AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 基于身份的策略示例 AWS Audit Manager
默认情况下,用户和角色没有创建或修改 Audit Manager 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 AWS Audit Manager 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》中的 [AWS Audit Manager 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)。 ARNs
**Contents**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [允许启用 Audit Manager 所需的最低权限](#security_iam_id-based-policy-examples-console)
+ [允许用户拥有完全的管理员访问权限 AWS Audit Manager](#example-2)
+ [示例 1(托管式策略,`AWSAuditManagerAdministratorAccess`)](#full-administrator-access-managed-policy)
+ [示例 2(评测报告目标权限)](#full-administrator-access-assessment-report-destination)
+ [示例 3(启用证据查找器的权限)](#full-administrator-access-enable-evidence-finder)
+ [示例 4(禁用证据查找器的权限)](#full-administrator-access-disable-evidence-finder)
+ [允许用户管理访问 AWS Audit Manager](#management-access)
+ [允许用户只读访问 AWS Audit Manager](#read-only)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [AWS Audit Manager 允许向 Amazon SNS 主题发送通知](#sns-access)
+ [示例 1(SNS 主题的权限)](#sns-topic-permissions)
+ [示例 2(附加到 SNS 主题的 KMS 密钥的权限)](#sns-key-permissions)
+ [允许用户在证据查找器中运行搜索查询](#evidence-finder-query-access)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Audit Manager 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 允许启用 Audit Manager 所需的最低权限
此示例显示如何允许不具有管理员角色的账户启用 AWS Audit Manager。
**注意**
我们在此处提供的是一项基本策略,它授予启用 Audit Manager 所需的最低权限。以下策略中的所有权限都是必需的。如果省略此策略的任何部分,则无法启用 Audit Manager。
我们建议您花点时间自定义权限,使其满足您的特定需求。如果您需要帮助,请联系您的管理员或 [AWS Support](https://aws.amazon.com/contact-us/)。
要授予启用 Audit Manager 所需的最低访问权限,请使用以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "auditmanager:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
},
{
"Sid": "CreateEventsAccess",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Sid": "EventsAccess",
"Effect": "Allow",
"Action": [
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver"
},
{
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
}
]
}
```
------
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
## 允许用户拥有完全的管理员访问权限 AWS Audit Manager
以下示例策略授予对的完全管理员访问权限 AWS Audit Manager。
+ [示例 1(托管式策略,`AWSAuditManagerAdministratorAccess`)](#full-administrator-access-managed-policy)
+ [示例 2(评测报告目标权限)](#full-administrator-access-assessment-report-destination)
+ [示例 3(启用证据查找器的权限)](#full-administrator-access-enable-evidence-finder)
+ [示例 4(禁用证据查找器的权限)](#full-administrator-access-disable-evidence-finder)
### 示例 1(托管式策略,`AWSAuditManagerAdministratorAccess`)
该[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)策略包括启用和禁用 Audit Manager、更改审计管理器设置以及管理所有 Audit Manager 资源(例如评估、框架、控制和评估报告)的能力。
### 示例 2(评测报告目标权限)
此策略授予您访问特定 S3 存储桶以及向其中添加文件和从中删除文件的权限。这允许您在 Audit Manager 中使用指定的存储桶作为评测报告目标。
将 {{placeholder text}} 替换为您自己的信息。包括您用作评测报告目标的 S3 存储桶和用于加密评测报告的 KMS 密钥。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::example-s3-destination-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
### 示例 3(启用证据查找器的权限)
如果要启用和使用证据查找器功能,则需要以下权限策略。本政策声明允许 Audit Manager 创建 CloudTrail Lake 事件数据存储并运行搜索查询。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageCloudTrailLakeQueryAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:DescribeQuery",
"cloudtrail:GetQueryResults",
"cloudtrail:CancelQuery"
],
"Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*"
},
{
"Sid": "ManageCloudTrailLakeAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateEventDataStore"
],
"Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*"
}
]
}
```
------
### 示例 4(禁用证据查找器的权限)
此示例策略授予在 Audit Manager 中禁用证据查找器功能的权限。这包括删除首次启用该功能时创建的事件数据存储。
在使用本政策之前,请{{placeholder text}}用您自己的信息替换。您应该指定启用证据查找器时创建的事件数据存储的 UUID。您可以从 Audit Manager 设置中检索事件数据存储的 ARN。有关更多信息,请参阅《AWS Audit Manager API Reference》**中的 [GetSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetSettings.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:UpdateEventDataStore"
],
"Resource": "arn:aws:cloudtrail:{{us-east-1}}:{{111122223333}}:eventdatastore/EventDataStoreId"
}
]
}
```
------
## 允许用户管理访问 AWS Audit Manager
此示例显示了如何允许对 AWS Audit Manager的非管理员管理访问权限。
此策略允许管理所有 Audit Manager 资源(评测、框架和控件),但不允许启用或禁用 Audit Manager 或修改 Audit Manager 设置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:CreateAssessment",
"auditmanager:CreateAssessmentFramework",
"auditmanager:CreateAssessmentReport",
"auditmanager:CreateControl",
"auditmanager:DeleteControl",
"auditmanager:DeleteAssessment",
"auditmanager:DeleteAssessmentFramework",
"auditmanager:DeleteAssessmentFrameworkShare",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAccountStatus",
"auditmanager:GetAssessment",
"auditmanager:GetAssessmentFramework",
"auditmanager:GetControl",
"auditmanager:GetServicesInScope",
"auditmanager:GetSettings",
"auditmanager:GetAssessmentReportUrl",
"auditmanager:GetChangeLogs",
"auditmanager:GetDelegations",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:GetEvidenceFileUploadUrl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:GetInsights",
"auditmanager:GetInsightsByAssessment",
"auditmanager:GetOrganizationAdminAccount",
"auditmanager:ListAssessments",
"auditmanager:ListAssessmentReports",
"auditmanager:ListControls",
"auditmanager:ListKeywordsForDataSource",
"auditmanager:ListNotifications",
"auditmanager:ListAssessmentControlInsightsByControlDomain",
"auditmanager:ListAssessmentFrameworks",
"auditmanager:ListAssessmentFrameworkShareRequests",
"auditmanager:ListControlDomainInsights",
"auditmanager:ListControlDomainInsightsByAssessment",
"auditmanager:ListControlInsightsByControlDomain",
"auditmanager:ListTagsForResource",
"auditmanager:StartAssessmentFrameworkShare",
"auditmanager:TagResource",
"auditmanager:UntagResource",
"auditmanager:UpdateControl",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControl",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentFramework",
"auditmanager:UpdateAssessmentFrameworkShare",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:ValidateAssessmentReportIntegrity"
],
"Resource": "*"
},
{
"Sid": "ControlCatalogAccess",
"Effect": "Allow",
"Action": [
"controlcatalog:ListCommonControls",
"controlcatalog:ListDomains",
"controlcatalog:ListObjectives"
],
"Resource": "*"
},
{
"Sid": "OrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource": "*"
},
{
"Sid": "IAMAccess",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "KmsAccess",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "TagAccess",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
```
------
## 允许用户只读访问 AWS Audit Manager
此策略授予对评估、框架和控件等 AWS Audit Manager 资源的只读访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:Get*",
"auditmanager:List*"
],
"Resource": "*"
}
]
}
```
------
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## AWS Audit Manager 允许向 Amazon SNS 主题发送通知
此示例中的策略授予 Audit Manager 向现有 Amazon SNS 主题发送通知的权限。
+ [示例 1](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions) - 如果您想接收来自 Audit Manager 的通知,请使用此示例向您的 SNS 主题访问策略添加权限。
+ [示例 2](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)-如果您的 SNS 主题使用 AWS Key Management Service (AWS KMS) 进行服务器端加密 (SSE),请使用此示例向 KMS 密钥访问策略添加权限。
在以下策略中,获得权限的主体是 Audit Manager 服务主体,它是 `auditmanager.amazonaws.com`。策略语句中的主体是 [AWS 服务主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)时,我们强烈建议您在策略中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 或 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件键。您可以使用这些全局条件上下文键来帮助防止出现[混淆代理场景](https://docs.aws.amazon.com/audit-manager/latest/userguide/cross-service-confused-deputy-prevention.html)。
### 示例 1(SNS 主题的权限)
此策略声明允许 Audit Manager 将事件发布到指定的 SNS 主题。任何发布到指定 SNS 主题的请求都必须满足策略条件。
在使用本政策之前,请{{placeholder text}}用您自己的信息替换。记录以下内容:
+ 如果您在此策略中使用 `aws:SourceArn` 条件键,则该值必须是通知来自的 Audit Manager 资源的 ARN。在下面的示例中,`aws:SourceArn` 使用通配符 (`*`) 作为资源 ID。这允许来自 Audit Manager 的对所有 Audit Manager 资源的所有请求。使用 `aws:SourceArn` 全局条件键,您可以使用 `StringLike` 或 `ArnLike` 条件运算符。作为最佳实践,我们建议您使用 `ArnLike`。
+ 如果使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 条件键,则可以使用 `StringEquals` 或 `StringLike` 条件运算符。作为最佳实践,我们建议您使用 `StringEquals` 实现最低权限。
+ 如果使用 `aws:SourceAccount` 和 `aws:SourceArn`,则账户值必须显示相同的账户 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseSNSTopic",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{topicName}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:auditmanager:{{us-east-1}}:{{111122223333}}:{{*}}"
}
}
}
}
```
------
以下替代示例仅使用 `aws:SourceArn` 条件键和 `StringLike` 条件运算符:
```
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:auditmanager:{{region}}:{{accountID}}:*"
}
}
```
以下替代示例仅使用 `aws:SourceAccount` 条件键和 `StringLike` 条件运算符:
```
"Condition": {
"StringLike": {
"aws:SourceAccount": "{{accountID}}"
}
}
```
### 示例 2(附加到 SNS 主题的 KMS 密钥的权限)
本策略语句允许 Audit Manager 使用 KMS 密钥来[生成数据密钥](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)用来加密 SNS 主题。使用 KMS 密钥进行指定操作的任何请求都必须满足策略条件。
在使用本政策之前,请{{placeholder text}}用您自己的信息替换。记录以下内容:
+ 如果您在此策略中使用 `aws:SourceArn` 条件键,则该值必须是正在加密的资源的 ARN。例如,在本例中,这是您账户中的 SNS 主题。将值设置为 ARN 或带通配符 (`*`) 的 ARN 模式。您可以将 `StringLike` 或 `ArnLike` 条件运算符与 `aws:SourceArn` 条件键一起使用。作为最佳实践,我们建议您使用 `ArnLike`。
+ 如果使用 `aws:SourceAccount` 条件键,则可以使用 `StringEquals` 或 `StringLike` 条件运算符。作为最佳实践,我们建议您使用 `StringEquals` 实现最低权限。如果您不知道 SNS 主题的 ARN,则可以使用 `aws:SourceAccount`。
+ 如果使用 `aws:SourceAccount` 和 `aws:SourceArn`,则账户值必须显示相同的账户 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:sns:{{us-east-1}}:{{123456789012}}:{{topicName}}"
}
}
}
}
```
------
以下替代示例仅使用 `aws:SourceArn` 条件键和 `StringLike` 条件运算符:
```
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:sns:{{region}}:{{accountID}}:topicName"
}
}
```
以下替代示例仅使用 `aws:SourceAccount` 条件键和 `StringLike` 条件运算符:
```
"Condition": {
"StringLike": {
"aws:SourceAccount": "{{accountID}}"
}
}
```
## 允许用户在证据查找器中运行搜索查询
以下策略授予对 CloudTrail Lake 事件数据存储执行查询的权限。如果要使用证据查找器功能,则需要使用此权限策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageCloudTrailLakeQueryAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:DescribeQuery",
"cloudtrail:GetQueryResults",
"cloudtrail:CancelQuery"
],
"Resource": "*"
}
]
}
```
------