Politique relative aux compartiments Amazon S3 pour les résultats des requêtes CloudTrail Lake - AWS CloudTrail
Spécification d'un compartiment existant pour les résultats de la requête CloudTrail LakeRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politique relative aux compartiments Amazon S3 pour les résultats des requêtes CloudTrail Lake

Par défaut, les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource (le compte AWS qui a créé le compartiment) peut accéder au compartiment et aux objets qu’il contient. Le propriétaire de la ressource peut accorder des autorisations d’accès à d’autres ressources et à d’autres utilisateurs en créant une stratégie d’accès.

Pour transmettre les résultats d'une requête CloudTrail Lake à un compartiment S3, vous CloudTrail devez disposer des autorisations requises, et celui-ci ne peut pas être configuré en tant que compartiment Requester Pays.

CloudTrail ajoute les champs suivants dans la politique pour vous :

  • Le permis SIDs

  • Nom du compartiment

  • Le nom principal du service pour CloudTrail

Comme bonne pratique en matière de sécurité, ajoutez une clé de condition aws:SourceArn à la politique de compartiment Amazon S3. La clé de condition IAM globale aws:SourceArn permet de garantir que les CloudTrail écritures dans le compartiment S3 ne concernent que le magasin de données d'événements.

La politique suivante permet de CloudTrail fournir des résultats de requête au bucket à partir de la version prise en charge Régions AWS. Remplacez amzn-s3-demo-bucket, myAccountID, et myQueryRunningRegion avec les valeurs appropriées à votre configuration. Le myAccountID est l'ID de AWS compte utilisé pour CloudTrail, qui peut être différent de l'ID de AWS compte pour le compartiment S3.

Note

Si votre politique de compartiment inclut une déclaration pour une KMS clé, nous vous recommandons d'utiliser une KMS clé entièrement qualifiéeARN. Si vous utilisez plutôt un alias de KMS clé, AWS KMS la clé est résolue dans le compte du demandeur. Ce comportement peut entraîner le chiffrement des données à l'aide d'une KMS clé appartenant au demandeur, et non au propriétaire du compartiment.

S'il s'agit d'un magasin de données d'événements d'organisation, le magasin de données d'événements ARN doit inclure l'ID de AWS compte du compte de gestion. Cela est dû au fait que le compte de gestion conserve la propriété de toutes les ressources de l’organisation.

Politique de compartiment S3 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

Spécification d'un compartiment existant pour les résultats de la requête CloudTrail Lake

Si vous avez spécifié un compartiment S3 existant comme emplacement de stockage pour la livraison des résultats des requêtes CloudTrail Lake, vous devez attacher une politique au compartiment qui permet de CloudTrail fournir les résultats de la requête au compartiment.

Note

Il est recommandé d'utiliser un compartiment S3 dédié pour les résultats des requêtes CloudTrail Lake.

Pour ajouter la CloudTrail politique requise à un compartiment Amazon S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez le compartiment dans lequel vous souhaitez CloudTrail envoyer les résultats de votre requête Lake, puis choisissez Permissions.

  3. Choisissez Modifier.

  4. Copiez la S3 bucket policy for query results dans la fenêtre Éditeur de politique de compartiment. Remplacez les espaces réservés en italique par les noms de votre compartiment, de votre région et de votre ID de compte.

    Note

    Si une ou plusieurs politiques sont déjà associées au bucket existant, ajoutez les instructions pour CloudTrail accéder à cette ou ces politiques. Évaluez le jeu d'autorisations obtenu pour vérifier son adéquation pour les utilisateurs qui accèdent au compartiment.

Ressources supplémentaires

Pour plus d'informations sur les compartiments S3 et les politiques, consultez Utilisation des politiques de compartiments (Français non garanti) du Guide de l'utilisateur Amazon Simple Storage Service.