Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMGénération d'une politique Access Analyzer
En tant qu'administrateur ou développeur, vous pouvez octroyer plus d'autorisations à IAM des entités (utilisateurs ou rôles) qu'elle n'en ont besoin. IAMpropose plusieurs options pour vous aider à affiner les autorisations que vous octroyez. Une option consiste à générer une IAM stratégie basée sur une activité d'accès pour une entité. IAMAccess Analyzer passe en revue vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations utilisées par le rôle dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique avec des autorisations précises qui accordent uniquement les autorisations requises pour prendre en charge votre cas d'utilisation spécifique.
Rubriques
- Processus de génération de politique
- Informations de niveau service et action
- Points à noter sur la génération de politiques
- Autorisations nécessaires pour générer une politique
- Générer une stratégie basée sur CloudTrail l'activité (console)
- Générer une stratégie en utilisant AWS CloudTrail des données dans un autre compte
- Générer une politique basée sur CloudTrail l'activité (AWS CLI)
- Générer une politique basée sur CloudTrail l'activité (AWS API)
- IAMServices de génération d'une politique Access Analyzer
Processus de génération de politique
IAMAccess Analyzer analyse vos CloudTrail événements pour identifier les actions et les services qui ont été utilisés par une IAM entité (utilisateur ou rôle). Il génère ensuite une IAM stratégie basée sur cette activité. Vous pouvez ajuster les autorisations d'une entité en remplaçant la politique d'autorisations étendues attachée à l'entité par la politique générée. Voici un aperçu général du processus de génération de politique.
-
Configurer pour générer des modèles de stratégie — Vous spécifiez une période allant jusqu'à 90 jours durant laquelle IAM Access Analyzer analyse vos AWS CloudTrail événements historiques. Vous devez spécifier un rôle de service existant ou en créer un nouveau. Le rôle de service accorde IAM à Access Analyzer l'accès à votre CloudTrail piste et aux informations du dernier service auxquelles vous avez accédé afin d'identifier les services et les actions qui ont été utilisés. Vous devez spécifier la CloudTrail piste qui enregistre les événements pour le compte avant de pouvoir générer une stratégie. Pour plus d'informations sur les quotas IAM Access Analyzer pour les CloudTrail données, veuillez consulter quotas IAMAccess Analyzer.
-
Générer une stratégie — IAM Access Analyzer génère une stratégie basée sur l'activité d'accès dans vos CloudTrail événements.
-
Examiner et personnaliser la politique : Une fois la politique générée, vous pouvez consulter les services et actions qui ont été utilisés par l'entité pendant la plage de dates spécifiée. Vous pouvez personnaliser davantage la politique en ajoutant ou en supprimant des autorisations, en spécifiant des ressources et en ajoutant des conditions au modèle de politique.
-
Créer et attacher une politique : Vous avez la possibilité d'enregistrer la politique générée en créant une politique gérée. Vous pouvez attacher la politique que vous créez à l'utilisateur ou au rôle dont l'activité a été utilisée pour générer la politique.
Informations de niveau service et action
Lorsque IAM Access Analyzer génère une IAM stratégie, des informations sont renvoyées pour vous aider à la personnaliser. Deux catégories d'informations peuvent être renvoyées lorsqu'une politique est générée :
-
Politique avec des informations de niveau action — Pour certains AWS services d'EC2, tels qu'Amazon, IAM Access Analyzer peut identifier et CloudTrail définir les actions dans la stratégie générée. Pour obtenir la liste des services pris en charge, consultez IAMServices de génération d'une politique Access Analyzer. Pour certains services, IAM Access Analyzer vous invite à ajouter des actions pour les services à la politique générée.
-
Stratégie avec des informations de niveau service — IAM Access Analyzer utilise les informations relatives aux derniers services consultés pour créer un modèle de stratégie avec tous les services récemment utilisés. Lorsque vous utilisez le AWS Management Console, nous vous invitons à consulter les services et à ajouter des actions pour compléter la politique.
Pour obtenir la liste des actions de chaque service, veuillez consulter Actions, ressources et clés de condition pour les AWS services dans le document Service Authorization Reference (Référence des autorisations de service).
Points à noter sur la génération de politiques
Avant de générer une politique, veuillez consulter les conseils clés suivants.
-
Activer une CloudTrail piste — Vous devez avoir une CloudTrail piste activée pour que votre compte génère une stratégie basée sur l'activité d'accès. Lorsque vous créez une CloudTrail piste, CloudTrail envoie les événements liés à votre piste à un compartiment Amazon S3 que vous spécifiez. Pour savoir comment créer un CloudTrail parcours, consultez la section Création d'un parcours pour votre AWS compte dans le Guide de AWS CloudTrail l'utilisateur.
-
Événements de données non disponibles : IAM Access Analyzer n'identifie pas l'activité au niveau action pour les événements de données, tels que les événements de données Amazon S3, dans les politiques générées.
-
PassRole— L'
iam:PassRole
action n'est pas suivie CloudTrail et n'est pas incluse dans les politiques générées. -
Réduire le temps de génération des politiques– Pour générer une politique plus rapidement, réduisez la plage de dates spécifiée lors de la configuration.
-
Utiliser CloudTrail pour l'audit — N'utilisez pas la génération de stratégie à des fins d'audit ; utilisez CloudTrail plutôt. Pour plus d'informations sur l'utilisation CloudTrail, consultez la section Journalisation IAM et AWS STS API appels avec AWS CloudTrail.
-
Actions refusées : la génération de politiques passe en revue tous les CloudTrail événements, y compris les actions refusées.
-
Une stratégie par IAM console : Vous pouvez générer une politique à la fois dans la IAM console.
-
Disponibilité des stratégies générées dans la IAM console — Vous pouvez consulter une stratégie générée dans la IAM console pendant 7 jours au maximum après sa génération. Après 7 jours, vous devez générer une nouvelle politique.
-
Quotas de génération de stratégies — Pour plus d'informations sur les quotas de génération de stratégies IAM Access Analyzer, veuillez consulter Quotas IAMAccess Analyzer.
-
Les tarifs standard Amazon S3 s'appliquent : lorsque vous utilisez la fonction de génération de politiques, IAM Access Analyzer passe en revue CloudTrail les journaux de votre compartiment S3. Aucun frais de stockage supplémentaire n'est facturé pour accéder à vos CloudTrail journaux afin de générer des politiques. AWS facture les tarifs Amazon S3 standard pour les demandes et le transfert de données des CloudTrail journaux stockés dans votre compartiment S3.
-
AWS Control Tower Prise en charge d' :la génération de politiques ne prend pas en charge AWS Control Tower pour la création de politiques.
Autorisations nécessaires pour générer une politique
Les autorisations dont vous avez besoin pour générer une politique pour la première fois diffèrent de celles dont vous avez besoin pour générer une politique les fois suivantes.
Première configuration
Lorsque vous générez une politique pour la première fois, vous devez choisir un rôle de service existant approprié dans votre compte ou créer un nouveau rôle de service. Le rôle de service accorde IAM à Access Analyzer l'accès CloudTrail aux informations de services récemment accédés dans votre compte. Seuls les administrateurs doivent disposer des autorisations nécessaires pour créer et configurer des rôles. Par conséquent, nous recommandons qu'un administrateur crée le rôle de service lors de la première installation. Pour en savoir plus sur les autorisations requises pour créer des rôles de service, veuillez consulter Creating a role to delegate permissions to an service (Création d'un rôle pour la délégation d'autorisations à un AWS service).
Lorsque vous créez un rôle de service, vous configurez deux politiques pour ce rôle. Vous attachez une politique d'IAMautorisations au rôle qui spécifie ce que le rôle peut faire. Vous lui attachez également une politique d'approbation de rôle, qui spécifie le principal qui peut utiliser le rôle.
Le premier exemple de politique correspond à une politique d'autorisations à attacher au rôle de service requis pour générer une politique. Le deuxième exemple de politique correspond à une politique d'approbation de rôle à attacher au rôle de service. Vous pouvez utiliser ces stratégies pour vous aider à créer un rôle de service lorsque vous utilisez le AWS API ou AWS CLI pour générer une stratégie. Lorsque vous utilisez la IAM console pour créer un rôle de service dans le cadre du processus de génération de stratégie, nous générons ces stratégies pour vous.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudtrail:GetTrail", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetServiceLastAccessedDetails", "iam:GenerateServiceLastAccessedDetails" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] } ] }
L'exemple de stratégie suivant correspond à une stratégie d'approbation de rôle avec les autorisations permettant IAM à Access Analyzer d'assumer le rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-analyzer.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Utilisations ultérieures
Pour générer des politiques dans la AWS Management Console, un IAM utilisateur doit disposer d'une politique d'autorisations qui lui permet de passer le rôle de service utilisé pour la génération de stratégie à IAM Access Analyzer. iam:PassRole
est généralement accompagné deiam:GetRole
, afin que l'utilisateur puisse obtenir les détails du rôle à transférer. Dans cet exemple, l'utilisateur peut transférer uniquement les rôles qui existent dans le compte spécifié avec des noms qui commencent par AccessAnalyzerMonitorServiceRole*
. Pour en savoir plus sur la transmission de IAM rôles à des AWS services, veuillez consulter Granting a user permissions to pass a role to an service (Octroi d'autorisations à un utilisateur pour transférer un rôle à un AWS service).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::
123456789012
:role/service-role/AccessAnalyzerMonitorServiceRole*" } ] }
Vous devez également disposer des autorisations IAM Access Analyzer suivantes pour générer des politiques dans la AWS Management Console AWS API, ou AWS CLI comme indiqué dans la déclaration de stratégie suivante.
{ "Sid": "AllowUserToGeneratePolicy", "Effect": "Allow", "Action": [ "access-analyzer:CancelPolicyGeneration", "access-analyzer:GetGeneratedPolicy", "access-analyzer:ListPolicyGenerations", "access-analyzer:StartPolicyGeneration" ], "Resource": "*" }
Pour la première fois et les utilisations ultérieures
Lorsque vous utilisez la AWS Management Console pour générer une stratégie, vous devez disposer de cloudtrail:ListTrails
l'autorisation pour répertorier les CloudTrail pistes de votre compte, comme indiqué dans la déclaration de stratégie suivante.
{ "Sid": "AllowUserToListTrails", "Effect": "Allow", "Action": [ "CloudTrail:ListTrails" ], "Resource": "*" }
Générer une stratégie basée sur CloudTrail l'activité (console)
Vous pouvez générer une stratégie pour un IAM utilisateur ou un rôle.
Étape 1 : Générer une stratégie basée sur CloudTrail l'activité
La procédure suivante explique comment générer une politique pour un rôle à l'aide de la AWS Management Console.
Générer une stratégie pour un IAM rôle
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de gauche, sélectionnez Roles (Rôles).
Note
Les étapes à suivre pour générer une stratégie basée sur l'activité d'un IAM utilisateur sont presque identiques. Dans ce cas, sélectionnez Users (Utilisateurs) au lieu de Roles (Rôles).
-
Dans la liste des rôles de votre compte, sélectionnez le nom du rôle dont vous souhaitez utiliser l'activité pour générer une politique.
-
Dans l'onglet Autorisations, dans la section Générer une politique basée sur CloudTrail les événements, choisissez Générer une politique.
-
Sur la page Generate policy (Générer une stratégie), spécifiez la période pendant laquelle vous souhaitez que IAM Access Analyzer analyse vos CloudTrail événements pour les actions effectuées avec le rôle. Vous pouvez choisir une plage allant jusqu'à 90 jours. Nous vous recommandons de choisir la période la plus courte possible afin de réduire le temps de génération de politique.
-
Dans la section CloudTrail Accès, sélectionnez un rôle existant approprié ou créez un rôle s'il n'existe pas de rôle approprié. Le rôle accorde IAM à Access Analyzer les autorisations nécessaires pour accéder à vos CloudTrail données en votre nom, afin d'examiner l'activité d'accès et d'identifier les services et actions qui ont été utilisés. Pour en savoir plus sur les autorisations requises pour ce rôle, veuillez consulter Autorisations nécessaires pour générer une politique.
-
Dans la section CloudTrail trail to be analyzed (Piste CloudTrail Cloudtrail à analyser), spécifiez la piste qui consigne les événements pour le compte.
Si vous sélectionnez une CloudTrail piste qui stocke les journaux dans un autre compte, une zone d'informations sur l'accès intercompte s'affiche. L'accès intercompte nécessite une configuration supplémentaire. Pour en savoir plus, veuillez consulter Choose a role for cross-account access plus loin dans cette rubrique.
-
Sélectionnez Generate policy (Générer une politique).
-
Lorsque la génération de politique est en cours, vous revenez à la page Roles Summary (Récapitulatif des rôles) sous l'onglet Permissions (Autorisations). Attendez que le statut de la section Policy request details (Détails de la demande de politique) affiche Success (Succès), puis sélectionnez View generated policy (Afficher la politique générée). Vous pouvez afficher la politique générée pendant sept jours au maximum. Si vous générez une autre politique, la politique existante est remplacée par la nouvelle politique que vous générez.
Étape 2 : Examiner les autorisations et ajouter des actions pour les services utilisés
Examinez les services et actions que IAM Access Analyzer a constaté être utilisés par le rôle. Vous pouvez ajouter des actions pour tous les services qui ont été utilisés dans le modèle de politique généré.
-
Examinez les sections suivantes :
-
Sur la page Review permissions (Vérifier les autorisations), veuillez consulter la liste des Actions included in the generated policy (Actions incluses dans la politique générée). La liste affiche les services et actions que IAM Access Analyzer a constaté être utilisés par le rôle dans la plage de dates spécifiée.
-
La section Services used (Services utilisés) affiche les services supplémentaires que IAM Access Analyzer a constaté être utilisés par le rôle dans la plage de dates spécifiée. Il est possible que les informations sur les actions utilisées ne soient pas disponibles pour les services répertoriés dans cette section. Utilisez les menus de chaque service répertorié pour choisir manuellement les actions à inclure dans la politique.
-
-
Lorsque vous avez terminé d'ajouter des actions, cliquez sur Next (Suivant).
Étape 3 : Personnaliser la politique générée
Vous pouvez personnaliser la politique en ajoutant ou en supprimant des autorisations ou en spécifiant des ressources.
Pour personnaliser la politique générée
-
Mettez à jour le modèle de politique. Le modèle de stratégie contient des ARN espaces réservés aux ressources pour les actions qui prennent en charge les autorisations au niveau des ressources, comme illustré dans l'image suivante. Les autorisations au niveau des ressources font référence à la possibilité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à exécuter des actions. Nous vous recommandons de spécifier vos ressources individuelles dans la politique pour les actions qui prennent en charge les autorisations au niveau des ressources. ARNs Vous pouvez remplacer la ressource d'espace réservé par ARNs une ressource valide ARNs pour votre cas d'utilisation.
Si une action ne prend pas en charge les autorisations au niveau des ressources, utilisez un caractère générique (
*
) pour spécifier que toutes les ressources peuvent être concernées par l'action. Pour savoir quels AWS services prennent en charge les autorisations au niveau des ressources, veuillez consulter AWS Services qui fonctionnent avec. IAM Pour obtenir la liste des actions dans chaque service et pour savoir quelles actions prennent en charge les autorisations au niveau des ressources, veuillez consulter Actions, ressources et clés de condition pour les services AWS. -
(Facultatif) Ajoutez, modifiez ou supprimez des déclarations de JSON stratégie dans le modèle. Pour en savoir plus sur la rédaction JSON de politiques, veuillez consulter IAMCreating policies (console).
-
Lorsque vous avez terminé de personnaliser le modèle de politique, vous disposez des options suivantes :
-
(Facultatif) Vous pouvez copier le JSON dans le modèle pour l'utiliser séparément en dehors de la page Generated policy (Stratégie générée). Par exemple, si vous souhaitez utiliser le JSON pour créer une stratégie dans un autre compte. Si la stratégie de votre modèle dépasse la limite de 6 144 caractères pour les JSON stratégies, la stratégie est divisée en plusieurs stratégies.
-
Cliquez sur Next (Suivant) pour consulter et créer une politique gérée dans le même compte.
-
Étape 4 : Examiner et créer une politique gérée
Si vous disposez des autorisations nécessaires pour créer et attacher des IAM stratégies, vous pouvez créer une stratégie gérée à partir de la stratégie qui a été générée. Vous pouvez ensuite attacher la politique à un utilisateur ou à un rôle de votre compte.
Pour examiner et créer une politique
-
Dans la page Review and create managed policy (Examiner et créer une politique), spécifiez un nom sous Name et une Description (facultatif) pour la politique que vous êtes en train de créer.
-
(Facultatif) Dans la section Summary (Résumé), vous pouvez consulter les autorisations qui seront incluses dans la politique.
-
(Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dansIAM, veuillez consulter IAMRessources de balisage.
-
Lorsque vous avez terminé, effectuez l'une des opérations suivantes :
-
Vous pouvez attacher la nouvelle politique directement au rôle qui a été utilisé pour générer la politique. Pour ce faire, en bas de la page, activez la case à cocher en regard de la Attacher la stratégie à
YourRoleName
. Choisissez ensuite Create and attach policy. -
Sinon, cliquez sur Create policy (Créer une politique). Vous trouverez la stratégie que vous avez créée dans la liste des stratégies du volet de navigation Policies (Stratégies) de la IAM console.
-
-
Vous pouvez attacher la politique que vous avez créée à une entité de votre compte. Après avoir attaché la politique, vous pouvez supprimer toute autre politique trop étendue qui pourrait être attachée à l'entité. Pour savoir comment attacher une stratégie gérée, veuillez consulter Adding identity permissions (Ajout IAM d'autorisations d'identité) (console).
Générer une stratégie en utilisant AWS CloudTrail des données dans un autre compte
Vous pouvez créer des CloudTrail pistes qui stockent des données dans des comptes centraux afin de rationaliser les activités de gouvernance. Par exemple, vous pouvez utiliser AWS Organizations pour créer une piste qui journalise tous les événements pour tous les Comptes AWS dans cette organisation. La piste appartient à un compte central. Si vous voulez générer une politique pour un utilisateur ou un rôle dans un compte différent de celui qui stocke les données du CloudTrail journal, vous devez octroyer un accès intercompte. Pour cela, vous avez besoin d'un rôle et d'une politique de compartiment qui octroient des autorisations IAM Access Analyzer à vos CloudTrail journaux. Pour plus d'informations sur la création de pistes Organisations, veuillez consulter Creating a trail for an organization (Création d'une piste pour une organisation).
Dans cet exemple, supposons que vous vouliez générer une politique pour un utilisateur ou un rôle dans le compte A. La CloudTrail piste du compte A stocke les CloudTrail journaux dans un compartiment du compte B. Avant de pouvoir générer une politique, vous devez effectuer les mises à jour suivantes :
-
Choisissez un rôle existant ou créez un rôle de service qui octroie à IAM Access Analyzer l'accès au compartiment du compte B (où vos CloudTrail journaux sont stockés).
-
Vérifiez votre politique de propriété d'objets de compartiment Amazon S3 et d'autorisations de compartiment dans le compte B afin que IAM Access Analyzer puisse accéder aux objets du compartiment.
Étape 1 : choisir ou créer un rôle pour l'accès intercompte
-
Sur l'écran Generate policy (Générer une politique), l'optionUse an existing role (Utiliser un rôle existant) est présélectionnée pour vous si un rôle avec les autorisations requises existe dans votre compte. Sinon, sélectionnez Create and use a new service role (Créer et utiliser un nouveau rôle de service). Le nouveau rôle est utilisé pour octroyer à IAM Access Analyzer l'accès à vos CloudTrail journaux dans le compte B.
Étape 2 : vérifier la configuration du compartiment Amazon S3 dans le compte B
Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/
. -
Dans la liste Buckets (Compartiments), sélectionnez le nom du compartiment dans lequel sont stockés vos journaux de CloudTrail piste.
-
Choisissez l'onglet Permissions (Autorisations) et accédez à la section Object ownership (Propriété des objets).
Utilisez les paramètres de propriété des objets du compartiment Amazon S3 pour contrôler la propriété des objets que vous chargez dans vos compartiments. Par défaut, lorsque d'autres Comptes AWS chargent des objets dans votre compartiment, le compte qui les a chargés est propriétaire des objets. Pour générer une politique, le propriétaire du compartiment doit posséder tous les objets du compartiment. Selon votre cas ACL d'utilisation, vous pouvez modifier le réglage Object Ownership (Propriété de l'objet) pour votre compartiment. Définissez Object Ownership (Propriété de l'objet) sur l'une des options suivantes.
-
Bucket owner enforced (Propriétaire du compartiment imposé) (recommandé)
-
Bucket owner preferred (Propriétaire du compartiment préféré)
Important
Pour générer une politique avec succès, les objets du compartiment doivent appartenir au propriétaire du compartiment. Si vous choisissez d'utiliser Bucket owner preferred (Propriétaire du compartiment préféré), vous ne pouvez générer une politique que pour la période qui suit la modification de propriété de l'objet.
Pour en savoir plus sur la propriété des objets dans Amazon S3, veuillez consulter la rubrique Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment dans le Guide de l'utilisateur d'Simple Storage Service (Amazon S3).
-
-
Ajoutez des autorisations à votre politique de compartiment Amazon S3 dans le compte B afin d'autoriser l'accès au rôle dans le compte A.
L'exemple de politique suivant autorise
ListBucket
etGetObject
pour le compartiment nomméamzn-s3-demo-bucket
. Il autorise l'accès si le rôle accédant au compartiment appartient à un compte de votre organisation et a un nom commençant parAccessAnalyzerMonitorServiceRole
. L'utilisation de l'Resource
élémentCondition
enaws:PrincipalArn
tant qu'élément garantit que le rôle ne peut accéder à l'activité du compte que s'il appartient au compte A. Vous pouvez leamzn-s3-demo-bucket
remplacer par le nom de votre bucket,optional-prefix
par un préfixe facultatif pour le bucket etorganization-id
par l'ID de votre organisation.{ "Version": "2012-10-17", "Statement": [ { "Sid": "PolicyGenerationBucketPolicy", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/optional-prefix
/AWSLogs/organization-id
/${aws:PrincipalAccount}/*" ], "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id
" }, "StringLike": { "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*" } } } ] } -
Si vous chiffrez vos journaux à l'aide d' AWS KMS, mettez à jour votre stratégie de AWS KMS clé dans le compte où vous stockez les CloudTrail journaux afin IAM d'autoriser Access Analyzer à utiliser votre clé, comme indiqué dans l'exemple de stratégie suivant.
CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN
Remplacez-le par le ARN correspondant à votre sentier etorganization-id
par le numéro d'identification de votre organisation.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:cloudtrail:arn": "
CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN
", "aws:PrincipalOrgID": "organization-id
" }, "StringLike": { "kms:ViaService": [ "access-analyzer.*.amazonaws.com", "s3.*.amazonaws.com" ], "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*" } } } ] }
Générer une politique basée sur CloudTrail l'activité (AWS CLI)
Vous pouvez utiliser les commandes suivantes pour générer une politique à l'aide de la AWS CLI.
Pour générer une politique
Pour afficher une politique générée
Pour annuler une demande de génération de politique
Pour afficher la liste des demandes de génération de politique
Générer une politique basée sur CloudTrail l'activité (AWS API)
Vous pouvez utiliser les opérations suivantes pour générer une stratégie à l'aide du AWS API.