Amazon S3 S3-Bucket-Richtlinie für CloudTrail Lake-Abfrageergebnisse - AWS CloudTrail
Angeben eines vorhandenen Buckets für CloudTrail Lake-AbfrageergebnisseWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon S3 S3-Bucket-Richtlinie für CloudTrail Lake-Abfrageergebnisse

Standardmäßig werden Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourcenbesitzer (das AWS -Konto, das den Bucket erstellt hat) kann auf den Bucket und die darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.

Um CloudTrail Lake-Abfrageergebnisse an einen S3-Bucket zu übertragen, CloudTrail müssen Sie über die erforderlichen Berechtigungen verfügen und der Bucket kann nicht als Bucket mit Anforderungszahlungen konfiguriert werden.

CloudTrail fügt der Richtlinie die folgenden Felder für Sie hinzu:

  • Die erlaubten SIDs

  • Den Bucket-Namen

  • Der Dienstprinzipalname für CloudTrail

Als bewährte Sicherheitsmethode gilt es, der Amazon S3-Bucket-Richtlinie einen aws:SourceArn-Bedingungsschlüssel hinzuzufügen. Der IAM globale Bedingungsschlüssel aws:SourceArn trägt dazu bei, dass nur für den Ereignisdatenspeicher in den S3-Bucket CloudTrail geschrieben wird.

Die folgende Richtlinie ermöglicht CloudTrail die Übermittlung von Abfrageergebnissen von supported an den Bucket AWS-Regionen. Ersetzen amzn-s3-demo-bucket, myAccountID, und myQueryRunningRegion mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID ist die AWS Konto-ID CloudTrail, für die verwendet wird, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

Anmerkung

Wenn Ihre Bucket-Richtlinie eine Erklärung für einen KMS Schlüssel enthält, empfehlen wir die Verwendung eines vollqualifizierten KMS SchlüsselsARN. Wenn Sie stattdessen einen KMS Schlüsselalias verwenden, AWS KMS wird der Schlüssel im Konto des Anfragenden aufgelöst. Dieses Verhalten kann dazu führen, dass Daten mit einem KMS Schlüssel verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Besitzer gehört.

Wenn es sich um einen Organisationsdatenspeicher für Ereignisse handelt, ARN muss der Ereignisdatenspeicher die AWS Konto-ID für das Verwaltungskonto enthalten. Der Grund hierfür ist, dass das Verwaltungskonto das Eigentum an allen Ressourcen der Organisation behält.

S3-Bucket-Richtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

Angeben eines vorhandenen Buckets für CloudTrail Lake-Abfrageergebnisse

Wenn Sie einen vorhandenen S3-Bucket als Speicherort für die Lieferung von CloudTrail Lake-Abfrageergebnissen angegeben haben, müssen Sie dem Bucket eine Richtlinie hinzufügen, die es ermöglicht, die Abfrageergebnisse an den Bucket CloudTrail zu übermitteln.

Anmerkung

Es hat sich bewährt, einen speziellen S3-Bucket für CloudTrail Lake-Abfrageergebnisse zu verwenden.

Um die erforderliche CloudTrail Richtlinie zu einem Amazon S3 S3-Bucket hinzuzufügen

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie den Bucket aus, in CloudTrail den Sie Ihre Lake-Abfrageergebnisse liefern möchten, und wählen Sie dann Permissions aus.

  3. Wählen Sie Edit (Bearbeiten) aus.

  4. Kopieren Sie die S3 bucket policy for query results in das Fenster Bucket Policy Editor. Ersetzen Sie die Platzhalter in Kursivschrift durch die Namen des Buckets, der Region und die Kontonummer.

    Anmerkung

    Wenn dem vorhandenen Bucket bereits eine oder mehrere Richtlinien angehängt sind, fügen Sie die Anweisungen für den CloudTrail Zugriff auf diese Richtlinie oder Richtlinien hinzu. Nehmen Sie eine Beurteilung der daraus resultierenden Berechtigungen vor, um sicherzustellen, dass sie für die Benutzer, die auf den Bucket zugreifen, geeignet sind.

Weitere Ressourcen

Weitere Informationen zu S3-Buckets und Richtlinien finden Sie unter Verwenden von Bucket-Richtlinien im Amazon Simple Storage Service-Entwicklerleitfaden.