Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS CloudTrail contoh kebijakan berbasis sumber daya
CloudTrail mendukung kebijakan izin berbasis sumber daya untuk CloudTrail saluran yang digunakan untuk integrasi Lake. CloudTrail Untuk informasi selengkapnya tentang membuat integrasi dengan CloudTrail Lake, lihatBuat integrasi dengan sumber acara di luar AWS.
Informasi yang diperlukan untuk kebijakan ditentukan oleh jenis integrasi.
-
Untuk integrasi arah, CloudTrail mewajibkan kebijakan berisi milik mitra Akun AWS IDs, dan mengharuskan Anda memasukkan ID eksternal unik yang disediakan oleh mitra. CloudTrail secara otomatis menambahkan mitra Akun AWS IDs ke kebijakan sumber daya saat Anda membuat integrasi menggunakan CloudTrail konsol. Lihat dokumentasi mitra untuk mempelajari cara mendapatkan Akun AWS nomor yang diperlukan untuk kebijakan tersebut.
-
Untuk integrasi solusi, Anda harus menentukan setidaknya satu Akun AWS ID sebagai prinsipal, dan secara opsional dapat memasukkan ID eksternal untuk mencegah wakil yang bingung.
Berikut ini adalah persyaratan untuk kebijakan berbasis sumber daya:
-
Sumber daya ARN yang ditentukan dalam kebijakan harus sesuai dengan ARN saluran yang dilampirkan kebijakan.
-
Kebijakan ini hanya berisi satu tindakan:
cloudtrail-data:PutAuditEvents -
Kebijakan tersebut berisi setidaknya satu pernyataan. Kebijakan tersebut dapat memiliki maksimal 20 pernyataan.
-
Setiap pernyataan berisi setidaknya satu prinsipal. Sebuah pernyataan dapat memiliki maksimal 50 kepala sekolah.
Pemilik saluran dapat menghubungi saluran PutAuditEvents API kecuali kebijakan menolak akses pemilik ke sumber daya.
Topik
Contoh: Menyediakan akses saluran ke kepala sekolah
Contoh berikut memberikan izin kepada prinsipal dengan ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, dan arn:aws:iam::123456789012:root untuk memanggil PutAuditEventsAPIpada saluran dengan. CloudTrail ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
Contoh: Menggunakan ID eksternal untuk mencegah wakil yang bingung
Contoh berikut menggunakan ID eksternal untuk mengatasi dan mencegah terhadap wakil bingung. Masalah deputi yang bingung adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan.
Mitra integrasi membuat ID eksternal untuk digunakan dalam kebijakan. Kemudian, ia memberikan ID eksternal kepada Anda sebagai bagian dari pembuatan integrasi. Nilai dapat berupa string unik, seperti frasa sandi atau nomor akun.
Contoh memberikan izin kepada prinsipal dengan ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, dan memanggil sumber daya CloudTrail saluran jika panggilan arn:aws:iam::123456789012:root ke PutAuditEvents API menyertakan nilai ID eksternal yang ditentukan dalam kebijakan. PutAuditEventsAPI
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
