Esempi di policy basate sulle risorse per AWS Audit Manager - Gestione audit AWS
Politica sui bucket Amazon S3AWS Key Management Service politica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sulle risorse per AWS Audit Manager

Politica sui bucket Amazon S3

La seguente politica consente di CloudTrail fornire i risultati delle query di Evidence Finder al bucket S3 specificato. Come best practice di sicurezza, la chiave di condizione globale IAM aws:SourceArn aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia utilizzata solo per il data store degli eventi.

Importante

È necessario specificare un bucket S3 per la consegna dei risultati delle query di CloudTrail Lake. Per ulteriori informazioni, consulta Specificare un bucket esistente per CloudTrail i risultati delle query Lake.

placeholder textSostituiscili con le tue informazioni, come segue:

  • Sostituiscilo amzn-s3-demo-destination-bucket con il bucket S3 che usi come destinazione di esportazione.

  • myQueryRunningRegionSostituiscilo con quello appropriato Regione AWS per la tua configurazione.

  • Sostituisci myAccountID con l' Account AWS ID utilizzato per CloudTrail. Potrebbe non essere lo stesso dell' Account AWS ID per il bucket S3. Se si tratta di un datastore di eventi dell’organizzazione, dovrai utilizzare l’ Account AWS dell’account di gestione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service politica

Se il tuo bucket S3 ha la crittografia predefinita impostata suSSE-KMS, concedi l'accesso a CloudTrail nella politica delle risorse della tua AWS Key Management Service chiave in modo che possa utilizzare la chiave. In questo caso, aggiungi la seguente politica delle risorse alla AWS KMS chiave.

{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}