As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como configurar seu destino de exportação padrão para o localizador de evidências
Ao executar consultas no localizador de evidências, você pode exportar os resultados da pesquisa para um arquivo de valores separados por vírgula (CSV). Use essa configuração para escolher o bucket padrão do S3 onde o Audit Manager salvará seus arquivos exportados.
Pré-requisitos
Seu bucket do S3 deve ter a política de permissões exigida para permitir que o CloudTrail grave os arquivos de exportação nele. Mais especificamente, a política do bucket deve incluir uma ação s3:PutObject
e o ARN do bucket, além de listar o CloudTrail como entidade principal do serviço.
-
Consulte Exemplo 3 (permissões de destino de exportação) para ver um exemplo de política de permissão que você pode usar.
-
Para obter instruções para anexar essa política ao seu bucket do S3, consulte Adicionando uma política de bucket usando o console do Amazon S3.
-
Para obter mais dicas, consulte dicas de configuração para seu destino de exportação nesta página.
Dicas de configuração para seu destino de exportação
Para garantir uma exportação de arquivo bem-sucedida, recomendamos que você verifique as seguintes configurações para seu destino de exportação:
- Região da AWS
-
A Região da AWS da sua chave gerenciada pelo cliente (caso tenha fornecido uma) deve corresponder a Região de sua avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte Configurações de criptografia de dados Audit Manager.
- Buckets do S3 entre contas
O uso de um bucket do S3 entre contas como destino de exportação não é suportado no console do Audit Manager. É possível especificar um bucket entre contas usando o AWS CLI ou um dos SDKs AWS; para simplificar, recomendamos que não faça isso. Se você optar por usar um bucket do S3 entre contas como destino de exportação, considere os seguintes pontos.
-
Por padrão, objetos S3, como exportações CSV, são de propriedade da Conta da AWS que carrega o objeto. Você pode usar a configuração Propriedade de Objeto S3 para alterar esse comportamento padrão, o que permite que novos objetos gravados por contas com a lista de controle de acesso (ACL) padrão
bucket-owner-full-control
tornem-se automaticamente propriedade do proprietário do bucket.Embora não seja obrigatório, recomendamos que você faça as seguintes alterações nas configurações entre contas do bucket. Fazer essas alterações garante que o proprietário do bucket terá controle total dos arquivos exportados publicados por você no bucket dele.
-
Configure a propriedade do objeto do bucket do S3 como preferencial do proprietário do bucket, em vez do gravador de objeto padrão
-
Adicione uma política de bucket para garantir que os objetos carregados para esse bucket tenham a ACL
bucket-owner-full-control
-
-
Para permitir que o Audit Manager exporte arquivos para um bucket do S3 entre contas, você deve adicionar a seguinte política de bucket do S3 ao seu destino de exportação do bucket. Substitua o
espaço reservado de texto
por suas próprias informações. O elementoPrincipal
dessa política é o usuário ou a função que possui a avaliação e exporta o arquivo.Resource
Especifica o bucket do S3 entre contas para onde o arquivo é exportado.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account file exports", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
AssessmentOwnerAccountId
:user/AssessmentOwnerUserName
" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET
", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*
" ] } ] }
-
Procedimento
Você pode atualizar essa configuração usando o console Audit Manager, o AWS Command Line Interface (AWS CLI), ou API Audit Manager.