Policy sui bucket di Amazon S3 per CloudTrail i risultati delle query Lake - AWS CloudTrail
Specificare un bucket esistente per i risultati delle query di CloudTrail LakeRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy sui bucket di Amazon S3 per CloudTrail i risultati delle query Lake

Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Per fornire i risultati delle query CloudTrail Lake a un bucket S3, è CloudTrail necessario disporre delle autorizzazioni richieste e il bucket non può essere configurato come bucket Requester Pays.

CloudTrail aggiunge automaticamente i seguenti campi nella policy:

  • I consentiti SIDs

  • Nome del bucket

  • Il nome principale del servizio per CloudTrail

Come best practice per la sicurezza, aggiungere una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. La chiave di condizione IAM globale aws:SourceArn aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia utilizzata solo per il data store degli eventi.

La seguente politica consente di CloudTrail fornire i risultati delle query al bucket da Supported. Regioni AWS Replace (Sostituisci) amzn-s3-demo-bucket, myAccountIDe myQueryRunningRegion con i valori appropriati per la tua configurazione. Il myAccountID è l'ID dell' AWS account utilizzato CloudTrail, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.

Nota

Se la tua policy bucket include una dichiarazione per una KMS chiave, ti consigliamo di utilizzare una chiave completamente qualificata. KMS ARN Se invece utilizzi un alias KMS chiave, AWS KMS risolve la chiave all'interno dell'account del richiedente. Questo comportamento può comportare la crittografia dei dati con una KMS chiave che appartiene al richiedente e non al proprietario del bucket.

Se si tratta di un archivio dati di eventi dell'organizzazione, l'archivio dati degli eventi ARN deve includere l'ID AWS dell'account di gestione. poiché l'account di gestione mantiene la proprietà di tutte le risorse dell'organizzazione.

Policy del bucket S3

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

Specificare un bucket esistente per i risultati delle query di CloudTrail Lake

Se hai specificato un bucket S3 esistente come posizione di archiviazione per la consegna dei risultati delle query CloudTrail Lake, devi allegare una policy al bucket che consenta di inviare i risultati della query CloudTrail al bucket.

Nota

Come best practice, usa un bucket S3 dedicato per i risultati delle query Lake. CloudTrail

Per aggiungere la CloudTrail policy richiesta a un bucket Amazon S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Scegli il bucket in cui desideri CloudTrail fornire i risultati delle tue query Lake, quindi scegli Autorizzazioni.

  3. Scegliere Edit (Modifica).

  4. Copiare la S3 bucket policy for query results nella finestra Bucket Policy Editor (Editor policy bucket). Sostituire i segnaposto in corsivo con i nomi del proprio bucket, la regione e l'ID account.

    Nota

    Se il bucket esistente ha già una o più politiche allegate, aggiungi le istruzioni per l' CloudTrail accesso a quella o alle politiche. Valutare il set di autorizzazioni risultante per assicurarsi che siano appropriate per gli utenti che accedono al bucket.

Risorse aggiuntive

Per maggiori informazioni sulle politiche dei bucket S3, consultare Utilizzo delle policy dei bucket e dell'utente nella Guida per l'utente di Amazon Simple Storage Service.