Exemplos de políticas baseadas em recursos para AWS Audit Manager - AWS Audit Manager
Política de bucket do Amazon S3AWS Key Management Service política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em recursos para AWS Audit Manager

Política de bucket do Amazon S3

A política a seguir permite CloudTrail fornecer os resultados da consulta do localizador de evidências para o bucket S3 especificado. Como prática recomendada de segurança, a chave de condição global do IAM aws:SourceArn ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para o armazenamento de dados do evento.

Importante

Você deve especificar um bucket do S3 para a entrega dos resultados da consulta do CloudTrail Lake. Para obter mais informações, consulte Especificação de um bucket existente para os resultados da consulta do CloudTrail Lake.

placeholder textSubstitua o por suas próprias informações, da seguinte forma:

  • amzn-s3-demo-destination-bucketSubstitua pelo bucket do S3 que você usa como destino de exportação.

  • myQueryRunningRegionSubstitua Região da AWS pelo apropriado para sua configuração.

  • myAccountIDSubstitua pela Conta da AWS ID usada para CloudTrail. Isso pode não ser o mesmo que o Conta da AWS ID do bucket do S3. Se for um armazenamento de dados de eventos da organização, você deverá usar Conta da AWS para a conta de gerenciamento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }

AWS Key Management Service política

Se o bucket do S3 tiver a criptografia padrão definida comoSSE-KMS, conceda acesso à política CloudTrail de recursos da sua AWS Key Management Service chave para que ele possa usar a chave. Nesse caso, adicione a seguinte política de recursos à AWS KMS chave.

{
 "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}