查看或复制数据

响应者需要访问日志或其他证据才能进行分析，并且必须确保他们能够查看或复制数据。响应者的 IAM 权限策略至少应提供只读访问权限，以便他们可以进行调查。要启用适当的访问权限，您可以考虑使用一些预先构建的 AWS 托管策略，例如 SecurityAudit 或 ViewOnlyAccess。

例如，响应者可能希望将数据（如 AWS CloudTrail 日志）从一个账户中的 Amazon S3 存储桶复制到另一个账户中的 Amazon S3 存储桶，制作一个时间点副本。例如，ReadOnlyAccess 托管策略提供的权限使响应者可以执行这些操作。要了解如何使用 AWS 命令行界面（CLI）执行此操作，请参阅如何将所有对象从一个 Amazon S3 存储桶复制到另一个存储桶？。