Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMautorisations requises pour créer ou utiliser une politique de protection des données
Pour pouvoir utiliser les politiques de protection des données pour les groupes de journaux, vous devez disposer de certaines autorisations, comme indiqué dans les tableaux suivants. Les autorisations sont différentes pour les politiques de protection des données applicables à l'ensemble du compte et pour les politiques de protection des données qui s'appliquent à un seul groupe de journaux.
Autorisations requises pour les politiques de protection des données au niveau du compte
Note
Si vous effectuez l'une de ces opérations dans une fonction Lambda, le rôle d'exécution Lambda et la limite des autorisations doivent également inclure les autorisations suivantes.
| Opération | IAMautorisation requise | Ressource |
|---|---|---|
|
Créer une politique de protection des données sans destination d'audit |
|
|
|
|
|
|
|
Créez une politique de protection des données avec CloudWatch les journaux comme destination d'audit |
|
|
|
|
| |
|
|
| |
|
| |
|
| |
|
| |
|
Créez une politique de protection des données avec Firehose comme destination d'audit |
|
|
|
| |
|
| |
|
| |
|
Créer une politique de protection des données avec Amazon S3 comme destination d'audit |
|
|
|
| |
|
| |
|
| |
|
| |
|
Démasquer les événements du journal masqués dans un groupe de journaux spécifié |
|
|
|
Afficher une politique de protection des données existante |
|
|
|
Supprimer une politique de protection des données |
|
|
|
|
Si des journaux d'audit de protection des données sont déjà envoyés à une destination, les autres politiques qui envoient des journaux à la même destination n'ont besoin que des autorisations logs:PutDataProtectionPolicy et logs:CreateLogDelivery.
Autorisations requises pour les politiques de protection des données pour un seul groupe de journaux
Note
Si vous effectuez l'une de ces opérations dans une fonction Lambda, le rôle d'exécution Lambda et la limite des autorisations doivent également inclure les autorisations suivantes.
| Opération | IAMautorisation requise | Ressource |
|---|---|---|
|
Créer une politique de protection des données sans destination d'audit |
|
|
|
Créez une politique de protection des données avec CloudWatch les journaux comme destination d'audit |
|
|
|
Créez une politique de protection des données avec Firehose comme destination d'audit |
|
|
|
Création d'une politique de protection des données avec Amazon S3 comme destination d'audit |
|
|
|
Démasquage des événements du journal masqués |
|
|
|
Affichage d'une politique de protection des données existante |
|
|
|
Supprimer une politique de protection des données |
|
|
Si des journaux d'audit de protection des données sont déjà envoyés à une destination, les autres politiques qui envoient des journaux à la même destination n'ont besoin que des autorisations logs:PutDataProtectionPolicy et logs:CreateLogDelivery.
Exemple de politique de protection des données
L'exemple de politique suivant permet à un utilisateur de créer, d'afficher et de supprimer des politiques de protection des données qui peuvent envoyer des résultats d'audit aux trois types de destinations d'audit. Il ne permet pas à l'utilisateur d'afficher les données démasquées.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "YOUR_SID_1", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Sid": "YOUR_SID_2", "Effect": "Allow", "Action": [ "logs:GetDataProtectionPolicy", "logs:DeleteDataProtectionPolicy", "logs:PutDataProtectionPolicy", "s3:PutBucketPolicy", "firehose:TagDeliveryStream", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM", "arn:aws:s3:::YOUR_BUCKET", "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*" ] } ] }
