기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에 대한 리소스 기반 정책 예제 AWS Audit Manager
<a name="security_iam_resource-based-policy-examples"></a>

## Amazon S3 버킷 정책
<a name="s3-resource-policy"></a>

다음 정책은 CloudTrail이 증거 찾기 쿼리 결과를 지정된 S3 버킷으로 전달하도록 허용합니다. 보안 모범 사례로서 IAM 전역 조건 키 `aws:SourceArn`는 CloudTrail이 이벤트 데이터 스토어에 대해서만 S3 버킷에 쓰도록 합니다.

**중요**  
CloudTrail Lake 쿼리 결과 전송을 위한 S3 버킷을 지정해야 합니다. 자세한 내용은 [ CloudTrail Lake 쿼리 결과에 대한 기존 버킷 지정을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery).

다음과 같이 *자리 표시자 텍스트*를 자신의 정보로 바꿉니다.
+ *amzn-s3-demo-destination-bucket*을 내보내기 대상으로 사용하는 S3 버킷으로 바꿉니다.
+ *myQueryRunningRegion*을 구성에 AWS 리전 적합한 로 바꿉니다.
+ *myAccountID*를 CloudTrail에 사용되는 AWS 계정 ID로 바꿉니다. 이는 S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다. 조직 이벤트 데이터 스토어인 경우 관리 계정의 AWS 계정 를 사용해야 합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }
```

------

## AWS Key Management Service 정책
<a name="kms-resource-policy"></a>

S3 버킷에 기본 암호화가 로 설정된 경우 키를 사용할 수 있도록 AWS Key Management Service 키의 리소스 정책에서 CloudTrail에 대한 액세스 권한을 `SSE-KMS`부여합니다. 이 경우 AWS KMS 키에 다음 리소스 정책을 추가합니다.

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}
```

------