Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AmazonSecurityLakePermissionsBoundary
Descrizione: Amazon Security Lake crea ruoli IAM per fonti personalizzate di terze parti per scrivere dati su un data lake e per gli abbonati di terze parti per utilizzare i dati da un data lake e utilizza questa politica durante la creazione di questi ruoli per definire i limiti delle loro autorizzazioni.
AmazonSecurityLakePermissionsBoundaryè una politica gestita AWS .
Utilizzo di questa politica
Puoi collegarti AmazonSecurityLakePermissionsBoundary ai tuoi utenti, gruppi e ruoli.
Dettagli della politica
-
Tipo: politica AWS gestita
-
Ora di creazione: 29 novembre 2022, 14:11 UTC
-
Ora modificata: 14 maggio 2024, 20:39 UTC
-
ARN:
arn:aws:iam::aws:policy/AmazonSecurityLakePermissionsBoundary
Versione della politica
Versione della politica: v2 (default) (predefinito)
La versione predefinita della politica è la versione che definisce le autorizzazioni per la politica. Quando un utente o un ruolo con la politica effettua una richiesta di accesso a una AWS risorsa, AWS controlla la versione predefinita della politica per determinare se consentire la richiesta.
Documento di policy JSON
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "AllowActionsForSecurityLake", "Effect" : "Allow", "Action" : [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource" : "*" }, { "Sid" : "DenyActionsForSecurityLake", "Effect" : "Deny", "NotAction" : [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource" : "*" }, { "Sid" : "DenyActionsNotOnSecurityLakeBucket", "Effect" : "Deny", "Action" : [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation" ], "NotResource" : [ "arn:aws:s3:::aws-security-data-lake*" ] }, { "Sid" : "DenyActionsNotOnSecurityLakeSQS", "Effect" : "Deny", "Action" : [ "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "NotResource" : "arn:aws:sqs:*:*:AmazonSecurityLake*" }, { "Sid" : "DenyActionsNotOnSecurityLakeKMSS3SQS", "Effect" : "Deny", "Action" : [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource" : "*", "Condition" : { "StringNotLike" : { "kms:ViaService" : [ "s3.*.amazonaws.com", "sqs.*.amazonaws.com" ] } } }, { "Sid" : "DenyActionsNotOnSecurityLakeKMSForS3", "Effect" : "Deny", "Action" : [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource" : "*", "Condition" : { "Null" : { "kms:EncryptionContext:aws:s3:arn" : "false" }, "StringNotLikeIfExists" : { "kms:EncryptionContext:aws:s3:arn" : [ "arn:aws:s3:::aws-security-data-lake*" ] } } }, { "Sid" : "DenyActionsNotOnSecurityLakeKMSForS3SQS", "Effect" : "Deny", "Action" : [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource" : "*", "Condition" : { "Null" : { "kms:EncryptionContext:aws:sqs:arn" : "false" }, "StringNotLikeIfExists" : { "kms:EncryptionContext:aws:sqs:arn" : [ "arn:aws:sqs:*:*:AmazonSecurityLake*" ] } } } ] }
Ulteriori informazioni
