翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のアイデンティティベースのポリシーの例 AWS Audit Manager
デフォルトでは、ユーザーとロールにはAudit Manager リソースを作成または変更するための許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
AWS Audit Manager が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「サービス認証リファレンス」の「[Actions, resources, and condition keys for AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)」を参照してください。**
**Contents**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Audit Managerを有効にするために必要な最小限の許可を与える](#security_iam_id-based-policy-examples-console)
+ [へのフル管理者アクセスをユーザーに許可する AWS Audit Manager](#example-2)
+ [例1、(マネージドポリシー`AWSAuditManagerAdministratorAccess`)](#full-administrator-access-managed-policy)
+ [例2 (評価レポートの宛先の許可)](#full-administrator-access-assessment-report-destination)
+ [例 3 (証拠ファインダーを有効にするアクセス許可)](#full-administrator-access-enable-evidence-finder)
+ [例 4 (証拠ファインダーを無効にするアクセス許可)](#full-administrator-access-disable-evidence-finder)
+ [ユーザー管理に へのアクセスを許可する AWS Audit Manager](#management-access)
+ [への読み取り専用アクセスをユーザーに許可する AWS Audit Manager](#read-only)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [AWS Audit Manager が Amazon SNS トピックに通知を送信することを許可する](#sns-access)
+ [例 1(SNSトピックへの許可)](#sns-topic-permissions)
+ [例 2 (SNS トピックに添付されている KMS キーの許可)](#sns-key-permissions)
+ [ユーザーが証拠ファインダーで検索クエリを実行できるようにします](#evidence-finder-query-access)
## ポリシーに関するベストプラクティス
ID ベースのポリシーには、アカウント内で誰かがAudit Managerのリソースを作成、アクセス、または削除できるどうかが定められています。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Audit Managerを有効にするために必要な最小限の許可を与える
この例は、管理者ロールのないアカウントが AWS Audit Managerを有効にできるようにする方法を示しています。
**注記**
ここでは、Audit Manager を有効にするために必要な最小限の許可を付与する基本的なポリシーを提供します。次のポリシーのすべての権限が必要です。このポリシーの一部を省略すると、Audit Managerを有効にすることができなくなります。
特定のニーズを満たせるよう、時間を設けて許可をカスタマイズすることをお勧めします。サポートが必要な場合は、管理者または [AWS Support](https://aws.amazon.com/contact-us/) までお問い合わせください。
Audit Manager を使用するために必要な最小限のアクセス権を付与するには、次の許可を使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "auditmanager:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
},
{
"Sid": "CreateEventsAccess",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Sid": "EventsAccess",
"Effect": "Allow",
"Action": [
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver"
},
{
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
}
]
}
```
------
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
## へのフル管理者アクセスをユーザーに許可する AWS Audit Manager
次のポリシー例では、 への完全な管理者アクセスを許可します AWS Audit Manager。
+ [例1、(マネージドポリシー`AWSAuditManagerAdministratorAccess`)](#full-administrator-access-managed-policy)
+ [例2 (評価レポートの宛先の許可)](#full-administrator-access-assessment-report-destination)
+ [例 3 (証拠ファインダーを有効にするアクセス許可)](#full-administrator-access-enable-evidence-finder)
+ [例 4 (証拠ファインダーを無効にするアクセス許可)](#full-administrator-access-disable-evidence-finder)
### 例1、(マネージドポリシー`AWSAuditManagerAdministratorAccess`)
[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) ポリシーには、Audit Manager を有効または無効にする機能、Audit Manager の設定を変更する機能、および評価、フレームワーク、コントロール、評価レポートなどの Audit Manager のすべてのリソースを管理する機能が含まれます。
### 例2 (評価レポートの宛先の許可)
このポリシーは、特定の S3 バケットにアクセスし、そのバケットにファイルを追加したり削除したりする権限を付与します。これにより、指定したバケットを Audit Manager の評価レポートの送信先として使用できます。
*placeholder text* を独自の情報に置き換えます。評価レポートの送信先として使用する S3 バケットと、評価レポートの暗号化に使用するKMSキーを含める必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::example-s3-destination-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
### 例 3 (証拠ファインダーを有効にするアクセス許可)
証拠ファインダー機能を有効にして使用するには、以下の許可ポリシーが必要です。このポリシー ステートメントにより、Audit Manager が CloudTrail Lake イベント データ ストアを作成し、検索クエリを実行できるようになります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageCloudTrailLakeQueryAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:DescribeQuery",
"cloudtrail:GetQueryResults",
"cloudtrail:CancelQuery"
],
"Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*"
},
{
"Sid": "ManageCloudTrailLakeAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateEventDataStore"
],
"Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*"
}
]
}
```
------
### 例 4 (証拠ファインダーを無効にするアクセス許可)
このポリシー例は、Audit Manager の証拠ファインダー機能を無効にする権限を付与します。これには、この機能を最初に有効にしたときに作成されたイベントデータストアの削除のが含まれます。
このポリシーを使用する前に、*placeholder text* を独自の情報に置き換えます。証拠ファインダーを有効にしたときに作成されたイベント データ ストアの UUID を指定する必要があります。イベントデータストアの ARN は、Audit Manager の設定から取得できます。詳細については、「AWS Audit Manager API リファレンス」の「[GetProducts](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetSettings.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:UpdateEventDataStore"
],
"Resource": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EventDataStoreId"
}
]
}
```
------
## ユーザー管理に へのアクセスを許可する AWS Audit Manager
この例は、管理者以外の AWS Audit Managerへの管理アクセスを許可する方法を示しています。
このポリシーは、すべての Audit Manager のリソース (評価、フレームワーク、およびコントロール) を管理できるようにしますが、Audit Manager を有効または無効にしたり、Audit Manager の設定を変更したりできるようにするものではありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:CreateAssessment",
"auditmanager:CreateAssessmentFramework",
"auditmanager:CreateAssessmentReport",
"auditmanager:CreateControl",
"auditmanager:DeleteControl",
"auditmanager:DeleteAssessment",
"auditmanager:DeleteAssessmentFramework",
"auditmanager:DeleteAssessmentFrameworkShare",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAccountStatus",
"auditmanager:GetAssessment",
"auditmanager:GetAssessmentFramework",
"auditmanager:GetControl",
"auditmanager:GetServicesInScope",
"auditmanager:GetSettings",
"auditmanager:GetAssessmentReportUrl",
"auditmanager:GetChangeLogs",
"auditmanager:GetDelegations",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:GetEvidenceFileUploadUrl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:GetInsights",
"auditmanager:GetInsightsByAssessment",
"auditmanager:GetOrganizationAdminAccount",
"auditmanager:ListAssessments",
"auditmanager:ListAssessmentReports",
"auditmanager:ListControls",
"auditmanager:ListKeywordsForDataSource",
"auditmanager:ListNotifications",
"auditmanager:ListAssessmentControlInsightsByControlDomain",
"auditmanager:ListAssessmentFrameworks",
"auditmanager:ListAssessmentFrameworkShareRequests",
"auditmanager:ListControlDomainInsights",
"auditmanager:ListControlDomainInsightsByAssessment",
"auditmanager:ListControlInsightsByControlDomain",
"auditmanager:ListTagsForResource",
"auditmanager:StartAssessmentFrameworkShare",
"auditmanager:TagResource",
"auditmanager:UntagResource",
"auditmanager:UpdateControl",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControl",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentFramework",
"auditmanager:UpdateAssessmentFrameworkShare",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:ValidateAssessmentReportIntegrity"
],
"Resource": "*"
},
{
"Sid": "ControlCatalogAccess",
"Effect": "Allow",
"Action": [
"controlcatalog:ListCommonControls",
"controlcatalog:ListDomains",
"controlcatalog:ListObjectives"
],
"Resource": "*"
},
{
"Sid": "OrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource": "*"
},
{
"Sid": "IAMAccess",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "KmsAccess",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "TagAccess",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
## への読み取り専用アクセスをユーザーに許可する AWS Audit Manager
このポリシーは、評価、フレームワーク、コントロールなどの AWS Audit Manager リソースへの読み取り専用アクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:Get*",
"auditmanager:List*"
],
"Resource": "*"
}
]
}
```
------
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## AWS Audit Manager が Amazon SNS トピックに通知を送信することを許可する
このポリシーは、Audit Managerに既存の Amazon SNS トピックに通知を送信するための許可を付与します。
+ [例 1](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions) – Audit Manager から通知を受け取りたい場合は、この例を使用して、SNS トピックアクセス ポリシーにアクセス許可を追加します。
+ [例 2](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions) – SNS トピックがサーバー側の暗号化 (SSE AWS KMS) に AWS Key Management Service () を使用している場合は、この例を使用して KMS キーアクセスポリシーにアクセス許可を追加します。
次のポリシーでは、許可を取得するプリンシパルは Audit Managerサービス プリンシパル `auditmanager.amazonaws.com` です。ポリシーステートメントのプリンシパルが [AWS のサービスプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)になる場合は、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) またはポリシーの[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件キーの使用を強くお勧めします。これらのグローバル条件コンテキストキーを使用すると、[混乱した代理シナリオ](https://docs.aws.amazon.com/audit-manager/latest/userguide/cross-service-confused-deputy-prevention.html)を防ぐことができます。
### 例 1(SNSトピックへの許可)
このポリシーステートメントでは、指定したSNSトピックにイベントを発行することをAudit Managerに許可します。指定したSNSトピックに発行するリクエストは、ポリシー条件を満たす必要があります。
このポリシーを使用する前に、*placeholder text* を独自の情報に置き換えます。以下の情報を記録します。
+ このポリシーで`aws:SourceArn`条件キーを使用する場合、値は通知の送信元の Audit Manager リソースの ARNにする必要があります。以下の例では、`aws:SourceArn` リソース ID にワイルドカード (`*`) を使用しています。これにより、Audit Manager からのすべてのリクエストが、すべてのAudit Manager リソースで許可されます。`aws:SourceArn` グローバル条件キーには、`StringLike` または `ArnLike` の条件演算子を使用できます。ベストプラクティスとして、`ArnLike` を使用することをお勧めします。
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 条件キーを使用する場合は、`StringEquals` または `StringLike` の条件演算子を使用できます。ベストプラクティスとして、`StringEquals`を使用して最小特権を実装することをお勧めします。
+ `aws:SourceAccount`と`aws:SourceArn`の両方を使用する場合、アカウント値は同じアカウントIDを示す必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseSNSTopic",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:auditmanager:us-east-1:111122223333:*"
}
}
}
}
```
------
次の代替例では、`StringLike` 条件演算子とともに `aws:SourceArn` 条件キーのみを使用します。
```
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:auditmanager:region:accountID:*"
}
}
```
次の代替例では、`StringLike` 条件演算子とともに `aws:SourceAccount` 条件キーのみを使用します。
```
"Condition": {
"StringLike": {
"aws:SourceAccount": "accountID"
}
}
```
### 例 2 (SNS トピックに添付されている KMS キーの許可)
このポリシーステートメントでは、Audit ManagerはKMSキーを使用して、証跡の暗号化を利用する[データキーを生成](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)できます。指定されたオペレーションの KMS キーを使用するリクエストでは、ポリシーの条件が満たされている必要があります。
このポリシーを使用する前に、*placeholder text* を独自の情報に置き換えます。以下の情報を記録します。
+ このポリシーで`aws:SourceArn`条件キーを使用する場合、値は暗号化されているリソースのARNにする必要があります。例えば、この場合はアカウントの SNS トピックです。値をARNまたはワイルドカード文字(`*`)を使用したARNパターンに設定します。`StringLike`または`ArnLike`の条件演算子を`aws:SourceArn`条件キーとともに使用できます。ベストプラクティスとして、`ArnLike` を使用することをお勧めします。
+ `aws:SourceAccount` 条件キーを使用する場合は、`StringEquals` または `StringLike` の条件演算子を使用できます。ベストプラクティスとして、`StringEquals`を使用して最小特権を実装することをお勧めします。SNS トピックのARNが不明の場合は`aws:SourceAccount`を使用できます。
+ `aws:SourceAccount`と`aws:SourceArn`の両方を使用する場合、アカウント値は同じアカウントIDを示す必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:sns:us-east-1:123456789012:topicName"
}
}
}
}
```
------
次の代替例では、`StringLike` 条件演算子とともに `aws:SourceArn` 条件キーのみを使用します。
```
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:sns:region:accountID:topicName"
}
}
```
次の代替例では、`StringLike` 条件演算子とともに `aws:SourceAccount` 条件キーのみを使用します。
```
"Condition": {
"StringLike": {
"aws:SourceAccount": "accountID"
}
}
```
## ユーザーが証拠ファインダーで検索クエリを実行できるようにします
次のポリシーは、CloudTrail Lake イベント データ ストアでクエリを実行する許可を付与します。このアクセス許可ポリシーは、証拠ファインダー機能を使用する場合に必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageCloudTrailLakeQueryAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:DescribeQuery",
"cloudtrail:GetQueryResults",
"cloudtrail:CancelQuery"
],
"Resource": "*"
}
]
}
```
------