适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略 - AWS CloudTrail
为 La CloudTrail ke 查询结果指定现有存储桶其他 资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略

默认情况下,Simple Storage Service(Amazon S3)存储桶和对象都是私有的。仅资源所有者(创建存储桶的 AWS 账户)能够访问存储桶及其包含的对象。资源所有者可以通过编写访问策略来向其他资源和用户授予访问权。

要将 CloudTrail Lake 查询结果传送到 S3 存储桶, CloudTrail 必须具有所需的权限,并且不能将其配置为申请方付款存储桶。

CloudTrail 为您在策略中添加以下字段:

  • 允许的 SIDs

  • 存储桶名称

  • 的服务主体名称 CloudTrail

作为安全最佳实践,请将 aws:SourceArn 条件密钥添加到 Simple Storage Service(Amazon S3)存储桶策略。IAM全局条件密钥aws:SourceArn有助于确保仅针对事件数据存储 CloudTrail 写入 S3 存储桶。

以下策略 CloudTrail 允许将查询结果从支持的存储桶传送到存储桶 AWS 区域。Replace(替换) amzn-s3-demo-bucket, myAccountID,以及 myQueryRunningRegion 使用适合您的配置的值。这些区域有:myAccountID 是用于的 AWS 账户 ID CloudTrail,可能与 S3 存储桶的 AWS 账户 ID 不同。

注意

如果您的存储桶策略包含KMS密钥声明,我们建议您使用完全限定的KMS密钥ARN。如果您改用KMS密钥别名,则会在请求者的账户中 AWS KMS 解析密钥。这种行为可能导致数据使用属于请求者而不是存储桶所有者的KMS密钥进行加密。

如果这是组织事件数据存储,则事件数据存储ARN必须包含管理 AWS 账户的账户 ID。这是因为管理账户保留对所有组织资源的所有权。

S3 存储桶策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

为 La CloudTrail ke 查询结果指定现有存储桶

如果您将现有 S3 存储桶指定为 CloudTrail Lake 查询结果交付的存储位置,则必须向该存储桶附加允许将查询结果传送 CloudTrail 到该存储桶的策略。

注意

作为最佳实践,请使用专用 S3 存储桶获取 CloudTrail Lake 查询结果。

向 Amazon S3 存储桶添加所需的 CloudTrail 策略

  1. 打开 Amazon S3 控制台,网址为https://console.aws.amazon.com/s3/

  2. 选择 CloudTrail 要在其中传送 Lake 查询结果的存储桶,然后选择权限

  3. 选择编辑

  4. S3 bucket policy for query results 复制到 Bucket Policy Editor 窗口。将斜体占位符替换为您的存储桶、区域和账户 ID 的名称。

    注意

    如果现有存储桶已附加了一个或多个策略,请添加用于 CloudTrail 访问该策略的声明。评估生成的权限集,以确保其适用于访问存储桶的用户。

其他 资源

有关 S3 存储桶和策略的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用存储桶策略