en recursos a cada almacén de datos de eventos asociado a un widget de panel que incluya una declaración que permita a CloudTrail realizar la operación StartQuery para completar los datos del widget.

A continuación, se muestran los requisitos para la instrucción:

  • La única Principal es cloudtrail.amazonaws.com.

  • La única Action permitida es cloudtrail:StartQuery.

  • La Condition solo incluye los ARN y el ID de la Cuenta de AWS del panel. Para AWS:SourceArn, puede ofrecer una variedad de ARN del panel.

El siguiente ejemplo de política incluye una instrucción que permite a CloudTrail ejecutar consultas en un almacén de datos de eventos para dos paneles personalizados denominados example-dashboard1 y example-dashboard2 y el panel de Highlights denominado AWSCloudTrail-Highlights para la cuenta 123456789012.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartQuery"
            ],
            "Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
            "Condition": {
               "StringLike": {
                  "AWS:SourceArn": [
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
                  ],
                  "AWS:SourceAccount": "123456789012"
               }
            }
        }
    ]
}

Ejemplo: permitir que otras cuentas consulten un almacén de datos de eventos y vean los resultados de la consulta

Puede utilizar las políticas basadas en recursos para ofrecer acceso entre cuentas a los almacenes de datos de eventos para permitir que otras cuentas puedan ejecutar consultas en los almacenes de datos de eventos.

El siguiente ejemplo de política incluye una instrucción que permite a los usuarios raíz en las cuentas 111122223333, 777777777777, 999999999999 y 111111111111 ejecutar consultas y obtener los resultados de las consultas en el almacén de datos de eventos propiedad del ID de la cuenta 555555555555.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "policy1",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::777777777777:root",
            "arn:aws:iam::999999999999:root",
            "arn:aws:iam::111111111111:root"
        ]
      },
      "Action": [
        "cloudtrail:StartQuery",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetQueryResults"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
    }
  ]
}

Ejemplo de política basada en recursos para un panel

Puede establecer un programa de actualización para un panel de CloudTrail Lake, lo que permite a CloudTrail actualizar el panel en su nombre en el plazo que defina cuando configure el programa de actualización. Para ello, debe adjuntar una política basada en recursos al panel para permitir que CloudTrail realice la operación StartDashboardRefresh en su panel.

Estos son los requisitos de la política basada en recursos:

  • La única Principal es cloudtrail.amazonaws.com.

  • La única Action permitida en la política es cloudtrail:StartDashboardRefresh.

  • La Condition solo incluye el ARN y el ID de la Cuenta de AWS del panel.

El siguiente ejemplo de política permite a CloudTrail actualizar un panel denominado exampleDash de la cuenta 123456789012.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartDashboardRefresh"
            ],
            "Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
                    "AWS:SourceAccount":"123456789012"
                }
            }
        }
    ]
}