AWS CloudTrail 리소스 기반 정책 예제 - AWS CloudTrail
예: 보안 주체에 채널 액세스 제공예제: 외부 ID를 사용하여 혼동된 대리자 문제 방지

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudTrail 리소스 기반 정책 예제

CloudTrail 는 CloudTrail Lake 통합에 사용되는 CloudTrail 채널에 대한 리소스 기반 권한 정책을 지원합니다. CloudTrail Lake와의 통합 생성에 대한 자세한 내용은 섹션을 참조하세요외부 이벤트 소스와의 통합 생성 AWS.

정책에 필요한 정보는 통합 유형에 따라 결정됩니다.

  • 방향 통합의 경우 는 파트너의 를 포함하는 정책을 CloudTrail 요구 AWS 계정 IDs하고 파트너가 제공한 고유한 외부 ID를 입력해야 합니다. 는 CloudTrail 콘솔을 사용하여 통합을 생성할 때 리소스 정책에 파트너를 CloudTrail AWS 계정 IDs 자동으로 추가합니다. 정책에 필요한 AWS 계정 번호를 가져오는 방법을 알아보려면 파트너의 설명서를 참조하세요.

  • 솔루션 통합의 경우 하나 이상의 AWS 계정 ID를 보안 주체로 지정해야 하며, 선택적으로 외부 ID를 입력하여 혼동된 대리자를 방지할 수 있습니다.

다음은 리소스 기반 정책에 대한 요구 사항입니다.

  • 정책에 ARN 정의된 리소스는 정책이 연결된 채널ARN과 일치해야 합니다.

  • 정책에는 cloudtrail-data:PutAuditEvents의 한 가지 작업만 포함됩니다.

  • 정책에는 하나 이상의 정책 문이 포함됩니다. 정책은 최대 20개의 문을 보유할 수 있습니다.

  • 각 문에는 하나 이상의 보안 주체가 포함됩니다. 문에는 최대 50개의 보안 주체가 있을 수 있습니다.

정책이 리소스에 대한 소유자 액세스를 거부하지 않는 한 채널 소유자는 채널PutAuditEventsAPI에서 를 호출할 수 있습니다.

예: 보안 주체에 채널 액세스 제공

다음 예제에서는 ARNs arn:aws:iam::111122223333:root, arn:aws:iam::444455556666:root및 를 사용하여 보안 주체에게 ARN 를 사용하여 CloudTrail 채널PutAuditEventsAPI에서 를 호출arn:aws:iam::123456789012:root할 수 있는 권한을 부여합니다arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

예제: 외부 ID를 사용하여 혼동된 대리자 문제 방지

다음 예제에서는 외부 ID를 사용하여 혼동된 대리자 문제를 방지합니다. 혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다.

통합 파트너는 정책에서 사용할 외부 ID를 생성합니다. 그리고 통합 생성의 일부로 외부 ID를 제공합니다. 이 값은 암호 또는 계정 번호와 같은 어떤 고유한 문자열도 가능합니다.

이 예제에서는 ARNs arn:aws:iam::111122223333:root에 대한 호출에 정책에 정의된 외부 ID 값이 PutAuditEvents API 포함된 경우 arn:aws:iam::444455556666:root, 및 를 사용하여 CloudTrail 채널 리소스PutAuditEventsAPI에서 를 호출할 수 있는 권한을 보안 주체arn:aws:iam::123456789012:root에게 부여합니다.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
            "Condition":
            {
                "StringEquals":
                {
                    "cloudtrail:ExternalId": "uniquePartnerExternalID"
                }
            }
        }
    ]
}