Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS CloudTrail contoh kebijakan berbasis sumber daya
Bagian ini memberikan contoh kebijakan berbasis sumber daya untuk dasbor CloudTrail Danau, penyimpanan data acara, dan saluran.
CloudTrail mendukung jenis kebijakan berbasis sumber daya berikut:
+ Kebijakan berbasis sumber daya pada saluran yang digunakan untuk integrasi CloudTrail Lake dengan sumber acara di luar. AWS Kebijakan berbasis sumber daya untuk saluran menentukan entitas utama mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat dipanggil `PutAuditEvents` di saluran untuk mengirimkan peristiwa ke penyimpanan data peristiwa tujuan. Untuk informasi lebih lanjut tentang membuat integrasi dengan CloudTrail Lake, lihat[Buat integrasi dengan sumber acara di luar AWS](query-event-data-store-integration.md).
+ Kebijakan berbasis sumber daya untuk mengontrol prinsipal mana yang dapat melakukan tindakan pada penyimpanan data acara Anda. Anda dapat menggunakan kebijakan berbasis sumber daya untuk menyediakan akses lintas akun ke penyimpanan data acara Anda.
+ Kebijakan berbasis sumber daya pada dasbor CloudTrail untuk memungkinkan menyegarkan dasbor CloudTrail Lake pada interval yang Anda tentukan saat Anda menetapkan jadwal penyegaran untuk dasbor. Untuk informasi selengkapnya, lihat [Tetapkan jadwal penyegaran untuk dasbor khusus dengan CloudTrail konsol](lake-dashboard-refresh.md).
**Topics**
+ [Contoh kebijakan berbasis sumber daya untuk saluran](#security_iam_resource-based-policy-examples-channels)
+ [Contoh kebijakan berbasis sumber daya untuk penyimpanan data acara](#security_iam_resource-based-policy-examples-eds)
+ [Contoh kebijakan berbasis sumber daya untuk dasbor](#security_iam_resource-based-policy-examples-dashboards)
## Contoh kebijakan berbasis sumber daya untuk saluran
Kebijakan berbasis sumber daya untuk saluran menentukan entitas utama mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat dipanggil `PutAuditEvents` di saluran untuk mengirimkan peristiwa ke penyimpanan data peristiwa tujuan.
Informasi yang diperlukan untuk kebijakan ditentukan oleh jenis integrasi.
+ Untuk integrasi arah, CloudTrail mewajibkan kebijakan berisi milik mitra Akun AWS IDs, dan mengharuskan Anda memasukkan ID eksternal unik yang disediakan oleh mitra. CloudTrail secara otomatis menambahkan mitra Akun AWS IDs ke kebijakan sumber daya saat Anda membuat integrasi menggunakan CloudTrail konsol. Lihat [dokumentasi mitra](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) untuk mempelajari cara mendapatkan Akun AWS nomor yang diperlukan untuk kebijakan tersebut.
+ Untuk integrasi solusi, Anda harus menentukan setidaknya satu Akun AWS ID sebagai prinsipal, dan secara opsional dapat memasukkan ID eksternal untuk mencegah wakil yang bingung.
Berikut ini adalah persyaratan untuk kebijakan berbasis sumber daya:
+ Kebijakan tersebut berisi setidaknya satu pernyataan. Kebijakan tersebut dapat memiliki maksimal 20 pernyataan.
+ Setiap pernyataan berisi setidaknya satu prinsipal. Prinsipal adalah akun, pengguna, peran, atau pengguna federasi. Sebuah pernyataan dapat memiliki maksimal 50 kepala sekolah.
+ Sumber daya ARN yang didefinisikan dalam kebijakan harus sesuai dengan saluran ARN yang dilampirkan kebijakan tersebut.
+ Kebijakan ini hanya berisi satu tindakan: `cloudtrail-data:PutAuditEvents`
Pemilik saluran dapat memanggil `PutAuditEvents` API di saluran kecuali kebijakan menolak akses pemilik ke sumber daya.
**Topics**
+ [Contoh: Menyediakan akses saluran ke kepala sekolah](#security_iam_resource-based-policy-examples-principals)
+ [Contoh: Menggunakan ID eksternal untuk mencegah wakil yang bingung](#security_iam_resource-based-policy-examples-externalID)
### Contoh: Menyediakan akses saluran ke kepala sekolah
Contoh berikut memberikan izin kepada prinsipal dengan ARNs`arn:aws:iam::111122223333:root`,`arn:aws:iam::444455556666:root`, dan `arn:aws:iam::123456789012:root` memanggil [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API di saluran CloudTrail dengan ARN. `arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::{{111122223333}}:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
### Contoh: Menggunakan ID eksternal untuk mencegah wakil yang bingung
Contoh berikut menggunakan ID eksternal untuk mengatasi dan mencegah terhadap [wakil bingung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cross-service-confused-deputy-prevention.html). Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan.
Mitra integrasi membuat ID eksternal untuk digunakan dalam kebijakan. Kemudian, ia memberikan ID eksternal kepada Anda sebagai bagian dari pembuatan integrasi. Nilai dapat berupa string unik, seperti frasa sandi atau nomor akun.
Contoh memberikan izin kepada prinsipal dengan ARNs`arn:aws:iam::111122223333:root`,`arn:aws:iam::444455556666:root`, dan memanggil [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API pada sumber daya CloudTrail saluran jika panggilan `arn:aws:iam::123456789012:root` ke `PutAuditEvents` API menyertakan nilai ID eksternal yang ditentukan dalam kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::{{111122223333}}:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
## Contoh kebijakan berbasis sumber daya untuk penyimpanan data acara
Kebijakan berbasis sumber daya memungkinkan Anda mengontrol principal mana yang dapat melakukan tindakan pada penyimpanan data peristiwa Anda.
Anda dapat menggunakan kebijakan berbasis sumber daya untuk menyediakan akses lintas akun untuk mengizinkan prinsipal yang dipilih menanyakan penyimpanan data acara, membuat daftar dan membatalkan kueri, serta melihat hasil kueri.
Untuk dasbor CloudTrail Lake, kebijakan berbasis sumber daya digunakan CloudTrail untuk memungkinkan menjalankan kueri di penyimpanan data acara Anda untuk mengisi data untuk widget dasbor saat dasbor disegarkan. CloudTrail Lake memberi Anda opsi untuk melampirkan kebijakan berbasis sumber daya default ke penyimpanan data acara Anda saat Anda [membuat dasbor khusus atau mengaktifkan dasbor](lake-dashboard-custom.md) [Sorotan di konsol](lake-dashboard-highlights.md). CloudTrail
Tindakan berikut didukung dalam kebijakan berbasis sumber daya untuk penyimpanan data peristiwa:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Saat [membuat](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure) atau [memperbarui](query-event-data-store-update.md) penyimpanan data peristiwa, atau mengelola dasbor di CloudTrail konsol, Anda diberi opsi untuk menambahkan kebijakan berbasis sumber daya ke penyimpanan data acara. Anda juga dapat menjalankan [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)perintah untuk melampirkan kebijakan berbasis sumber daya ke penyimpanan data peristiwa.
Kebijakan berbasis sumber daya terdiri dari satu atau lebih pernyataan. Misalnya, dapat mencakup satu pernyataan yang memungkinkan CloudTrail untuk menanyakan penyimpanan data peristiwa untuk dasbor dan pernyataan lain yang memungkinkan akses lintas akun untuk menanyakan penyimpanan data peristiwa. Anda dapat [memperbarui](query-event-data-store-update.md) kebijakan berbasis sumber daya penyimpanan data peristiwa yang ada dari halaman detail penyimpanan data peristiwa di konsol. CloudTrail
Untuk [penyimpanan data peristiwa organisasi](cloudtrail-lake-organizations.md), CloudTrail buat [kebijakan berbasis sumber daya default](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) yang mencantumkan tindakan yang diizinkan dilakukan oleh akun administrator yang didelegasikan pada penyimpanan data peristiwa organisasi. Izin dalam kebijakan ini berasal dari izin administrator yang didelegasikan di. AWS Organizations Kebijakan ini diperbarui secara otomatis setelah perubahan pada penyimpanan data peristiwa organisasi atau organisasi (misalnya, akun administrator yang CloudTrail didelegasikan terdaftar atau dihapus).
**Topics**
+ [Contoh: CloudTrail Izinkan menjalankan kueri untuk menyegarkan dasbor](#security_iam_resource-based-policy-examples-eds-dashboard)
+ [Contoh: Izinkan akun lain untuk menanyakan penyimpanan data acara dan melihat hasil kueri](#security_iam_resource-based-policy-examples-eds-query)
### Contoh: CloudTrail Izinkan menjalankan kueri untuk menyegarkan dasbor
Untuk mengisi data di dasbor CloudTrail Lake selama penyegaran, Anda harus mengizinkan CloudTrail untuk menjalankan kueri atas nama Anda. Untuk melakukan ini, lampirkan kebijakan berbasis sumber daya ke setiap penyimpanan data peristiwa yang terkait dengan widget dasbor yang menyertakan pernyataan yang memungkinkan CloudTrail untuk melakukan `StartQuery` operasi untuk mengisi data untuk widget.
Berikut ini adalah persyaratan untuk pernyataan tersebut:
+ Satu-satunya `Principal` adalah`cloudtrail.amazonaws.com`.
+ Satu-satunya yang `Action` diizinkan adalah`cloudtrail:StartQuery`.
+ `Condition`Satu-satunya termasuk dasbor ARN (s) dan Akun AWS ID. Untuk`AWS:SourceArn`, Anda dapat menyediakan berbagai dasbor ARNs.
Kebijakan contoh berikut mencakup pernyataan yang memungkinkan CloudTrail untuk menjalankan kueri pada penyimpanan data peristiwa untuk dua dasbor kustom bernama `example-dashboard1` dan `example-dashboard2` dan dasbor Sorotan bernama `AWSCloudTrail-Highlights` untuk akun. `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartQuery"
],
"Resource": "arn:aws:cloudtrail:{{us-east-1}}:{{123456789012}}:dashboard/*",
"Condition": {
"StringLike": {
"AWS:SourceArn": [
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
],
"AWS:SourceAccount": "123456789012"
}
}
}
]
}
```
------
### Contoh: Izinkan akun lain untuk menanyakan penyimpanan data acara dan melihat hasil kueri
Anda dapat menggunakan kebijakan berbasis sumber daya untuk menyediakan akses lintas akun ke penyimpanan data acara Anda agar akun lain dapat menjalankan kueri di penyimpanan data acara Anda.
Contoh kebijakan berikut mencakup pernyataan yang memungkinkan pengguna root di akun`111122223333`,, `777777777777``999999999999`, dan `111111111111` menjalankan kueri dan mendapatkan hasil kueri pada penyimpanan data peristiwa yang dimiliki oleh ID `555555555555` akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "policy1",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:root",
"arn:aws:iam::777777777777:root",
"arn:aws:iam::999999999999:root",
"arn:aws:iam::111111111111:root"
]
},
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:GetEventDataStore",
"cloudtrail:GetQueryResults"
],
"Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
}
]
}
```
------
## Contoh kebijakan berbasis sumber daya untuk dasbor
Anda dapat mengatur jadwal penyegaran untuk dasbor CloudTrail Lake, yang memungkinkan CloudTrail untuk menyegarkan dasbor atas nama Anda pada interval yang Anda tentukan saat Anda mengatur jadwal penyegaran. Untuk melakukan ini, Anda perlu melampirkan kebijakan berbasis sumber daya ke dasbor untuk memungkinkan CloudTrail untuk melakukan `StartDashboardRefresh` operasi di dasbor Anda.
Berikut ini adalah persyaratan untuk kebijakan berbasis sumber daya:
+ Satu-satunya `Principal` adalah`cloudtrail.amazonaws.com`.
+ Satu-satunya yang `Action` diizinkan dalam kebijakan ini adalah`cloudtrail:StartDashboardRefresh`.
+ `Condition`Satu-satunya termasuk dasbor ARN dan Akun AWS ID.
Contoh kebijakan berikut memungkinkan CloudTrail untuk me-refresh dasbor bernama `exampleDash` untuk akun`123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartDashboardRefresh"
],
"Resource": "arn:aws:cloudtrail:{{us-east-1}}:{{123456789012}}:dashboard/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
"AWS:SourceAccount":"123456789012"
}
}
}
]
}
```
------