AWS CloudTrail 基于资源的策略示例 - AWS CloudTrail
通道的基于资源的策略示例事件数据存储的基于资源的策略示例控制面板的基于资源的策略示例

AWS CloudTrail 基于资源的策略示例

本节提供了 CloudTrail Lake 控制面板、事件数据存储和通道的基于资源的策略示例。

CloudTrail 支持以下几种基于资源的策略:

  • 用于将 CloudTrail Lake 与 AWS 外部的事件源集成的通道上基于资源的策略。用于该通道的基于资源的策略将定义哪些主体实体(账户、用户、角色和联合用户)可以针对该通道调用 PutAuditEvents,以将事件传送到目标事件数据存储。有关创建与 CloudTrail Lake 的集成的更多信息,请参阅 创建与 AWS 外部事件源的集成

  • 控制哪些主体可以对您的事件数据存储执行操作的基于资源的策略。您可以使用基于资源的策略来提供对事件数据存储的跨账户访问。

  • 控制面板上基于资源的策略,允许 CloudTrail 按照您在为控制面板设置刷新计划时定义的间隔刷新 CloudTrail Lake 控制面板。有关更多信息,请参阅 使用 CloudTrail 控制台为自定义控制面板设置刷新计划

通道的基于资源的策略示例

用于该通道的基于资源的策略将定义哪些主体实体(账户、用户、角色和联合用户)可以针对该通道调用 PutAuditEvents,以将事件传送到目标事件数据存储。

该策略所需的信息由集成类型决定。

  • 对于直接集成,CloudTrail 要求策略包含合作伙伴的 AWS 账户 ID,并要求您输入合作伙伴提供的唯一外部 ID。当您使用 CloudTrail 控制台创建集成时,CloudTrail 会自动将合作伙伴的 AWS 账户 ID 添加到资源策略中。请参阅合作伙伴的文档,了解如何获取策略所需 AWS 账户 的账号。

  • 对于解决方案集成,您必须指定至少一个 AWS 账户 ID 作为主体,并且可以选择输入外部 ID,以防范混淆代理。

以下是对基于资源的策略的要求:

  • 该策略至少包含一个语句。该策略最多可以包含 20 个语句。

  • 每个语句至少包含一个主体。主体可以是账户、用户、角色或联合用户。一个语句最多可以包含 50 个主体。

  • 该策略中定义的资源 ARN 必须与该策略附加到的通道 ARN 相匹配。

  • 该策略仅包含一项操作:cloudtrail-data:PutAuditEvents

除非该策略拒绝通道所有者访问资源,否则该所有者可以针对该通道调用 PutAuditEvents API。

示例:为主体提供通道访问权限

以下示例将向 ARN 为 arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:rootarn:aws:iam::123456789012:root 的主体授予权限,以便针对 ARN 为 arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b 的 CloudTrail 通道调用 PutAuditEvents API。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

示例:使用外部 ID 防范混淆代理

以下示例将使用外部 ID 来解决和防范混淆代理。混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。

集成合作伙伴会创建要在策略中使用的外部 ID,然后在创建集成的过程中向您提供该外部 ID。该值可以是任意唯一字符串,如密码或账号。

如果对 PutAuditEvents API 的调用包括在该策略中定义的外部 ID 值,则该示例将向 ARN 为 arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:rootarn:aws:iam::123456789012:root 的主体授予权限,以便针对 CloudTrail 通道资源调用 PutAuditEvents API。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

事件数据存储的基于资源的策略示例

基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。

您可以使用基于资源的策略来提供跨账户访问,以允许选定的主体查询您的事件数据存储、列出和取消查询以及查看查询结果。

对于 CloudTrail Lake 控制面板,基于资源的策略用于允许 CloudTrail 在控制面板刷新时对事件数据存储运行查询,以便为控制面板的小组件填充数据。当您创建自定义控制面板或在 CloudTrail 控制台上启用“要点”控制面板时,CloudTrail Lake 让您能够将默认基于资源的策略附加到事件数据存储。

事件数据存储的基于资源的策略支持以下操作:

  • cloudtrail:StartQuery

  • cloudtrail:CancelQuery

  • cloudtrail:ListQueries

  • cloudtrail:DescribeQuery

  • cloudtrail:GetQueryResults

  • cloudtrail:GenerateQuery

  • cloudtrail:GenerateQueryResultsSummary

  • cloudtrail:GetEventDataStore

当您在 CloudTrail 控制台上创建更新事件数据存储或者管理控制面板时,您可以选择向事件数据存储添加基于资源的策略。您还可以运行put-resource-policy 命令来将基于资源的策略附加到事件数据存储。

基于资源的策略由一个或多个语句组成。例如,它可以包含一条语句允许 CloudTrail 查询控制面板的事件数据存储,并包含另一条语句允许跨账户访问以查询事件数据存储。您可以从 CloudTrail 控制台上的事件数据存储详细信息页面更新现有事件数据存储的基于资源的策略。

对于组织事件数据存储,CloudTrail 会创建一个默认基于资源的策略,其中列出了委派管理员账户可以对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations 中的委派管理员权限。在组织事件数据存储或组织发生变化(例如,注册或移除 CloudTrail 委派管理员账户)后,此策略会自动更新。

示例:允许 CloudTrail 运行查询以刷新控制面板

要在刷新期间填充 CloudTrail Lake 控制面板上的数据,您需要允许 CloudTrail 代表您运行查询。为此,请将基于资源的策略附加到与控制面板小组件关联的每个事件数据存储,该策略包含一条语句,允许 CloudTrail 执行 StartQuery 操作来填充小组件的数据。

下面是语句的要求:

  • 唯一 Principalcloudtrail.amazonaws.com

  • 唯一允许的 Actioncloudtrail:StartQuery

  • Condition 仅包括控制面板 ARN 和 AWS 账户 ID。对于 AWS:SourceArn,您可以提供一系列控制面板 ARN。

以下示例策略包含一条语句,允许 CloudTrail 针对账户 123456789012 对名为 example-dashboard1example-dashboard2 的两个自定义控制面板以及名为 AWSCloudTrail-Highlights 的“要点”控制面板的事件数据存储运行查询。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartQuery"
            ],
            "Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
            "Condition": {
               "StringLike": {
                  "AWS:SourceArn": [
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
                     "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
                  ],
                  "AWS:SourceAccount": "123456789012"
               }
            }
        }
    ]
}

示例:允许其他账户查询事件数据存储并查看查询结果

您可以使用基于资源的策略来提供对事件数据存储的跨账户访问,以允许其他账户对您的事件数据存储运行查询。

以下示例策略包含一条语句,允许账户 111122223333777777777777999999999999111111111111 中的根用户运行查询并获取账户 ID 555555555555 拥有的事件数据存储的查询结果。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "policy1",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::777777777777:root",
            "arn:aws:iam::999999999999:root",
            "arn:aws:iam::111111111111:root"
        ]
      },
      "Action": [
        "cloudtrail:StartQuery",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetQueryResults"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
    }
  ]
}

控制面板的基于资源的策略示例

您可以为 CloudTrail Lake 控制面板设置刷新计划,以便 CloudTrail 能够按照您在设置刷新计划时定义的间隔代表您刷新控制面板。为此,您需要将基于资源的策略附加到控制面板,以允许 CloudTrail 对您的控制面板执行 StartDashboardRefresh 操作。

以下是对基于资源的策略的要求:

  • 唯一 Principalcloudtrail.amazonaws.com

  • 策略中唯一允许的 Actioncloudtrail:StartDashboardRefresh

  • Condition 仅包括控制面板 ARN 和 AWS 账户 ID。

以下示例策略允许 CloudTrail 刷新账户 123456789012 的名为 exampleDash 的控制面板。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action":
            [
                "cloudtrail:StartDashboardRefresh"
            ],
            "Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
                    "AWS:SourceAccount":"123456789012"
                }
            }
        }
    ]
}