Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS CloudTrail ejemplos de políticas basadas en recursos
CloudTrail admite políticas de permisos basadas en recursos para los CloudTrail canales utilizados en las integraciones de Lake. CloudTrail Para obtener más información sobre la creación de integraciones con CloudTrail Lake, consulte. Cree una integración con una fuente de eventos externa a AWS
La información necesaria para la política está determinada por el tipo de integración.
-
Para una integración directa, es CloudTrail necesario que la política incluya el del Cuenta de AWS IDs socio y que introduzca el identificador externo único proporcionado por el socio. CloudTrail añade automáticamente el del socio Cuenta de AWS IDs a la política de recursos al crear una integración mediante la CloudTrail consola. Consulte la documentación del socio para obtener información sobre cómo obtener los Cuenta de AWS números necesarios para la política.
-
Para la integración de una solución, debe especificar al menos un Cuenta de AWS identificador como principal y, si lo desea, puede introducir un identificador externo para evitar que el diputado se confunda.
Estos son los requisitos de la política basada en recursos:
-
El recurso ARN definido en la política debe coincidir con el canal ARN al que está asociada la política.
-
La política contiene solo una acción:
cloudtrail-data:PutAuditEvents -
La política contiene como mínimo una instrucción. La política puede tener como máximo 20 instrucciones.
-
Cada instrucción contiene como mínimo una entidad principal. Una instrucción puede tener como máximo 50 entidades principales.
El propietario del canal puede llamar al PutAuditEvents API canal a menos que la política deniegue al propietario el acceso al recurso.
Temas
Ejemplo: proporcionar acceso al canal a las entidades principales.
En el siguiente ejemplo, se conceden permisos a los directores con la ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root, y arn:aws:iam::123456789012:root para llamar a PutAuditEventsAPIlos del CloudTrail canal con la ARNarn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
Ejemplo: usar un ID externo para evitar un suplente confuso.
En el siguiente ejemplo se utiliza un ID externo para direccionar y evitar que haya un suplente confuso. El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.
El socio de integración crea el ID externo para usarlo en la política. A continuación, se proporciona el ID externo como parte de la creación de la integración. Este valor puede ser cualquier cadena única, como, por ejemplo, una frase de contraseña o un número de cuenta.
En el ejemplo, se conceden permisos a los principales con el ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root, y arn:aws:iam::123456789012:root para llamar al PutAuditEventsAPIrecurso del CloudTrail canal si la llamada PutAuditEvents API incluye el valor de identificador externo definido en la política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
