기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 리소스 기반 정책 예제 AWS Audit Manager
Amazon S3 버킷 정책
다음 정책은 CloudTrail이 증거 찾기 쿼리 결과를 지정된 S3 버킷으로 전달하도록 허용합니다. 보안 모범 사례로서 IAM 전역 조건 키 aws:SourceArn는 CloudTrail이 이벤트 데이터 스토어에 대해서만 S3 버킷에 쓰도록 합니다.
다음과 같이 자리 표시자 텍스트를 자신의 정보로 바꿉니다.
-
amzn-s3-demo-destination-bucket을 내보내기 대상으로 사용하는 S3 버킷으로 바꿉니다.
-
myQueryRunningRegion을 구성에 AWS 리전 적합한 로 바꿉니다.
-
myAccountID를 CloudTrail에 사용되는 AWS 계정 ID로 바꿉니다. 이는 S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다. 조직 이벤트 데이터 스토어인 경우 관리 계정의 AWS 계정 를 사용해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
}
]
}
AWS Key Management Service 정책
S3 버킷에 기본 암호화가 로 설정된 경우 키를 사용할 수 있도록 AWS Key Management Service 키의 리소스 정책에서 CloudTrail에 대한 액세스 권한을 SSE-KMS부여합니다. 이 경우 AWS KMS 키에 다음 리소스 정책을 추가합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
