Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate sulle risorse per AWS Audit Manager
Politica sui bucket Amazon S3
La seguente politica consente di CloudTrail fornire i risultati delle query di Evidence Finder al bucket S3 specificato. Come best practice di sicurezza, la chiave di condizione globale IAM aws:SourceArn
aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia utilizzata solo per il data store degli eventi.
Importante
È necessario specificare un bucket S3 per la consegna dei risultati delle query di CloudTrail Lake. Per ulteriori informazioni, consulta Specificare un bucket esistente per CloudTrail i risultati delle query Lake.
placeholder text
Sostituiscili con le tue informazioni, come segue:
-
Sostituiscilo
amzn-s3-demo-destination-bucket
con il bucket S3 che usi come destinazione di esportazione. -
myQueryRunningRegion
Sostituiscilo con quello appropriato Regione AWS per la tua configurazione. -
Sostituisci
myAccountID
con l' Account AWS ID utilizzato per CloudTrail. Potrebbe non essere lo stesso dell' Account AWS ID per il bucket S3. Se si tratta di un datastore di eventi dell’organizzazione, dovrai utilizzare l’ Account AWS dell’account di gestione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } } ] }
AWS Key Management Service politica
Se il tuo bucket S3 ha la crittografia predefinita impostata suSSE-KMS
, concedi l'accesso a CloudTrail nella politica delle risorse della tua AWS Key Management Service chiave in modo che possa utilizzare la chiave. In questo caso, aggiungi la seguente politica delle risorse alla AWS KMS chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }