Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien
Dieser Abschnitt enthält Beispiele für ressourcenbasierte Richtlinien für CloudTrail Lake-Dashboards, Ereignisdatenspeicher und Kanäle.
CloudTrail unterstützt die folgenden Typen von ressourcenbasierten Richtlinien:
+ Ressourcenbasierte Richtlinien für Kanäle, die für CloudTrail Lake-Integrationen mit Ereignisquellen außerhalb von verwendet werden. AWS Die ressourcenbasierte Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) `PutAuditEvents` auf dem Kanal aufrufen können, um Ereignisse an den Zielereignisdatenspeicher zu übermitteln. Weitere Informationen zum Erstellen von Integrationen mit CloudTrail Lake finden Sie unter. [Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS](query-event-data-store-integration.md)
+ Ressourcenbasierte Richtlinien zur Steuerung, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff auf Ihre Ereignisdatenspeicher zu gewähren.
+ Ressourcenbasierte Richtlinien auf Dashboards ermöglichen die Aktualisierung eines CloudTrail Lake-Dashboards CloudTrail in den Intervallen, die Sie bei der Festlegung eines Aktualisierungszeitplans für ein Dashboard festlegen. Weitere Informationen finden Sie unter [Legen Sie mit der CloudTrail Konsole einen Aktualisierungszeitplan für ein benutzerdefiniertes Dashboard fest](lake-dashboard-refresh.md).
**Topics**
+ [Beispiele für ressourcenbasierte Richtlinien für Kanäle](#security_iam_resource-based-policy-examples-channels)
+ [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](#security_iam_resource-based-policy-examples-eds)
+ [Beispiel für eine ressourcenbasierte Richtlinie für ein Dashboard](#security_iam_resource-based-policy-examples-dashboards)
## Beispiele für ressourcenbasierte Richtlinien für Kanäle
Die ressourcenbasierte Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) `PutAuditEvents` auf dem Kanal aufrufen können, um Ereignisse an den Zielereignisdatenspeicher zu übermitteln.
Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt.
+ Für eine direkte Integration CloudTrail muss die Richtlinie die des AWS-Konto IDs Partners enthalten und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. CloudTrail fügt automatisch die des Partners AWS-Konto IDs zur Ressourcenrichtlinie hinzu, wenn Sie eine Integration mithilfe der CloudTrail Konsole erstellen. In der [Dokumentation des Partners](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) erfahren Sie, wie Sie die für die Richtlinie erforderlichen AWS-Konto Nummern erhalten.
+ Für eine Lösungsintegration müssen Sie mindestens eine AWS-Konto ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass der Stellvertreter verwirrt wird.
Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:
+ Jede Richtlinie muss mindestens eine Aussage enthalten. Die Richtlinie kann maximal 20 Aussagen umfassen.
+ Jede Aussage enthält mindestens einen Prinzipal. Ein Prinzipal ist ein Konto, ein Benutzer, eine Rolle oder ein Verbundbenutzer. Eine Aussage kann maximal 50 Prinzipale haben.
+ Der in der Richtlinie definierte Ressourcen-ARN muss mit dem Kanal-ARN übereinstimmen, an den die Richtlinie angehängt ist.
+ Die Richtlinie enthält nur eine Aktion: `cloudtrail-data:PutAuditEvents`
Der Kanalbesitzer kann die `PutAuditEvents`-API auf dem Kanal aufrufen, es sei denn, die Richtlinie verweigert dem Besitzer den Zugriff auf die Ressource.
**Topics**
+ [Beispiel: Bereitstellung von Kanalzugriff für Prinzipale](#security_iam_resource-based-policy-examples-principals)
+ [Beispiel: Verwendung einer externen ID, um einem verwirrten Stellvertreter vorzubeugen](#security_iam_resource-based-policy-examples-externalID)
### Beispiel: Bereitstellung von Kanalzugriff für Prinzipale
Das folgende Beispiel gewährt den Prinzipalen mit dem ARNs`arn:aws:iam::111122223333:root`,, und `arn:aws:iam::123456789012:root` die Berechtigungen`arn:aws:iam::444455556666:root`, die [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API auf dem CloudTrail Kanal mit dem ARN `arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b` aufzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
### Beispiel: Verwendung einer externen ID, um einem verwirrten Stellvertreter vorzubeugen
Das folgende Beispiel verwendet eine externe ID, um [verwirrte Stellvertreter](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cross-service-confused-deputy-prevention.html) anzusprechen und zu verhindern. Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann.
Der Integrationspartner erstellt die externe ID, die in der Richtlinie verwendet werden soll. Anschließend stellt er Ihnen die externe ID im Rahmen der Integrationserstellung zur Verfügung. Dieser Wert kann eine beliebige eindeutige Zeichenfolge sein, wie eine Passphrase oder Kontonummer.
Das Beispiel gewährt den Prinzipalen mit dem ARNs`arn:aws:iam::111122223333:root`, und `arn:aws:iam::123456789012:root` die Berechtigungen`arn:aws:iam::444455556666:root`, die [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API auf der CloudTrail Kanalressource aufzurufen, wenn der `PutAuditEvents` API-Aufruf den in der Richtlinie definierten externen ID-Wert beinhaltet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
## Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher
Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können.
Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff bereitzustellen, sodass ausgewählte Hauptbenutzer Ihren Ereignisdatenspeicher abfragen, Abfragen auflisten und abbrechen sowie Abfrageergebnisse anzeigen können.
Für das CloudTrail Lake-Dashboard werden ressourcenbasierte Richtlinien verwendet, um das Ausführen von Abfragen in Ihren Ereignisdatenspeichern CloudTrail zu ermöglichen, um die Daten für die Widgets des Dashboards aufzufüllen, wenn das Dashboard aktualisiert wird. CloudTrail Lake bietet Ihnen die Möglichkeit, Ihren Ereignisdatenspeichern eine standardmäßige ressourcenbasierte Richtlinie zuzuweisen, wenn Sie [ein benutzerdefiniertes Dashboard erstellen](lake-dashboard-custom.md) oder das Highlights-Dashboard auf [der Konsole aktivieren](lake-dashboard-highlights.md). CloudTrail
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Wenn Sie einen Ereignisdatenspeicher [erstellen](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure) oder [aktualisieren](query-event-data-store-update.md) oder Dashboards auf der CloudTrail Konsole verwalten, haben Sie die Möglichkeit, Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Sie können den [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)Befehl auch ausführen, um eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher anzuhängen.
Eine ressourcenbasierte Richtlinie besteht aus einer oder mehreren Anweisungen. Sie kann beispielsweise eine Anweisung enthalten, die es ermöglicht, den Ereignisdatenspeicher für ein Dashboard CloudTrail abzufragen, und eine weitere Anweisung, die den kontenübergreifenden Zugriff ermöglicht, um den Ereignisdatenspeicher abzufragen. Sie können die ressourcenbasierte Richtlinie eines vorhandenen Ereignisdatenspeichers auf der Detailseite des Ereignisdatenspeichers in der Konsole [aktualisieren](query-event-data-store-update.md). CloudTrail
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [standardmäßige ressourcenbasierte Richtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten an Organisationsereignisdatenspeichern ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
**Topics**
+ [Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards](#security_iam_resource-based-policy-examples-eds-dashboard)
+ [Beispiel: Erlauben Sie anderen Konten, einen Ereignisdatenspeicher abzufragen und Abfrageergebnisse anzuzeigen](#security_iam_resource-based-policy-examples-eds-query)
### Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards
Um die Daten in einem CloudTrail Lake-Dashboard während einer Aktualisierung aufzufüllen, müssen Sie die Ausführung von Abfragen in Ihrem Namen zulassen CloudTrail . Fügen Sie dazu jedem Ereignisdatenspeicher, der einem Dashboard-Widget zugeordnet ist, eine ressourcenbasierte Richtlinie hinzu, die eine Anweisung enthält, mit der der `StartQuery` Vorgang CloudTrail zum Auffüllen der Daten für das Widget ausgeführt werden kann.
Im Folgenden sind die Anforderungen für die Erklärung aufgeführt:
+ Das einzige `Principal` ist`cloudtrail.amazonaws.com`.
+ Das einzig `Action` Erlaubte ist`cloudtrail:StartQuery`.
+ Das beinhaltet `Condition` nur die ARN (s) und die AWS-Konto ID des Dashboards. Denn `AWS:SourceArn` Sie können eine Reihe von Dashboards bereitstellen ARNs.
Die folgende Beispielrichtlinie enthält eine Anweisung, mit der Abfragen in einem Ereignisdatenspeicher für zwei benutzerdefinierte Dashboards mit dem Namen `example-dashboard1` und `example-dashboard2` und für das Highlights-Dashboard mit dem Namen `AWSCloudTrail-Highlights` Konto `123456789012` ausgeführt werden können CloudTrail .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartQuery"
],
"Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
"Condition": {
"StringLike": {
"AWS:SourceArn": [
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
],
"AWS:SourceAccount": "123456789012"
}
}
}
]
}
```
------
### Beispiel: Erlauben Sie anderen Konten, einen Ereignisdatenspeicher abzufragen und Abfrageergebnisse anzuzeigen
Sie können ressourcenbasierte Richtlinien verwenden, um kontenübergreifenden Zugriff auf Ihre Ereignisdatenspeicher zu gewähren, sodass andere Konten Abfragen in Ihren Ereignisdatenspeichern ausführen können.
Die folgende Beispielrichtlinie enthält eine Anweisung, die es Root-Benutzern in Konten`111122223333`,, und ermöglicht `777777777777``999999999999`, Abfragen auszuführen und `111111111111` Abfrageergebnisse für den Ereignisdatenspeicher abzurufen, der der Konto-ID gehört. `555555555555`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "policy1",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::777777777777:root",
"arn:aws:iam::999999999999:root",
"arn:aws:iam::111111111111:root"
]
},
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:GetEventDataStore",
"cloudtrail:GetQueryResults"
],
"Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
}
]
}
```
------
## Beispiel für eine ressourcenbasierte Richtlinie für ein Dashboard
Sie können einen Aktualisierungszeitplan für ein CloudTrail Lake-Dashboard festlegen, der es ermöglicht, das Dashboard in Ihrem Namen in dem Intervall CloudTrail zu aktualisieren, das Sie bei der Festlegung des Aktualisierungszeitplans festgelegt haben. Dazu müssen Sie dem Dashboard eine ressourcenbasierte Richtlinie hinzufügen, damit CloudTrail der `StartDashboardRefresh` Vorgang auf Ihrem Dashboard ausgeführt werden kann.
Die folgenden Anforderungen gelten für die ressourcenbasierte Richtlinie:
+ Das einzige `Principal` ist. `cloudtrail.amazonaws.com`
+ Das einzige, `Action` was in der Richtlinie erlaubt ist, ist`cloudtrail:StartDashboardRefresh`.
+ Das beinhaltet `Condition` nur den ARN und die AWS-Konto ID des Dashboards.
Die folgende Beispielrichtlinie ermöglicht es CloudTrail , ein nach einem Konto benanntes `exampleDash` Dashboard zu aktualisieren`123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartDashboardRefresh"
],
"Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
"AWS:SourceAccount":"123456789012"
}
}
}
]
}
```
------