Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk AWS Audit Manager
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Audit Manager. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.
Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan ini, lihat Membuat JSON IAM kebijakan di Panduan Pengguna. IAM
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Audit Manager, termasuk format ARNs untuk setiap jenis sumber daya, lihat Kunci tindakan, sumber daya, dan kondisi untuk AWS Audit Manager di Referensi Otorisasi Layanan.
Daftar Isi
- Praktik terbaik kebijakan
- Izinkan izin minimum yang diperlukan untuk mengaktifkan Audit Manager
- Memungkinkan pengguna akses administrator penuh ke AWS Audit Manager
- Memungkinkan akses manajemen pengguna ke AWS Audit Manager
- Izinkan pengguna akses hanya-baca ke AWS Audit Manager
- Mengizinkan pengguna melihat izin mereka sendiri
- Izinkan AWS Audit Manager untuk mengirim pemberitahuan ke SNS topik Amazon
- Izinkan pengguna menjalankan kueri penelusuran di pencari bukti
Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Audit Manager di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
-
Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan AWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.
-
Menerapkan izin hak istimewa paling sedikit — Saat Anda menetapkan izin dengan IAM kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin IAM di IAM Panduan Pengguna.
-
Gunakan ketentuan dalam IAM kebijakan untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakanSSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.
-
Gunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan Anda guna memastikan izin yang aman dan fungsional — IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa IAM kebijakan () JSON dan praktik terbaik. IAM IAMAccess Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan IAM Access Analyzer di IAMPanduan Pengguna.
-
Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan IAM pengguna atau pengguna root di Anda Akun AWS, aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA kapan API operasi dipanggil, tambahkan MFA kondisi ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi API akses MFA yang dilindungi di IAMPanduan Pengguna.
Untuk informasi selengkapnya tentang praktik terbaik diIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
Izinkan izin minimum yang diperlukan untuk mengaktifkan Audit Manager
Contoh ini menunjukkan bagaimana Anda mengizinkan akun tanpa peran administrator untuk mengaktifkan AWS Audit Manager.
catatan
Apa yang kami sediakan di sini adalah kebijakan dasar yang memberikan izin minimum yang diperlukan untuk mengaktifkan Audit Manager. Semua izin dalam kebijakan berikut diperlukan. Jika Anda menghilangkan bagian apa pun dari kebijakan ini, Anda tidak akan dapat mengaktifkan Audit Manager.
Kami menyarankan Anda meluangkan waktu untuk menyesuaikan izin Anda sehingga mereka memenuhi kebutuhan spesifik Anda. Jika Anda memerlukan bantuan, hubungi administrator atau AWSSupport
Untuk memberikan akses minimum yang diperlukan untuk mengaktifkan Audit Manager, gunakan izin berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau. AWS API Sebagai gantinya, izinkan akses hanya ke tindakan yang cocok dengan API operasi yang Anda coba lakukan.
Memungkinkan pengguna akses administrator penuh ke AWS Audit Manager
Contoh kebijakan berikut memberikan akses administrator penuh ke AWS Audit Manager.
Contoh 1 (Kebijakan terkelola,AWSAuditManagerAdministratorAccess)
AWSAuditManagerAdministratorAccessKebijakan ini mencakup kemampuan untuk mengaktifkan dan menonaktifkan Audit Manager, kemampuan untuk mengubah pengaturan Audit Manager, dan kemampuan untuk mengelola semua sumber daya Audit Manager seperti penilaian, kerangka kerja, kontrol, dan laporan penilaian.
Contoh 2 (Izin tujuan laporan penilaian)
Kebijakan ini memberi Anda izin untuk mengakses bucket S3 tertentu, serta menambahkan file ke serta menghapus file darinya. Hal ini memungkinkan Anda untuk menggunakan bucket yang ditentukan sebagai tujuan laporan penilaian di Audit Manager.
Ganti placeholder text dengan informasi Anda sendiri. Sertakan bucket S3 yang Anda gunakan sebagai tujuan laporan penilaian dan KMS kunci yang Anda gunakan untuk mengenkripsi laporan penilaian Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
Contoh 3 (Izin tujuan ekspor)
Kebijakan berikut memungkinkan CloudTrail untuk mengirimkan hasil kueri pencari bukti ke bucket S3 yang ditentukan. Sebagai praktik keamanan terbaik, kunci kondisi IAM global aws:SourceArn membantu memastikan bahwa CloudTrail menulis ke bucket S3 hanya untuk penyimpanan data acara.
Ganti placeholder text dengan informasi Anda sendiri, sebagai berikut:
-
Ganti
amzn-s3-demo-destination-bucketdengan bucket S3 yang Anda gunakan sebagai tujuan ekspor Anda. -
Ganti
myQueryRunningRegiondengan yang sesuai Wilayah AWS untuk konfigurasi Anda. -
Ganti
myAccountIDdengan Akun AWS ID yang digunakan untuk CloudTrail. Ini mungkin tidak sama dengan Akun AWS ID untuk bucket S3. Jika ini adalah penyimpanan data acara organisasi, Anda harus menggunakan Akun AWS untuk akun manajemen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }
Contoh 4 (Izin untuk mengaktifkan pencari bukti)
Kebijakan izin berikut diperlukan jika Anda ingin mengaktifkan dan menggunakan fitur pencari bukti. Pernyataan kebijakan ini memungkinkan Audit Manager untuk membuat penyimpanan data peristiwa CloudTrail Lake dan menjalankan kueri penelusuran.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }
Contoh 5 (Izin untuk menonaktifkan pencari bukti)
Kebijakan contoh ini memberikan izin untuk menonaktifkan fitur pencari bukti di Audit Manager. Ini melibatkan penghapusan penyimpanan data acara yang dibuat saat Anda pertama kali mengaktifkan fitur tersebut.
Sebelum Anda menggunakan kebijakan ini, ganti placeholder
text dengan informasi Anda sendiri. Anda harus menentukan UUID penyimpanan data peristiwa yang dibuat saat Anda mengaktifkan pencari bukti. Anda dapat mengambil penyimpanan data peristiwa ARN dari setelan Audit Manager Anda. Untuk informasi lebih lanjut, lihat GetSettingsdi AWS Audit Manager APIReferensi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }
Memungkinkan akses manajemen pengguna ke AWS Audit Manager
Contoh ini menunjukkan bagaimana Anda mengizinkan akses manajemen non-administrator. AWS Audit Manager
Kebijakan ini memberikan kemampuan untuk mengelola semua sumber daya Audit Manager (penilaian, kerangka kerja, dan kontrol), tetapi tidak memberikan kemampuan untuk mengaktifkan atau menonaktifkan Audit Manager atau mengubah setelan Audit Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }
Izinkan pengguna akses hanya-baca ke AWS Audit Manager
Kebijakan ini memberikan akses hanya-baca ke AWS Audit Manager sumber daya seperti penilaian, kerangka kerja, dan kontrol.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }
Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan IAM pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau secara terprogram menggunakan atau. AWS CLI AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Izinkan AWS Audit Manager untuk mengirim pemberitahuan ke SNS topik Amazon
Kebijakan dalam contoh ini memberikan izin Audit Manager untuk mengirim notifikasi ke SNS topik Amazon yang ada.
-
Contoh 1 - Jika Anda ingin menerima pemberitahuan dari Audit Manager, gunakan contoh ini untuk menambahkan izin ke kebijakan akses SNS topik Anda.
-
Contoh 2 - Jika SNS topik Anda menggunakan AWS Key Management Service (AWS KMS) untuk enkripsi sisi server (SSE), gunakan contoh ini untuk menambahkan izin ke kebijakan akses utamaKMS.
Dalam kebijakan berikut, prinsipal yang mendapatkan izin adalah kepala layanan Audit Manager, yaituauditmanager.amazonaws.com. Ketika prinsipal dalam pernyataan kebijakan adalah prinsipal AWS layanan, kami sangat menyarankan Anda menggunakan aws:SourceArnatau kunci kondisi aws:SourceAccountglobal dalam kebijakan. Anda dapat menggunakan kunci konteks kondisi global ini untuk membantu mencegah skenario deputi yang membingungkan.
Contoh 1 (Izin untuk SNS topik)
Pernyataan kebijakan ini memungkinkan Audit Manager untuk mempublikasikan peristiwa ke SNS topik yang ditentukan. Setiap permintaan untuk mempublikasikan ke SNS topik yang ditentukan harus memenuhi ketentuan kebijakan.
Sebelum menggunakan kebijakan ini, ganti placeholder
text dengan informasi Anda sendiri. Perhatikan hal-hal berikut ini:
-
Jika Anda menggunakan kunci
aws:SourceArnkondisi dalam kebijakan ini, nilainya harus berupa sumber daya Audit Manager tempat notifikasi berasal. ARN Dalam contoh di bawah ini,aws:SourceArnmenggunakan wildcard (*) untuk ID sumber daya. Hal ini memungkinkan semua permintaan yang berasal dari Audit Manager pada semua sumber Audit Manager. Dengan kunci kondisiaws:SourceArnglobal, Anda dapat menggunakan operatorStringLikeatauArnLikekondisi. Sebagai praktik terbaik, kami sarankan Anda menggunakannyaArnLike. -
Jika Anda menggunakan tombol
aws:SourceAccountkondisi, Anda dapat menggunakan operatorStringEqualsatauStringLikekondisi. Sebagai praktik terbaik, kami menyarankan Anda menggunakanStringEqualsuntuk menerapkan hak istimewa paling sedikit. -
Jika Anda menggunakan keduanya
aws:SourceAccountdanaws:SourceArn, nilai akun harus menunjukkan ID akun yang sama.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }
Contoh alternatif berikut hanya menggunakan kunci aws:SourceArn kondisi, dengan operator StringLike kondisi:
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }
Contoh alternatif berikut hanya menggunakan kunci aws:SourceAccount kondisi, dengan operator StringLike kondisi:
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Contoh 2 (Izin untuk KMS kunci yang dilampirkan ke SNS topik)
Pernyataan kebijakan ini memungkinkan Audit Manager menggunakan KMS kunci untuk menghasilkan kunci data yang digunakan untuk mengenkripsi SNS topik. Setiap permintaan untuk menggunakan KMS kunci untuk operasi yang ditentukan harus memenuhi ketentuan kebijakan.
Sebelum menggunakan kebijakan ini, ganti placeholder
text dengan informasi Anda sendiri. Perhatikan hal-hal berikut ini:
-
Jika Anda menggunakan kunci
aws:SourceArnkondisi dalam kebijakan ini, nilainya harus berupa sumber daya yang dienkripsi. ARN Misalnya, dalam hal ini, itu adalah SNS topik di akun Anda. Tetapkan nilai ke ARN atau ARN pola dengan karakter wildcard (*). Anda dapat menggunakan operatorStringLikeatauArnLikekondisi dengan kunciaws:SourceArnkondisi. Sebagai praktik terbaik, kami sarankan Anda menggunakannyaArnLike. -
Jika Anda menggunakan tombol
aws:SourceAccountkondisi, Anda dapat menggunakan operatorStringEqualsatauStringLikekondisi. Sebagai praktik terbaik, kami menyarankan Anda menggunakanStringEqualsuntuk menerapkan hak istimewa paling sedikit. Anda dapat menggunakanaws:SourceAccountjika Anda tidak tahu SNS topiknya. ARN -
Jika Anda menggunakan keduanya
aws:SourceAccountdanaws:SourceArn, nilai akun harus menunjukkan ID akun yang sama.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }
Contoh alternatif berikut hanya menggunakan kunci aws:SourceArn kondisi, dengan operator StringLike kondisi:
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }
Contoh alternatif berikut hanya menggunakan kunci aws:SourceAccount kondisi, dengan operator StringLike kondisi:
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
Izinkan pengguna menjalankan kueri penelusuran di pencari bukti
Kebijakan berikut memberikan izin untuk melakukan kueri di penyimpanan data peristiwa CloudTrail Lake. Kebijakan izin ini diperlukan jika Anda ingin menggunakan fitur pencari bukti.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }
