CloudTrail 레이크 쿼리 결과에 대한 Amazon S3 버킷 정책 - AWS CloudTrail
CloudTrail Lake 쿼리 결과를 위한 기존 버킷 지정추가 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 레이크 쿼리 결과에 대한 Amazon S3 버킷 정책

기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 리소스 소유자(버킷을 생성한 AWS 계정)만 버킷과 버킷에 포함된 객체에 액세스할 수 있습니다. 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.

CloudTrail Lake 쿼리 결과를 S3 버킷으로 전송하려면 필요한 권한이 CloudTrail 있어야 하며 요청자 지불 버킷으로 구성할 수 없습니다.

CloudTrail 정책에 다음 필드를 자동으로 추가합니다.

  • 허용된 SIDs

  • 버킷 이름

  • 의 서비스 사용자 이름 CloudTrail

보안 모범 사례로 aws:SourceArn 조건 키를 Amazon S3 버킷 정책에 추가합니다. IAM글로벌 조건 키는 이벤트 데이터 스토어에 대해서만 S3 버킷에 CloudTrail 쓰도록 하는 aws:SourceArn 데 도움이 됩니다.

다음 정책은 지원되는 CloudTrail 버킷에 쿼리 결과를 전달할 수 있도록 허용합니다 AWS 리전. Replace amzn-s3-demo-bucket, myAccountID, 및 myQueryRunningRegion 구성에 적합한 값을 사용하십시오. The myAccountID 사용되는 AWS 계정 ID이며 CloudTrail, S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다.

참고

버킷 정책에 KMS 키에 대한 설명이 포함된 경우 정규화된 KMS 키를 사용하는 것이 좋습니다ARN. 대신 KMS 키 별칭을 사용하는 경우 요청자 계정 내에서 키를 AWS KMS 확인합니다. 이 동작으로 인해 데이터가 버킷 소유자가 아닌 요청자의 KMS 키로 암호화될 수 있습니다.

조직 이벤트 데이터 저장소인 경우 이벤트 데이터 저장소에는 관리 AWS 계정의 계정 ID가 ARN 포함되어야 합니다. 이는 관리 계정이 모든 조직 리소스의 소유권을 유지하기 때문입니다.

S3 버킷 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

CloudTrail Lake 쿼리 결과를 위한 기존 버킷 지정

CloudTrail Lake 쿼리 결과 전송을 위한 스토리지 위치로 기존 S3 버킷을 지정한 경우 쿼리 결과를 버킷에 전송할 수 CloudTrail 있는 정책을 버킷에 연결해야 합니다.

참고

CloudTrail Lake 쿼리 결과에는 전용 S3 버킷을 사용하는 것이 가장 좋습니다.

Amazon S3 버킷에 필수 CloudTrail 정책을 추가하려면

  1. 에서 Amazon S3 콘솔을 엽니다 https://console.aws.amazon.com/s3/.

  2. Lake 쿼리 결과를 CloudTrail 전송할 버킷을 선택한 다음 Permissions를 선택합니다.

  3. 편집을 선택합니다.

  4. S3 bucket policy for query results를 [Bucket Policy Editor] 창으로 복사합니다. 기울임꼴로 표시된 자리 표시자를 버킷 이름, 리전, 계정 ID로 바꿉니다.

    참고

    기존 버킷에 이미 하나 이상의 정책이 첨부되어 있는 경우 해당 정책 또는 정책에 CloudTrail 액세스할 수 있는 설명을 추가하십시오. 발생한 권한 집합을 평가해 버킷에 액세스하는 사용자에게 적절한지 확인합니다.

추가 리소스

S3 버킷 및 정책에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서버킷 정책 사용을 참조하십시오.