Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour AWS Audit Manager
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier des ressources Audit Manager. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Création de IAM politiques dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par AWS Audit Manager, y compris le ARNs format de chaque type de ressource, voir Actions, ressources et clés de condition pour AWS Audit Manager dans la référence d'autorisation de service.
Table des matières
- Bonnes pratiques en matière de politiques
- Ajoutez les autorisations minimales requises pour activer Audit Manager
- Permettre aux utilisateurs un accès administrateur complet à AWS Audit Manager
- Exemple 1 (politique gérée, AWSAuditManagerAdministratorAccess)
- Exemple 2 (autorisations de destination du rapport d’évaluation)
- Exemple 3 (autorisations de destination d’exportation)
- Exemple 4 (Autorisations pour activer l’outil de recherche d’éléments probants)
- Exemple 5 (Autorisations pour désactiver l’outil de recherche d’éléments probants)
- Autoriser l’accès de gestion des utilisateurs à AWS Audit Manager
- Autoriser les utilisateurs à accéder en lecture seule à AWS Audit Manager
- Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
- AWS Audit Manager Autoriser l'envoi de notifications aux SNS rubriques Amazon
- Autoriser les utilisateurs à exécuter des requêtes de recherche dans l’outil de recherche d’éléments probants
Bonnes pratiques en matière de politiques
Les politiques basées sur l’identité déterminent si une personne peut créer, consulter ou supprimer des ressources Audit Manager dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
Ajoutez les autorisations minimales requises pour activer Audit Manager
Cet exemple montre comment autoriser des comptes sans rôle d’administrateur à activer AWS Audit Manager.
Note
Ce que nous proposons ici est une politique de base accordant les autorisations minimales nécessaires pour activer Audit Manager. Toutes les autorisations définies dans la politique suivante sont requises. Si vous omettez une partie de cette politique, vous ne pourrez pas activer Audit Manager.
Nous vous recommandons de prendre le temps de personnaliser vos autorisations en fonction de vos besoins spécifiques. Si vous avez besoin d'aide, contactez votre administrateur ou le AWSSupport
Pour accorder l’accès minimum requis pour activer Audit Manager, utilisez les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération que vous essayez d'effectuer.
Permettre aux utilisateurs un accès administrateur complet à AWS Audit Manager
Les exemples de politiques suivants accordent un accès administrateur complet à AWS Audit Manager.
Exemple 1 (politique gérée, AWSAuditManagerAdministratorAccess)
La AWSAuditManagerAdministratorAccesspolitique inclut la possibilité d'activer et de désactiver Audit Manager, la possibilité de modifier les paramètres d'Audit Manager et la capacité de gérer toutes les ressources d'Audit Manager telles que les évaluations, les cadres, les contrôles et les rapports d'évaluation.
Exemple 2 (autorisations de destination du rapport d’évaluation)
Cette politique vous autorise à accéder à un compartiment S3 spécifique, à y ajouter des fichiers et à en supprimer. Cela vous permet d’utiliser le compartiment spécifié comme destination du rapport d’évaluation dans Audit Manager.
Remplacez le placeholder text avec vos propres informations. Incluez le compartiment S3 que vous utilisez comme destination de votre rapport d'évaluation et la KMS clé que vous utilisez pour chiffrer vos rapports d'évaluation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
Exemple 3 (autorisations de destination d’exportation)
La politique suivante permet de CloudTrail fournir les résultats des requêtes Evidence Finder au compartiment S3 spécifié. En tant que bonne pratique de sécurité, la clé de condition IAM globale aws:SourceArn permet de garantir que les CloudTrail écritures dans le compartiment S3 ne sont destinées qu'au magasin de données d'événements.
Remplacez le placeholder text avec vos propres informations, comme suit :
-
Remplacez
amzn-s3-demo-destination-bucketavec le compartiment S3 que vous utilisez comme destination d'exportation. -
Remplacez
myQueryRunningRegionavec celui qui Région AWS convient à votre configuration. -
Remplacez
myAccountIDavec l' Compte AWS identifiant utilisé pour CloudTrail. Il se peut qu’il ne soit pas identique à l’ID Compte AWS du compartiment S3. S'il s'agit d'un magasin de données sur les événements d'une organisation, vous devez utiliser le Compte AWS pour le compte de gestion.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }
Exemple 4 (Autorisations pour activer l’outil de recherche d’éléments probants)
La politique d’autorisation suivante est requise si vous souhaitez activer et utiliser la fonctionnalité de recherche d’éléments probants. Cette déclaration de politique permet à Audit Manager de créer un magasin de données d'événements CloudTrail Lake et d'exécuter des requêtes de recherche.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }
Exemple 5 (Autorisations pour désactiver l’outil de recherche d’éléments probants)
Cet exemple de politique autorise la désactivation de la fonctionnalité de recherche d’éléments probants dans Audit Manager. Cela implique de supprimer l’entrepôt de données d’événements créé lors de la première activation de cette fonctionnalité.
Avant d'utiliser cette politique, remplacez placeholder
text avec vos propres informations. Vous devez spécifier le magasin UUID de données d'événements créé lorsque vous avez activé Evidence Finder. Vous pouvez récupérer le répertoire ARN des données d'événements dans les paramètres de l'Audit Manager. Pour plus d'informations, reportez-vous GetSettingsà la section AWS Audit Manager APIRéférence.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }
Autoriser l’accès de gestion des utilisateurs à AWS Audit Manager
Cet exemple montre comment autoriser un accès de gestion non administrateur à AWS Audit Manager.
Cette politique permet de gérer toutes les ressources d’Audit Manager (évaluations, frameworks et contrôles), mais ne permet pas d’activer ou de désactiver Audit Manager ou de modifier les paramètres d’Audit Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }
Autoriser les utilisateurs à accéder en lecture seule à AWS Audit Manager
Cette politique accorde un accès en lecture seule aux AWS Audit Manager ressources telles que les évaluations, les cadres et les contrôles.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
AWS Audit Manager Autoriser l'envoi de notifications aux SNS rubriques Amazon
Les politiques décrites dans cet exemple accordent à Audit Manager l'autorisation d'envoyer des notifications à un SNS sujet Amazon existant.
-
Exemple 1 — Si vous souhaitez recevoir des notifications d'Audit Manager, utilisez cet exemple pour ajouter des autorisations à votre politique d'accès aux SNS rubriques.
-
Exemple 2 — Si votre SNS rubrique utilise AWS Key Management Service (AWS KMS) pour le chiffrement côté serveur (SSE), utilisez cet exemple pour ajouter des autorisations à la politique d'accès par KMS clé.
Dans les politiques suivantes, le principal qui obtient les autorisations est le principal du service Audit Manager, qui est auditmanager.amazonaws.com. Lorsque le principal d’une instruction de politique est un principal du service AWS, nous vous recommandons vivement d’utiliser les clés de condition globales aws:SourceArn ou aws:SourceAccount dans la politique. Vous pouvez utiliser ces clés contextuelles de condition globale pour éviter le scénario de l’adjoint désorienté.
Exemple 1 (autorisations pour le SNS sujet)
Cette déclaration de politique permet à Audit Manager de publier des événements sur le SNS sujet spécifié. Toute demande de publication sur le SNS sujet spécifié doit satisfaire aux conditions de la politique.
Avant d'utiliser cette politique, remplacez placeholder
text avec vos propres informations. Notez les informations suivantes :
-
Si vous utilisez la clé de
aws:SourceArncondition dans cette politique, la valeur doit être celle ARN de la ressource Audit Manager d'où provient la notification. Dans l’exemple ci-dessous,aws:SourceArnutilise un caractère générique (*) pour l’ID de ressource. Cela autorise toutes les demandes provenant d’Audit Manager sur toutes les ressources d’Audit Manager. Avec la clé de condition globaleaws:SourceArn, vous pouvez utiliser l’opérateur de conditionStringLikeouArnLike. Comme bonne pratique, nous vous recommandons d’utiliserArnLike. -
Avec la clé de condition
aws:SourceAccount, vous pouvez utiliser l’opérateur de conditionStringEqualsouStringLike. Comme bonne pratique, nous vous recommandons d’utiliserStringEqualspour la mise en place du moindre privilège. -
Si vous utilisez à la fois
aws:SourceAccountetaws:SourceArn, les valeurs de compte doivent comporter le même ID de compte.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceArn, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceAccount, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Exemple 2 (autorisations pour la KMS clé attachée au SNS sujet)
Cette déclaration de politique permet à Audit Manager d'utiliser la KMS clé pour générer la clé de données qu'il utilise pour chiffrer un SNS sujet. Toute demande d'utilisation de la KMS clé pour l'opération spécifiée doit satisfaire aux conditions de politique.
Avant d'utiliser cette politique, remplacez placeholder
text avec vos propres informations. Notez les informations suivantes :
-
Si vous utilisez la clé de
aws:SourceArncondition dans cette politique, la valeur doit être celle ARN de la ressource cryptée. Par exemple, dans ce cas, il s'agit du SNS sujet de votre compte. Définissez la valeur sur le ARN ou un ARN modèle avec des caractères génériques (*). Avec la clé de conditionaws:SourceArn, vous pouvez utiliser l’opérateur de conditionStringLikeouArnLike. Comme bonne pratique, nous vous recommandons d’utiliserArnLike. -
Avec la clé de condition
aws:SourceAccount, vous pouvez utiliser l’opérateur de conditionStringEqualsouStringLike. Comme bonne pratique, nous vous recommandons d’utiliserStringEqualspour la mise en place du moindre privilège. Vous pouvez l'utiliseraws:SourceAccountsi vous ne connaissez pas le SNS sujet. ARN -
Si vous utilisez à la fois
aws:SourceAccountetaws:SourceArn, les valeurs de compte doivent comporter le même ID de compte.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceArn, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }
L’exemple alternatif suivant utilise uniquement la clé de condition aws:SourceAccount, avec l’opérateur de condition StringLike :
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Autoriser les utilisateurs à exécuter des requêtes de recherche dans l’outil de recherche d’éléments probants
La politique suivante accorde des autorisations pour effectuer des requêtes sur un magasin de données d'événements CloudTrail Lake. La politique d’autorisation est requise si vous souhaitez utiliser la fonctionnalité de recherche d’éléments probants.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }
