기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 자격 증명 기반 정책 예제 AWS Audit Manager
기본적으로 사용자 및 역할에는 Audit Manager 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한 AWS Management Console, AWS Command Line Interface (AWS CLI) 또는 를 사용하여 작업을 수행할 수 없습니다 AWS API. 사용자에게 필요한 리소스에 대한 작업을 수행할 수 있는 권한을 부여하기 위해 IAM 관리자는 IAM 정책을 생성할 수 있습니다. 그런 다음 관리자는 역할에 IAM 정책을 추가할 수 있으며 사용자는 역할을 수임할 수 있습니다.
이러한 예제 정책 문서를 사용하여 IAM 자격 증명 기반 JSON 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 정책 생성을 참조하세요.
각 리소스 유형에 대한 형식 등 AWS Audit Manager에서 정의한 작업 및 리소스 유형에 ARNs 대한 자세한 내용은 서비스 권한 부여 참조의 AWS Audit Manager에 대한 작업, 리소스 및 조건 키를 참조하세요.
목차
정책 모범 사례
ID 기반 정책에 따라 계정에서 사용자가 Audit Manager 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따릅니다.
-
AWS 관리형 정책을 시작하고 최소 권한 권한으로 전환 - 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 AWS 관리형 정책을 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 IAM 사용 설명서의 관리AWS 형 정책 또는 AWS 작업 함수에 대한 관리형 정책을 참조하세요.
-
최소 권한 적용 - IAM 정책으로 권한을 설정할 때 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 최소 권한으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. 를 사용하여 권한을 적용하는 IAM 방법에 대한 자세한 내용은 IAM 사용 설명서의 에서 정책 및 권한을 IAM 참조하세요.
-
IAM 정책의 조건을 사용하여 액세스 추가 제한 - 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어 정책 조건을 작성하여 를 사용하여 모든 요청을 전송하도록 지정할 수 있습니다SSL. AWS 서비스와 같은 특정 를 통해 서비스 작업을 사용하는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 AWS CloudFormation. 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하세요.
-
IAM Access Analyzer를 사용하여 IAM 정책을 검증하여 안전하고 기능적인 권한을 보장합니다. IAM Access Analyzer는 정책이 정책 언어(JSON) 및 IAM 모범 사례를 준수하도록 새 정책 및 기존 IAM 정책을 검증합니다. IAM Access Analyzer는 안전하고 기능적인 정책을 작성하는 데 도움이 되는 100개 이상의 정책 확인 및 실행 가능한 권장 사항을 제공합니다. 자세한 내용은 IAM 사용 설명서의 IAM Access Analyzer 정책 검증을 참조하세요.
-
다중 인증 필요(MFA) - 에 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 MFA 위해 를 AWS 계정켭니다. API 작업을 호출할 MFA 때 를 요구하려면 정책에 MFA 조건을 추가합니다. 자세한 내용은 IAM 사용 설명서의 MFA-보호된 API 액세스 구성을 참조하세요.
의 모범 사례에 대한 자세한 내용은 IAM 사용 설명서의 의 보안 모범 사례를 IAM IAM참조하세요.
Audit Manager를 활성화하는 데 필요한 최소 권한 허용
이 예제에서는 관리자 역할이 없는 계정이 AWS Audit Manager을 활성화하도록 허용하는 방법을 보여줍니다.
참고
여기서 제공하는 것은 Audit Manager를 활성화하는 데 필요한 최소 권한을 부여하는 기본 정책입니다. 다음 정책의 모든 권한이 필요합니다. 이 정책 중 일부를 생략하면 Audit Manager를 사용할 수 없습니다.
시간을 내어 특정 요구 사항에 맞게 권한을 사용자 지정하는 것이 좋습니다. 도움이 필요한 경우 관리자 또는 AWS 지원 부서에
Audit Manager를 활성화하는 데 필요한 최소 액세스 권한을 부여하려면 다음 권한을 사용하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }
AWS CLI 또는 에만 전화를 거는 사용자에 대해서는 최소 콘솔 권한을 허용할 필요가 없습니다 AWS API. 대신 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 허용합니다.
사용자에게 AWS Audit Manager에 대한 전체 관리자 액세스를 허용합니다.
다음 예제 정책은 관리자에게 에 대한 전체 액세스 권한을 부여합니다 AWS Audit Manager.
예 1(관리형 정책,AWSAuditManagerAdministratorAccess)
AWSAuditManagerAdministratorAccess 정책에는 Audit Manager를 활성화 및 비활성화하는 기능, Audit Manager 설정을 변경하는 기능, 평가, 프레임워크, 제어 및 평가 보고서와 같은 모든 Audit Manager 리소스를 관리하는 기능이 포함됩니다.
예 2(평가 보고서 대상 권한)
이 정책은 특정 S3 버킷에 액세스하고, 버킷에 파일을 추가하고 버킷에서 파일을 삭제할 수 있는 권한을 부여합니다. 이렇게 하면 지정된 버킷을 Audit Manager에서 평가 보고서 대상으로 사용할 수 있습니다.
를 교체합니다.placeholder text 자신의 정보를 사용합니다. 평가 보고서 대상으로 사용하는 S3 버킷과 평가 보고서를 암호화하는 데 사용하는 KMS 키를 포함합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
예 3(대상 권한 내보내기)
다음 정책은 CloudTrail 가 증거 찾기 쿼리 결과를 지정된 S3 버킷에 전달할 수 있도록 허용합니다. 보안 모범 사례로 IAM 글로벌 조건 키aws:SourceArn는 가 이벤트 데이터 스토어에 대해서만 S3 버킷에 CloudTrail 쓸 수 있도록 합니다.
를 교체합니다.placeholder text 다음과 같이 사용자 자신의 정보를 사용합니다.
-
Replace
amzn-s3-demo-destination-bucket내보내기 대상으로 사용하는 S3 버킷을 사용합니다. -
Replace
myQueryRunningRegion구성에 AWS 리전 적합한 를 사용합니다. -
Replace
myAccountID에 AWS 계정 사용되는 ID를 사용합니다 CloudTrail. S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다. 조직 이벤트 데이터 스토어인 경우 관리 계정에 AWS 계정 를 사용해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }
예 4(증거 찾기를 활성화할 수 있는 권한)
증거 찾기 기능을 활성화하고 사용하려면 다음 권한 정책이 필요합니다. 이 정책 문을 통해 Audit Manager는 CloudTrail Lake 이벤트 데이터 스토어를 생성하고 검색 쿼리를 실행할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }
예제 5(증거 찾기를 비활성화할 수 있는 권한)
이 예제 정책은 Audit Manager에서 증거 찾기 기능을 비활성화할 수 있는 권한을 부여합니다. 여기에는 기능을 처음 활성화했을 때 생성된 이벤트 데이터 저장소를 삭제하는 작업이 포함됩니다.
이 정책을 사용하기 전에 placeholder
text 자신의 정보를 사용합니다. 증거 찾기를 활성화할 때 생성된 이벤트 데이터 스토어UUID의 를 지정해야 합니다. Audit Manager 설정에서 이벤트 데이터 스토어ARN의 를 검색할 수 있습니다. 자세한 내용은 참조GetSettings의 섹션을 참조하세요. AWS Audit Manager API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }
AWS Audit Manager에 대한 사용자 관리 액세스 허용
이 예에서는 AWS Audit Manager에 대한 비관리자 관리 액세스를 허용하는 방법을 보여줍니다.
이 정책은 모든 Audit Manager 리소스(평가, 프레임워크 및 제어)를 관리할 수 있는 권한을 부여하지만 Audit Manager를 사용하거나 사용하지 않도록 설정하거나 Audit Manager 설정을 수정할 수 있는 권한은 부여하지 않습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }
에 대한 사용자 읽기 전용 액세스 허용 AWS Audit Manager
이 정책은 평가, 프레임워크 및 제어와 같은 AWS Audit Manager 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }
사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제에서는 IAM 사용자가 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 를 사용하여 프로그래밍 방식으로 이 작업을 완료할 수 있는 권한이 포함되어 있습니다 AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
AWS Audit Manager 가 Amazon SNS 주제로 알림을 보내도록 허용
이 예제의 정책은 기존 Amazon SNS 주제에 알림을 보낼 수 있는 Audit Manager 권한을 부여합니다.
다음 정책에서 권한을 가져오는 보안 주체는 Audit Manager 서비스 주체인 auditmanager.amazonaws.com입니다. 정책 문의 주체가 AWS 서비스 주체인 경우, 정책의 aws:SourceArn 또는 aws:SourceAccount 글로벌 조건 키를 사용하는 것이 좋습니다. 이러한 글로벌 조건 컨텍스트 키를 사용하면 대리인이 혼동되는 시나리오를 방지하는 데 도움이 될 수 있습니다.
예제 1(SNS주제 권한)
이 정책 문을 통해 Audit Manager는 지정된 SNS 주제에 이벤트를 게시할 수 있습니다. 지정된 SNS 주제에 게시하기 위한 모든 요청은 정책 조건을 충족해야 합니다.
이 정책을 사용하기 전에 placeholder
text 자신의 정보를 사용합니다. 다음에 유의하세요.
-
이 정책의
aws:SourceArn조건 키를 사용하는 경우 값은 알림이 전송되는 Audit Manager 리소스ARN의 값이어야 합니다. 아래 예시에서는aws:SourceArn가 리소스 ID에 와일드카드(*)를 사용합니다. 이렇게 하면 모든 Audit Manager 리소스에 대해 Audit Manager에서 오는 모든 요청이 허용됩니다.aws:SourceArn글로벌 조건 키를 사용하면StringLike또는ArnLike조건 연산자를 사용할 수 있습니다. 모범 사례로ArnLike를 사용하는 방법이 가장 좋습니다. -
aws:SourceAccount조건 키를 사용하는 경우StringEquals또는StringLike조건 연산자를 사용할 수 있습니다. 모범 사례로StringEquals를 사용하여 최소 권한을 구현하는 것이 가장 좋습니다. -
aws:SourceAccount와aws:SourceArn를 모두 사용하는 경우 계정 값에 동일한 계정 ID가 표시되어야 합니다.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }
다음 대체 예시에서는 StringLike 조건 연산자와 함께 aws:SourceArn 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }
다음 대체 예제에서는 StringLike 조건 연산자와 함께 aws:SourceAccount 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
예제 2(SNS주제에 연결된 KMS 키에 대한 권한)
이 정책 문을 통해 Audit Manager는 KMS 키를 사용하여 SNS 주제를 암호화하는 데 사용하는 데이터 키를 생성할 수 있습니다. 지정된 작업에 KMS 키를 사용하려면 모든 요청이 정책 조건을 충족해야 합니다.
이 정책을 사용하기 전에 placeholder
text 자신의 정보를 사용합니다. 다음에 유의하세요.
-
이 정책의
aws:SourceArn조건 키를 사용하는 경우 값은 암호화되는 리소스ARN의 여야 합니다. 예를 들어 이 경우 계정의 SNS 주제입니다. 값을 와일드카드 문자()를 사용하여 ARN 또는 ARN 패턴으로 설정합니다*.aws:SourceArn조건 키와 함께StringLike또는ArnLike조건 연산자를 사용할 수 있습니다. 모범 사례로ArnLike를 사용하는 것이 좋습니다. -
aws:SourceAccount조건 키를 사용하는 경우StringEquals또는StringLike조건 연산자를 사용할 수 있습니다. 모범 사례로StringEquals를 사용하여 최소 권한을 구현하는 것이 가장 좋습니다. SNS 주제ARN의 를 모르는aws:SourceAccount경우 를 사용할 수 있습니다. -
aws:SourceAccount와aws:SourceArn를 모두 사용하는 경우 계정 값에 동일한 계정 ID가 표시되어야 합니다.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }
다음 대체 예시에서는 StringLike 조건 연산자와 함께 aws:SourceArn 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }
다음 대체 예제에서는 StringLike 조건 연산자와 함께 aws:SourceAccount 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
사용자가 증거 찾기에서 검색 쿼리를 실행하도록 허용
다음 정책은 CloudTrail Lake 이벤트 데이터 스토어에서 쿼리를 수행할 수 있는 권한을 부여합니다. 이 권한 정책은 증거 찾기 기능을 사용하려는 경우 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }
