AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien - AWS CloudTrail
Beispiel: Bereitstellung von Kanalzugriff für PrinzipaleBeispiel: Verwendung einer externen ID, um einem verwirrten Stellvertreter vorzubeugen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien

CloudTrail unterstützt ressourcenbasierte Berechtigungsrichtlinien für CloudTrail Kanäle, die für Lake-Integrationen verwendet werden. CloudTrail Weitere Informationen zum Erstellen von Integrationen mit CloudTrail Lake finden Sie unter. Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS

Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt.

  • Bei einer Direktionsintegration CloudTrail muss die Richtlinie die AWS-Konto IDs des Partners enthalten und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. CloudTrail fügt die AWS-Konto IDs des Partners automatisch zur Ressourcenrichtlinie hinzu, wenn Sie eine Integration mithilfe der CloudTrail Konsole erstellen. In der Dokumentation des Partners erfahren Sie, wie Sie die für die Richtlinie erforderlichen AWS-Konto Nummern erhalten.

  • Für eine Lösungsintegration müssen Sie mindestens eine AWS-Konto ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass der Stellvertreter verwirrt wird.

Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:

  • Der in der Richtlinie definierte Ressourcen-ARN muss mit dem Kanal-ARN übereinstimmen, an den die Richtlinie angehängt ist.

  • Die Richtlinie enthält nur eine Aktion: cloudtrail-data:PutAuditEvents

  • Jede Richtlinie muss mindestens eine Aussage enthalten. Die Richtlinie kann maximal 20 Aussagen umfassen.

  • Jede Aussage enthält mindestens einen Prinzipal. Eine Aussage kann maximal 50 Prinzipale haben.

Der Kanalbesitzer kann die PutAuditEvents-API auf dem Kanal aufrufen, es sei denn, die Richtlinie verweigert dem Besitzer den Zugriff auf die Ressource.

Beispiel: Bereitstellung von Kanalzugriff für Prinzipale

Im folgenden Beispiel werden den Prinzipalen mit den ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, und die Berechtigungen arn:aws:iam::123456789012:root zum Aufrufen der PutAuditEventsAPI auf dem CloudTrail Kanal mit dem ARN erteilt. arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

Beispiel: Verwendung einer externen ID, um einem verwirrten Stellvertreter vorzubeugen

Das folgende Beispiel verwendet eine externe ID, um verwirrte Stellvertreter anzusprechen und zu verhindern. Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann.

Der Integrationspartner erstellt die externe ID, die in der Richtlinie verwendet werden soll. Anschließend stellt er Ihnen die externe ID im Rahmen der Integrationserstellung zur Verfügung. Dieser Wert kann eine beliebige eindeutige Zeichenfolge sein, wie eine Passphrase oder Kontonummer.

Im Beispiel werden den Prinzipalen mit den ARNs arn:aws:iam::111122223333:root und die Berechtigungen arn:aws:iam::123456789012:root zum Aufrufen der PutAuditEventsAPI auf der CloudTrail Kanalressource erteiltarn:aws:iam::444455556666:root, wenn der PutAuditEvents API-Aufruf den in der Richtlinie definierten externen ID-Wert enthält. 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
            "Condition":
            {
                "StringEquals":
                {
                    "cloudtrail:ExternalId": "uniquePartnerExternalID"
                }
            }
        }
    ]
}