Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exemples de politiques basées sur les ressources pour AWS Audit Manager
## Politique relative aux compartiments Amazon S3
La politique suivante permet de CloudTrail fournir les résultats des requêtes Evidence Finder au compartiment S3 spécifié. En tant que bonne pratique en matière de sécurité, la clé de condition globale IAM `aws:SourceArn` permet de garantir que les CloudTrail écritures dans le compartiment S3 ne sont destinées qu'au magasin de données d'événements.
**Important**
Vous devez spécifier un compartiment S3 pour la livraison des résultats des requêtes CloudTrail Lake. Pour plus d'informations, consultez la section [Spécification d'un compartiment existant pour les résultats des requêtes CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery).
Remplacez le *placeholder text* par vos propres informations, comme suit :
+ *amzn-s3-demo-destination-bucket*Remplacez-le par le compartiment S3 que vous utilisez comme destination d'exportation.
+ *myQueryRunningRegion*Remplacez-le par celui Région AWS qui convient à votre configuration.
+ *myAccountID*Remplacez-le par l' Compte AWS identifiant utilisé pour CloudTrail. Ce n'est peut-être pas le même que l' Compte AWS ID du compartiment S3. S’il s’agit de données d’événement d’une organisation, vous devez utiliser le Compte AWS du compte de gestion.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
}
]
}
```
------
## AWS Key Management Service politique
Si le chiffrement par défaut de votre compartiment S3 est défini sur`SSE-KMS`, accordez l'accès à ce CloudTrail paramètre dans la politique de ressources de votre AWS Key Management Service clé afin qu'il puisse utiliser la clé. Dans ce cas, ajoutez la politique de ressources suivante à la AWS KMS clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------