Kebijakan bucket Amazon S3 di akun audit - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan bucket Amazon S3 di akun audit

Di AWS Control Tower, AWS layanan memiliki akses ke sumber daya Anda hanya jika permintaan berasal dari organisasi atau unit organisasi (OU) Anda. aws:SourceOrgIDKondisi harus dipenuhi untuk izin menulis apa pun.

Anda dapat menggunakan kunci aws:SourceOrgID kondisi dan menyetel nilainya ke ID organisasi di elemen kondisi kebijakan bucket Amazon S3 Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda.

Kebijakan ini tidak memengaruhi fungsionalitas beban kerja Anda yang ada. Kebijakan ditampilkan dalam contoh berikut.

S3AuditBucketPolicy: Type: AWS::S3::BucketPolicy Properties: Bucket: !Ref S3AuditBucket PolicyDocument: Version: 2012-10-17 Statement: - Sid: AllowSSLRequestsOnly Effect: Deny Principal: '*' Action: s3:* Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*" Condition: Bool: aws:SecureTransport: false - Sid: AWSBucketPermissionsCheck Effect: Allow Principal: Service: - cloudtrail.amazonaws.com - config.amazonaws.com Action: s3:GetBucketAcl Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - Sid: AWSConfigBucketExistenceCheck Effect: Allow Principal: Service: - cloudtrail.amazonaws.com - config.amazonaws.com Action: s3:ListBucket Resource: - !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}" - Sid: AWSBucketDeliveryForConfig Effect: Allow Principal: Service: - config.amazonaws.com Action: s3:PutObject Resource: - Fn::Join: - "" - - !Sub "arn:${AWS::Partition}:s3:::" - !Ref "S3AuditBucket" - !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*" Condition: StringEquals: aws:SourceOrgID: !Ref OrganizationId - Sid: AWSBucketDeliveryForOrganizationTrail Effect: Allow Principal: Service: - cloudtrail.amazonaws.com Action: s3:PutObject Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail, [!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"], !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"] Condition: StringEquals: aws:SourceOrgID: !Ref OrganizationId

Untuk informasi selengkapnya tentang kunci kondisi ini, lihat dokumentasi IAM dan posting blog IAM berjudul "Gunakan kontrol yang dapat diskalakan untuk AWS layanan yang mengakses sumber daya Anda.”