Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake - AWS CloudTrail
Especificando um bucket existente para os resultados da consulta CloudTrail do LakeRecursos adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake

Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.

Para entregar os resultados da consulta do CloudTrail Lake em um bucket do S3, é CloudTrail necessário ter as permissões necessárias e não pode ser configurado como um bucket do Requester Pays.

CloudTrail adiciona os seguintes campos na política para você:

  • O permitido SIDs

  • O nome do bucket

  • O nome principal do serviço para CloudTrail

Como uma prática recomendada de segurança, adicione uma aws:SourceArn chave de condição para a política de bucket do Amazon S3. A chave de condição IAM global aws:SourceArn ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para o armazenamento de dados do evento.

A política a seguir permite CloudTrail entregar os resultados da consulta ao bucket a partir do Supported Regiões da AWS. Substituir amzn-s3-demo-bucket, myAccountID e myQueryRunningRegion com os valores apropriados para sua configuração. A ferramenta myAccountID é o ID da AWS conta usado para CloudTrail, que pode não ser o mesmo que o ID da AWS conta do bucket do S3.

nota

Se sua política de bucket incluir uma declaração para uma KMS chave, recomendamos usar uma KMS chave totalmente qualificadaARN. Se você usar um alias de KMS chave em vez disso, AWS KMS resolverá a chave na conta do solicitante. Esse comportamento pode resultar em dados criptografados com uma KMS chave que pertence ao solicitante e não ao proprietário do bucket.

Se for um armazenamento de dados de eventos da organização, o armazenamento de dados de eventos ARN deverá incluir o AWS ID da conta de gerenciamento. Essa abordagem ocorre porque a conta de gerenciamento mantém a propriedade de todos os recursos da organização.

Política de bucket do S3

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

Especificando um bucket existente para os resultados da consulta CloudTrail do Lake

Se você especificou um bucket do S3 existente como o local de armazenamento para a entrega dos resultados da consulta do CloudTrail Lake, deverá anexar uma política CloudTrail ao bucket que permita entregar os resultados da consulta ao bucket.

nota

Como prática recomendada, use um bucket S3 dedicado para os resultados da consulta CloudTrail do Lake.

Para adicionar a CloudTrail política necessária a um bucket do Amazon S3

  1. Abra o console do Amazon S3 em. https://console.aws.amazon.com/s3/

  2. Escolha o bucket em que você deseja CloudTrail entregar os resultados da consulta do Lake e, em seguida, escolha Permissões.

  3. Selecione a opção Editar.

  4. Copie a S3 bucket policy for query results na janela Bucket Policy Editor. Substitua os espaços reservados em itálico pelos nomes de seu bucket, região e ID da conta.

    nota

    Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções para CloudTrail acessar essa política ou políticas. Avalie o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessam o bucket.

Recursos adicionais

Para obter mais informações sobre buckets e políticas do S3, consulte Uso de políticas de bucket no Guia do usuário do Amazon Simple Storage Service.