기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 자격 증명 기반 정책 예제 AWS Audit Manager
기본적으로 사용자 및 역할에는 Audit Manager 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARN 형식을 포함하여 AWS Audit Manager에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 인증 참조*에서 [AWS Audit Manager에 대한 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)를 참조하세요.
**Contents**
+ [
## 정책 모범 사례
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Audit Manager를 활성화하는 데 필요한 최소 권한 허용
](#security_iam_id-based-policy-examples-console)
+ [
## 사용자에게에 대한 전체 관리자 액세스 허용 AWS Audit Manager
](#example-2)
+ [
### 예 1(관리형 정책,`AWSAuditManagerAdministratorAccess`)
](#full-administrator-access-managed-policy)
+ [
### 예 2(평가 보고서 대상 권한)
](#full-administrator-access-assessment-report-destination)
+ [
### 예제 3(증거 찾기를 활성화하는 권한)
](#full-administrator-access-enable-evidence-finder)
+ [
### 예제 4(증거 찾기 비활성화 권한)
](#full-administrator-access-disable-evidence-finder)
+ [
## 에 대한 사용자 관리 액세스 허용 AWS Audit Manager
](#management-access)
+ [
## 사용자에게에 대한 읽기 전용 액세스 허용 AWS Audit Manager
](#read-only)
+ [
## 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## AWS Audit Manager 가 Amazon SNS 주제에 알림을 보내도록 허용
](#sns-access)
+ [
### 예제 1(SNS 주제에 대한 권한)
](#sns-topic-permissions)
+ [
### 예제 2(SNS 주제에 연결된 KMS 키에 대한 권한)
](#sns-key-permissions)
+ [
## 사용자가 증거 찾기에서 검색 쿼리를 실행하도록 허용
](#evidence-finder-query-access)
## 정책 모범 사례
ID 기반 정책에 따라 계정에서 사용자가 Audit Manager 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## Audit Manager를 활성화하는 데 필요한 최소 권한 허용
이 예제에서는 관리자 역할이 없는 계정이 AWS Audit Manager을 활성화하도록 허용하는 방법을 보여줍니다.
**참고**
여기서 제공하는 것은 Audit Manager를 활성화하는 데 필요한 최소 권한을 부여하는 기본 정책입니다. 다음 정책의 모든 권한이 필요합니다. 이 정책 중 일부를 생략하면 Audit Manager를 사용할 수 없습니다.
시간을 내어 특정 요구 사항에 맞게 권한을 사용자 지정하는 것이 좋습니다. 도움이 필요한 경우 관리자 또는 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하세요.
Audit Manager를 활성화하는 데 필요한 최소 액세스 권한을 부여하려면 다음 권한을 사용하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "auditmanager:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
},
{
"Sid": "CreateEventsAccess",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Sid": "EventsAccess",
"Effect": "Allow",
"Action": [
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver"
},
{
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
}
]
}
```
------
AWS CLI 또는 AWS API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. 그 대신 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
## 사용자에게에 대한 전체 관리자 액세스 허용 AWS Audit Manager
다음 예제 정책은 전체 관리자 액세스 권한을 부여합니다 AWS Audit Manager.
+ [예 1(관리형 정책,`AWSAuditManagerAdministratorAccess`)](#full-administrator-access-managed-policy)
+ [예 2(평가 보고서 대상 권한)](#full-administrator-access-assessment-report-destination)
+ [예제 3(증거 찾기를 활성화하는 권한)](#full-administrator-access-enable-evidence-finder)
+ [예제 4(증거 찾기 비활성화 권한)](#full-administrator-access-disable-evidence-finder)
### 예 1(관리형 정책,`AWSAuditManagerAdministratorAccess`)
[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 정책에는 Audit Manager 활성화 및 비활성화 기능, Audit Manager 설정 변경 기능, 평가, 프레임워크, 컨트롤 및 평가 보고서 등의 모든 컨트롤 리소스를 관리하는 기능이 포함되어 있습니다.
### 예 2(평가 보고서 대상 권한)
이 정책은 특정 S3 버킷에 액세스하고, 버킷에 파일을 추가하고 버킷에서 파일을 삭제할 수 있는 권한을 부여합니다. 이렇게 하면 지정된 버킷을 Audit Manager에서 평가 보고서 대상으로 사용할 수 있습니다.
각 *자리 표시자 텍스트*를 자신의 정보로 바꿉니다. 평가 보고서 대상으로 사용하는 S3 버킷과 평가 보고서를 암호화하는 데 사용하는 KMS 키를 포함하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::example-s3-destination-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
### 예제 3(증거 찾기를 활성화하는 권한)
증거 찾기 기능을 활성화하고 사용하려면 다음 권한 정책이 필요합니다. 이 정책 설명을 통해 Audit Manager는 CloudTrail Lake 이벤트 데이터 스토어를 생성하고 검색 쿼리를 실행할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageCloudTrailLakeQueryAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:DescribeQuery",
"cloudtrail:GetQueryResults",
"cloudtrail:CancelQuery"
],
"Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*"
},
{
"Sid": "ManageCloudTrailLakeAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateEventDataStore"
],
"Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*"
}
]
}
```
------
### 예제 4(증거 찾기 비활성화 권한)
이 예제 정책은 Audit Manager에서 증거 찾기 기능을 비활성화할 수 있는 권한을 부여합니다. 여기에는 기능을 처음 활성화했을 때 생성된 이벤트 데이터 저장소를 삭제하는 작업이 포함됩니다.
이 정책을 사용하기 전에 *자리 표시자 텍스트*를 자신의 정보로 바꿉니다. 증거 찾기를 활성화했을 때 생성된 이벤트 데이터 저장소의 UUID를 지정해야 합니다. Audit Manager 설정에서 이벤트 데이터 스토어의 ARN을 검색할 수 있습니다. 자세한 내용은 *AWS Audit Manager API 참조*의 [GetSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetSettings.html)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:UpdateEventDataStore"
],
"Resource": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EventDataStoreId"
}
]
}
```
------
## 에 대한 사용자 관리 액세스 허용 AWS Audit Manager
이 예에서는 AWS Audit Manager에 대한 비관리자 관리 액세스를 허용하는 방법을 보여줍니다.
이 정책은 모든 Audit Manager 리소스(평가, 프레임워크 및 컨트롤)를 관리할 수 있는 권한을 부여하지만 Audit Manager를 사용하거나 사용하지 않도록 설정하거나 Audit Manager 설정을 수정할 수 있는 권한은 부여하지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:CreateAssessment",
"auditmanager:CreateAssessmentFramework",
"auditmanager:CreateAssessmentReport",
"auditmanager:CreateControl",
"auditmanager:DeleteControl",
"auditmanager:DeleteAssessment",
"auditmanager:DeleteAssessmentFramework",
"auditmanager:DeleteAssessmentFrameworkShare",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAccountStatus",
"auditmanager:GetAssessment",
"auditmanager:GetAssessmentFramework",
"auditmanager:GetControl",
"auditmanager:GetServicesInScope",
"auditmanager:GetSettings",
"auditmanager:GetAssessmentReportUrl",
"auditmanager:GetChangeLogs",
"auditmanager:GetDelegations",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:GetEvidenceFileUploadUrl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:GetInsights",
"auditmanager:GetInsightsByAssessment",
"auditmanager:GetOrganizationAdminAccount",
"auditmanager:ListAssessments",
"auditmanager:ListAssessmentReports",
"auditmanager:ListControls",
"auditmanager:ListKeywordsForDataSource",
"auditmanager:ListNotifications",
"auditmanager:ListAssessmentControlInsightsByControlDomain",
"auditmanager:ListAssessmentFrameworks",
"auditmanager:ListAssessmentFrameworkShareRequests",
"auditmanager:ListControlDomainInsights",
"auditmanager:ListControlDomainInsightsByAssessment",
"auditmanager:ListControlInsightsByControlDomain",
"auditmanager:ListTagsForResource",
"auditmanager:StartAssessmentFrameworkShare",
"auditmanager:TagResource",
"auditmanager:UntagResource",
"auditmanager:UpdateControl",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControl",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentFramework",
"auditmanager:UpdateAssessmentFrameworkShare",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:ValidateAssessmentReportIntegrity"
],
"Resource": "*"
},
{
"Sid": "ControlCatalogAccess",
"Effect": "Allow",
"Action": [
"controlcatalog:ListCommonControls",
"controlcatalog:ListDomains",
"controlcatalog:ListObjectives"
],
"Resource": "*"
},
{
"Sid": "OrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource": "*"
},
{
"Sid": "IAMAccess",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "KmsAccess",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "TagAccess",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
## 사용자에게에 대한 읽기 전용 액세스 허용 AWS Audit Manager
이 정책은 평가, 프레임워크 및 제어와 같은 AWS Audit Manager 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:Get*",
"auditmanager:List*"
],
"Resource": "*"
}
]
}
```
------
## 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## AWS Audit Manager 가 Amazon SNS 주제에 알림을 보내도록 허용
이 예제의 정책은 Audit Manager에 기존 Amazon SNS 주제에 알림을 보낼 수 있는 권한을 부여합니다.
+ [예 1](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions) - Audit Manager로부터 알림을 받으려면 이 예제를 사용하여 SNS 주제 액세스 정책에 권한을 추가하세요.
+ [예제 2](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions) - SNS 주제가 서버 측 암호화(SSE)에 ( AWS Key Management Service AWS KMS)를 사용하는 경우이 예제를 사용하여 KMS 키 액세스 정책에 권한을 추가합니다.
다음 정책에서 권한을 가져오는 보안 주체는 Audit Manager 서비스 주체인 `auditmanager.amazonaws.com`입니다. 정책 문의 주체가 [AWS 서비스 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)인 경우, 정책의 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 또는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키를 사용하는 것이 좋습니다. 이러한 글로벌 조건 컨텍스트 키를 사용하면 [대리인이 혼동되는 시나리오](https://docs.aws.amazon.com/audit-manager/latest/userguide/cross-service-confused-deputy-prevention.html)를 방지하는 데 도움이 될 수 있습니다.
### 예제 1(SNS 주제에 대한 권한)
Audit Manager는 이 정책 설명을 사용하여 지정된 SNS 주제에 이벤트를 게시할 수 있습니다. 지정된 SNS 주제에 대한 게시 요청은 모두 정책 조건을 충족해야 합니다.
이 정책을 사용하려면 *자리 표시자 텍스트*를 자신의 정보로 바꿉니다. 다음에 유의하세요.
+ 이 정책에서 `aws:SourceArn` 조건 키를 사용하는 경우 값은 알림을 보내는 Audit Manager 리소스의 ARN이어야 합니다. 아래 예시에서는 `aws:SourceArn`가 리소스 ID에 와일드카드(`*`)를 사용합니다. 이렇게 하면 모든 Audit Manager 리소스에 대해 Audit Manager에서 오는 모든 요청이 허용됩니다. `aws:SourceArn` 글로벌 조건 키를 사용하면 `StringLike` 또는 `ArnLike` 조건 연산자를 사용할 수 있습니다. 모범 사례로 `ArnLike`를 사용하는 방법이 가장 좋습니다.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 조건 키를 사용하는 경우 `StringEquals` 또는 `StringLike` 조건 연산자를 사용할 수 있습니다. 모범 사례로 `StringEquals`를 사용하여 최소 권한을 구현하는 것이 가장 좋습니다.
+ `aws:SourceAccount`와 `aws:SourceArn`를 모두 사용하는 경우 계정 값에 동일한 계정 ID가 표시되어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseSNSTopic",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:auditmanager:us-east-1:111122223333:*"
}
}
}
}
```
------
다음 대체 예시에서는 `StringLike` 조건 연산자와 함께 `aws:SourceArn` 조건 키만 사용합니다.
```
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:auditmanager:region:accountID:*"
}
}
```
다음 대체 예제에서는 `StringLike` 조건 연산자와 함께 `aws:SourceAccount` 조건 키만 사용합니다.
```
"Condition": {
"StringLike": {
"aws:SourceAccount": "accountID"
}
}
```
### 예제 2(SNS 주제에 연결된 KMS 키에 대한 권한)
이 정책 설명을 통해 Audit Manager는 KMS 키를 사용하여 SNS 주제를 암호화하는 데 사용하는 [데이터 키를 생성](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)할 수 있습니다. 지정된 작업에 KMS 키를 사용하려는 모든 요청은 정책 조건을 충족해야 합니다.
이 정책을 사용하려면 *자리 표시자 텍스트*를 자신의 정보로 바꿉니다. 다음에 유의하세요.
+ 이 정책에서 `aws:SourceArn` 조건 키를 사용하는 경우 값은 암호화되는 리소스의 ARN이어야 합니다. 예를 들어, 이 경우에는 계정의 SNS 주제입니다. 값을 ARN 또는 와일드카드 문자(`*`)가 있는 ARN 또는 ARN 패턴으로 설정합니다. `aws:SourceArn` 조건 키와 함께 `StringLike` 또는 `ArnLike` 조건 연산자를 사용할 수 있습니다. 모범 사례로 `ArnLike`를 사용하는 것이 좋습니다.
+ `aws:SourceAccount` 조건 키를 사용하는 경우 `StringEquals` 또는 `StringLike` 조건 연산자를 사용할 수 있습니다. 모범 사례로 `StringEquals`를 사용하여 최소 권한을 구현하는 것이 가장 좋습니다. SNS 주제의 ARN을 모르면 `aws:SourceAccount`을 사용할 수 있습니다.
+ `aws:SourceAccount`와 `aws:SourceArn`를 모두 사용하는 경우 계정 값에 동일한 계정 ID가 표시되어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:sns:us-east-1:123456789012:topicName"
}
}
}
}
```
------
다음 대체 예시에서는 `StringLike` 조건 연산자와 함께 `aws:SourceArn` 조건 키만 사용합니다.
```
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:sns:region:accountID:topicName"
}
}
```
다음 대체 예제에서는 `StringLike` 조건 연산자와 함께 `aws:SourceAccount` 조건 키만 사용합니다.
```
"Condition": {
"StringLike": {
"aws:SourceAccount": "accountID"
}
}
```
## 사용자가 증거 찾기에서 검색 쿼리를 실행하도록 허용
다음 정책은 CloudTrail Lake 이벤트 데이터 스토어에 대한 쿼리를 수행할 수 있는 권한을 부여합니다. 이 권한 정책은 증거 찾기 기능을 사용하려는 경우 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageCloudTrailLakeQueryAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:DescribeQuery",
"cloudtrail:GetQueryResults",
"cloudtrail:CancelQuery"
],
"Resource": "*"
}
]
}
```
------