CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策 - AWS CloudTrail
為 CloudTrail Lake 查詢結果指定現有值區其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策

根據預設,所有 Amazon S3 儲存貯體和物件皆為私有。只有資源擁有者 (建立儲存貯體的 AWS 帳戶),可存取儲存貯體及其包含的物件。資源擁有者可藉由編寫存取政策,將存取許可授予其他資源和使用者。

若要將 CloudTrail Lake 查詢結果傳遞至 S3 儲存貯體, CloudTrail 必須具有必要的許可,且無法將其設定為要求者付費儲存貯體。

CloudTrail 在政策中為您新增下列欄位:

  • 允許的 SIDs

  • 儲存貯體名稱

  • 下列項目的服務主要名稱 CloudTrail

安全最佳實務是將 aws:SourceArn 條件金鑰新增至 Amazon S3 儲存貯體政策。IAM全域條件金鑰aws:SourceArn有助於確保僅針對事件資料存放區 CloudTrail 寫入 S3 儲存貯體。

下列政策允許 CloudTrail 將查詢結果從支援的值區傳送至值區 AWS 區域。Replace (取代) amzn-s3-demo-bucket, myAccountIDmyQueryRunningRegion 為您的配置提供適當的值。所以此 myAccountID 是用於的 AWS 帳戶 ID CloudTrail,可能與 S3 儲存貯體的 AWS 帳戶 ID 不同。

注意

如果您的儲存貯體政策包含KMS金鑰的陳述式,建議您使用完整KMS金鑰ARN。如果您改用KMS索引鍵別名,請 AWS KMS 解析要求者帳戶中的金鑰。這種行為可能會導致使用屬於請求者的KMS金鑰 (而非值區擁有者) 加密的資料。

如果這是組織事件資料存放區,則事件資料存放區ARN必須包含管理 AWS 帳戶的帳戶 ID。這是因為管理帳戶會維護所有組織資源的擁有權。

S3 儲存貯體政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "aws:sourceAccount": "myAccountID",
                    "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
}

為 CloudTrail Lake 查詢結果指定現有值區

如果您指定現有的 S3 儲存貯體做為 CloudTrail Lake 查詢結果交付的儲存位置,則必須將政策附加到允許將查詢結果傳送 CloudTrail 到儲存貯體的儲存貯體。

注意

最佳做法是針對 CloudTrail Lake 查詢結果使用專用 S3 儲存貯體。

若要將必要的 CloudTrail 政策新增至 Amazon S3 儲存貯體

  1. 在開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/

  2. 選擇您要 CloudTrail 傳送 Lake 查詢結果的值區,然後選擇 [權限]。

  3. 選擇編輯

  4. S3 bucket policy for query results 複製到 Bucket Policy Editor (儲存貯體政策編輯器) 視窗。將斜體預留位置取代成您儲存貯體的名稱、區域和帳戶 ID。

    注意

    如果現有值區已附加一或多個政策,請新增陳述式以 CloudTrail 存取該政策或政策。請評估所產生的一組許可,以確保它們適用於存取儲存貯體的使用者。

其他資源

如需 S3 儲存貯體和政策的詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的使用儲存貯體政策