Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon S3 S3-Bucket-Richtlinie im Auditkonto
In AWS Control Tower haben AWS Dienste nur dann Zugriff auf Ihre Ressourcen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt. Für Schreibberechtigungen muss eine aws:SourceOrgID Bedingung erfüllt sein.
Sie können den aws:SourceOrgID Bedingungsschlüssel verwenden und den Wert auf Ihre Organisations-ID im Bedingungselement Ihrer Amazon S3 S3-Bucket-Richtlinie setzen. Diese Bedingung stellt sicher, dass CloudTrail nur Logs im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden können. Dadurch wird verhindert, dass CloudTrail Logs außerhalb Ihrer Organisation in Ihren AWS Control Tower S3-Bucket schreiben.
Diese Richtlinie hat keinen Einfluss auf die Funktionalität Ihrer vorhandenen Workloads. Die Richtlinie wird im folgenden Beispiel gezeigt.
S3AuditBucketPolicy: Type: AWS::S3::BucketPolicy Properties: Bucket: !Ref S3AuditBucket PolicyDocument: Version: 2012-10-17 Statement: - Sid: AllowSSLRequestsOnly Effect: Deny Principal: '*' Action: s3:* Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*" Condition: Bool: aws:SecureTransport: false - Sid: AWSBucketPermissionsCheck Effect: Allow Principal: Service: - cloudtrail.amazonaws.com - config.amazonaws.com Action: s3:GetBucketAcl Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - Sid: AWSConfigBucketExistenceCheck Effect: Allow Principal: Service: - cloudtrail.amazonaws.com - config.amazonaws.com Action: s3:ListBucket Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - Sid: AWSBucketDeliveryForConfig Effect: Allow Principal: Service: - config.amazonaws.com Action: s3:PutObject Resource: - Fn::Join: - "" - - !Sub "arn:${AWS::Partition}:s3:::" - !Ref "S3AuditBucket" - !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"Condition: StringEquals: aws:SourceOrgID: !Ref OrganizationId- Sid: AWSBucketDeliveryForOrganizationTrail Effect: Allow Principal: Service: - cloudtrail.amazonaws.com Action: s3:PutObject Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail, [!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"], !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]Condition: StringEquals: aws:SourceOrgID: !Ref OrganizationId
Weitere Informationen zu diesem Bedingungsschlüssel finden Sie in der IAM Dokumentation und im IAM Blogbeitrag mit dem Titel „Verwenden Sie skalierbare Steuerelemente für AWS Dienste, die auf Ihre Ressourcen zugreifen“.
