AWS Audit Manager non è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi [modifica della AWS Audit Manager disponibilità](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di policy basate sulle risorse per AWS Audit Manager
## Politica sui bucket Amazon S3
La seguente politica consente di CloudTrail fornire i risultati delle query di Evidence Finder al bucket S3 specificato. Come best practice di sicurezza, la chiave di condizione globale IAM `aws:SourceArn` aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia utilizzata solo per il data store degli eventi.
**Importante**
È necessario specificare un bucket S3 per la consegna dei risultati delle query di CloudTrail Lake. Per ulteriori informazioni, consulta [Specificare un bucket esistente per CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery) i risultati delle query Lake.
{{placeholder text}}Sostituiscili con le tue informazioni, come segue:
+ Sostituiscilo {{amzn-s3-demo-destination-bucket}} con il bucket S3 che usi come destinazione di esportazione.
+ {{myQueryRunningRegion}}Sostituiscilo con quello appropriato Regione AWS per la tua configurazione.
+ Sostituisci {{myAccountID}} con l' Account AWS ID utilizzato per CloudTrail. Potrebbe non essere lo stesso dell' Account AWS ID per il bucket S3. Se si tratta di un datastore di eventi dell’organizzazione, dovrai utilizzare l’ Account AWS dell’account di gestione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
}
]
}
```
------
## AWS Key Management Service politica
Se il tuo bucket S3 ha la crittografia predefinita impostata su`SSE-KMS`, concedi l'accesso a CloudTrail nella politica delle risorse della tua AWS Key Management Service chiave in modo che possa utilizzare la chiave. In questo caso, aggiungi la seguente politica delle risorse alla AWS KMS chiave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------