Beispiele für identitätsbasierte Richtlinien für AWS Audit Manager - AWS Audit Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für AWS Audit Manager

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, Audit Manager-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe von AWS Management Console, AWS Command Line Interface (AWS CLI) oder ausführen. AWS API Um Benutzern die Berechtigung zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter IAMRichtlinien erstellen im IAMBenutzerhandbuch.

Einzelheiten zu den von AWS Audit Manager definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Audit Manager in der Service Authorization Reference.

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Audit Manager-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

  • Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.

  • Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM

  • Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.

  • Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter IAMAccess Analyzer-Richtlinienvalidierung im IAMBenutzerhandbuch.

  • Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Um festzulegen, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Konfiguration des MFA -geschützten API Zugriffs im IAMBenutzerhandbuch.

Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM

Erlauben Sie die Mindestberechtigungen, die zur Aktivierung von Audit Manager erforderlich sind

In diesem Beispiel wird gezeigt, wie Sie Konten ohne Administratorrolle zur Aktivierung von AWS Audit Manager zulassen können.

Anmerkung

Was wir hier anbieten, ist eine Basisrichtlinie, die die Mindestberechtigungen gewährt, die zur Aktivierung von Audit Manager erforderlich sind. Dabei sind alle in der folgenden Richtlinie genannten Berechtigungen erforderlich. Wenn Sie einen Teil dieser Richtlinie weglassen, können Sie Audit Manager nicht aktivieren.

Wir empfehlen Ihnen, sich Zeit zu nehmen, um Ihre Berechtigungen so anzupassen, dass sie Ihren spezifischen Anforderungen entsprechen. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Administrator oder AWSSupport.

Verwenden Sie die folgenden Berechtigungen, um den Mindestzugriff zu gewähren, der für die Aktivierung von Audit Manager erforderlich ist.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }

Sie müssen Benutzern, die nur den AWS CLI oder den anrufen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den Sie ausführen möchten.

Benutzern den vollständigen Administratorzugriff auf AWS Audit Manager erlauben

Die folgenden Beispielrichtlinien gewähren vollständigen Administratorzugriff auf AWS Audit Manager.

Beispiel 1 (Verwaltete Richtlinie, AWSAuditManagerAdministratorAccess)

Die AWSAuditManagerAdministratorAccessRichtlinie umfasst die Möglichkeit, Audit Manager zu aktivieren und zu deaktivieren, die Audit Manager Manager-Einstellungen zu ändern und alle Audit Manager Manager-Ressourcen wie Bewertungen, Frameworks, Kontrollen und Bewertungsberichte zu verwalten.

Beispiel 2 (Zielberechtigungen für den Bewertungsbericht)

Diese Richtlinie gewährt Ihnen die Erlaubnis, auf einen bestimmten S3-Bucket zuzugreifen und diesem Dateien hinzuzufügen bzw. daraus zu löschen. Auf diese Weise können Sie den angegebenen Bucket als Ziel für Bewertungsberichte in Audit Manager verwenden.

Ersetzen Sie das placeholder text mit Ihren eigenen Informationen. Geben Sie den S3-Bucket an, den Sie als Ziel für Ihren Bewertungsbericht verwenden, und den KMS Schlüssel, mit dem Sie Ihre Bewertungsberichte verschlüsseln.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }

Beispiel 3 (Zielberechtigungen exportieren)

Die folgende Richtlinie ermöglicht es CloudTrail , die Ergebnisse der Evidence Finder-Abfrage an den angegebenen S3-Bucket zu senden. Als bewährte Sicherheitsmethode aws:SourceArn trägt der IAM globale Bedingungsschlüssel dazu bei, dass nur für den Ereignisdatenspeicher in den S3-Bucket CloudTrail geschrieben wird.

Ersetzen Sie den placeholder text durch Ihre eigenen Informationen, wie folgt:

  • Ersetzen amzn-s3-demo-destination-bucket mit dem S3-Bucket, den Sie als Exportziel verwenden.

  • Ersetzen myQueryRunningRegion mit der AWS-Region für Ihre Konfiguration geeigneten.

  • Ersetzen myAccountID mit der AWS-Konto ID, für die verwendet wird CloudTrail. Diese ist möglicherweise nicht identisch mit der AWS-Konto -ID des S3-Buckets. Wenn es sich um einen Datenspeicher für Organisationsereignisse handelt, müssen Sie den AWS-Konto für das Verwaltungskonto verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }

Beispiel 4 (Berechtigungen zur Aktivierung der Beweissuche)

Die folgende Berechtigungsrichtlinie ist erforderlich, wenn Sie die Beweissuch-Funktion aktivieren und verwenden möchten. Diese Richtlinienerklärung ermöglicht es Audit Manager, einen CloudTrail Lake-Ereignisdatenspeicher zu erstellen und Suchabfragen auszuführen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }

Beispiel 5 (Berechtigungen zum Deaktivieren der Beweissuche)

Diese Beispielrichtlinie gewährt die Erlaubnis, die Beweissuch-Funktion in Audit Manager zu deaktivieren. Dazu müssen Sie den Ereignisdatenspeicher löschen, der erstellt wurde, als Sie das Feature zum ersten Mal aktiviert haben.

Bevor Sie diese Richtlinie verwenden, ersetzen Sie placeholder text mit Ihren eigenen Informationen. Sie sollten den Ereignisdatenspeicher angeben, UUID der erstellt wurde, als Sie die Beweissuche aktiviert haben. Sie können den ARN Ereignisdatenspeicher aus Ihren Audit Manager Manager-Einstellungen abrufen. Weitere Informationen finden Sie GetSettingsin der AWS Audit Manager APIReferenz.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }

Erlauben Sie der Benutzerverwaltung Zugriff auf AWS Audit Manager

In diesem Beispiel wird gezeigt, wie Sie Verwaltungszugriff auf AWS Audit Manager gewähren können.

Diese Richtlinie gewährt die Möglichkeit, alle Audit Manager-Ressourcen (Bewertungen, Frameworks und Kontrollen) zu verwalten, aber nicht die Möglichkeit, Audit Manager zu aktivieren oder zu deaktivieren oder Audit Manager-Einstellungen zu ändern.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }

Erlauben Sie Benutzern nur Lesezugriff auf AWS Audit Manager

Diese Richtlinie gewährt nur Lesezugriff auf AWS Audit Manager Ressourcen wie Bewertungen, Frameworks und Kontrollen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die Inline- und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von oder. AWS CLI AWS API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Senden AWS Audit Manager von Benachrichtigungen an SNS Amazon-Themen zulassen

Die Richtlinien in diesem Beispiel gewähren Audit Manager die Berechtigung, Benachrichtigungen an ein vorhandenes SNS Amazon-Thema zu senden.

  • Beispiel 1 — Wenn Sie Benachrichtigungen von Audit Manager erhalten möchten, verwenden Sie dieses Beispiel, um Ihrer SNS Themenzugriffsrichtlinie Berechtigungen hinzuzufügen.

  • Beispiel 2 — Wenn Ihr SNS Thema AWS Key Management Service (AWS KMS) für die serverseitige Verschlüsselung (SSE) verwendet, verwenden Sie dieses Beispiel, um der KMS Schlüsselzugriffsrichtlinie Berechtigungen hinzuzufügen.

In den folgenden Richtlinien ist der Prinzipal, der die Berechtigungen erhält, der Prinzipal des Audit Manager-Dienstes, der auditmanager.amazonaws.com ist. Wenn der Prinzipal in einer Richtlinien-Anweisung ein AWS -Service-Prinzipal ist, empfehlen wir dringend, die aws:SourceArn- oder globalen aws:SourceAccount-Bedingungsschlüssel in der Richtlinie zu verwenden. Sie können diese globalen Bedingungskontextschlüssel verwenden, um das Szenario eines verwirrten Stellvertreters zu verhindern.

Beispiel 1 (Berechtigungen für das SNS Thema)

Diese Richtlinienerklärung ermöglicht es Audit Manager, Ereignisse zum angegebenen SNS Thema zu veröffentlichen. Jede Anfrage zur Veröffentlichung zu einem bestimmten SNS Thema muss die Richtlinienbedingungen erfüllen.

Bevor Sie diese Richtlinie verwenden, ersetzen Sie placeholder text mit Ihren eigenen Informationen. Beachten Sie die folgenden Punkte:

  • Wenn Sie den aws:SourceArn Bedingungsschlüssel in dieser Richtlinie verwenden, muss der Wert ARN der Audit Manager Manager-Ressource entsprechen, von der die Benachrichtigung stammt. Im folgenden Beispiel verwendet aws:SourceArn einen Platzhalter (*) für die Ressourcen-ID. Dies erlaubt alle Anfragen, die von Audit Manager kommen, für alle Audit Manager-Ressourcen. Mit dem globalen aws:SourceArn-Bedingungsschlüssel können Sie entweder StringLike oder den ArnLike-Bedingungsoperator verwenden. Als bewährte Methode empfehlen wir die Verwendung von ArnLike.

  • Wenn Sie den aws:SourceAccountBedingungsschlüssel verwenden, können Sie entweder den StringEquals oder den StringLike-Bedingungsoperator verwenden. Als bewährte Methode empfehlen wir Ihnen, StringEquals zu verwenden, um die geringste Berechtigung zu erteilen.

  • Wenn Sie sowohl aws:SourceAccount als auch aws:SourceArn verwenden, müssen sie dieselbe Konto-ID haben.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }

Im folgenden alternativen Beispiel wird nur der aws:SourceArn-Bedingungsschlüssel zusammen mit dem StringLike-Bedingungsoperator verwendet:

"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }

Im folgenden alternativen Beispiel wird nur der aws:SourceAccount-Bedingungsschlüssel zusammen mit dem StringLike-Bedingungsoperator verwendet:

"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }

Beispiel 2 (Berechtigungen für den KMS Schlüssel, der mit dem SNS Thema verknüpft ist)

Diese Richtlinienerklärung ermöglicht es Audit Manager, den KMS Schlüssel zur Generierung des Datenschlüssels zu verwenden, mit dem ein SNS Thema verschlüsselt wird. Jede Anfrage zur Verwendung des KMS Schlüssels für den angegebenen Vorgang muss die Richtlinienbedingungen erfüllen.

Bevor Sie diese Richtlinie verwenden, ersetzen Sie placeholder text mit Ihren eigenen Informationen. Beachten Sie die folgenden Punkte:

  • Wenn Sie den aws:SourceArn Bedingungsschlüssel in dieser Richtlinie verwenden, muss der Wert ARN der Ressource entsprechen, die verschlüsselt wird. In diesem Fall ist es beispielsweise das SNS Thema in Ihrem Konto. Setzen Sie den Wert auf ARN oder ein ARN Muster mit Platzhalterzeichen (*). Sie können entweder den StringLike oder den ArnLike-Bedingungsoperator mit dem aws:SourceArn-Bedingungsschlüssel verwenden. Als bewährte Methode empfehlen wir die Verwendung von ArnLike.

  • Wenn Sie den aws:SourceAccountBedingungsschlüssel verwenden, können Sie entweder den StringEquals oder den StringLike-Bedingungsoperator verwenden. Als bewährte Methode empfehlen wir Ihnen, StringEquals zu verwenden, um die geringste Berechtigung zu erteilen. Sie können aws:SourceAccount es verwenden, wenn Sie das ARN SNS Thema nicht kennen.

  • Wenn Sie sowohl aws:SourceAccount als auch aws:SourceArn verwenden, müssen sie dieselbe Konto-ID haben.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }

Im folgenden alternativen Beispiel wird nur der aws:SourceArn-Bedingungsschlüssel zusammen mit dem StringLike-Bedingungsoperator verwendet:

"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }

Im folgenden alternativen Beispiel wird nur der aws:SourceAccount-Bedingungsschlüssel zusammen mit dem StringLike-Bedingungsoperator verwendet:

"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }

Erlauben Sie Benutzern, Suchanfragen in der Beweissuche durchzuführen

Die folgende Richtlinie gewährt Berechtigungen zum Durchführen von Abfragen in einem CloudTrail Lake-Ereignisdatenspeicher. Diese Berechtigungsrichtlinie ist erforderlich, wenn Sie die Beweissuch-Funktion verwenden möchten.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }