本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策
根據預設,所有 Amazon S3 儲存貯體和物件皆為私有。只有資源擁有者 (建立儲存貯體的 AWS 帳戶),可存取儲存貯體及其包含的物件。資源擁有者可藉由編寫存取政策,將存取許可授予其他資源和使用者。
若要將 CloudTrail Lake 查詢結果傳遞至 S3 儲存貯體, CloudTrail 必須具有必要的許可,且無法將其設定為要求者付費儲存貯體。
CloudTrail 在政策中為您新增下列欄位:
-
允許的 SIDs
-
儲存貯體名稱
-
下列項目的服務主要名稱 CloudTrail
安全最佳實務是將 aws:SourceArn
條件金鑰新增至 Amazon S3 儲存貯體政策。IAM全域條件金鑰aws:SourceArn
有助於確保僅針對事件資料存放區 CloudTrail 寫入 S3 儲存貯體。
下列政策允許 CloudTrail 將查詢結果從支援的值區傳送至值區 AWS 區域。Replace (取代) amzn-s3-demo-bucket
,
myAccountID
和 myQueryRunningRegion
為您的配置提供適當的值。所以此 myAccountID
是用於的 AWS 帳戶 ID CloudTrail,可能與 S3 儲存貯體的 AWS 帳戶 ID 不同。
注意
如果您的儲存貯體政策包含KMS金鑰的陳述式,建議您使用完整KMS金鑰ARN。如果您改用KMS索引鍵別名,請 AWS KMS 解析要求者帳戶中的金鑰。這種行為可能會導致使用屬於請求者的KMS金鑰 (而非值區擁有者) 加密的資料。
如果這是組織事件資料存放區,則事件資料存放區ARN必須包含管理 AWS 帳戶的帳戶 ID。這是因為管理帳戶會維護所有組織資源的擁有權。
S3 儲存貯體政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailLake1", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ], "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID
", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion
:myAccountID
:eventdatastore/*" } } }, { "Sid": "AWSCloudTrailLake2", "Effect": "Allow", "Principal": {"Service":"cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
", "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID
", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion
:myAccountID
:eventdatastore/*" } } } ] }
為 CloudTrail Lake 查詢結果指定現有值區
如果您指定現有的 S3 儲存貯體做為 CloudTrail Lake 查詢結果交付的儲存位置,則必須將政策附加到允許將查詢結果傳送 CloudTrail 到儲存貯體的儲存貯體。
注意
最佳做法是針對 CloudTrail Lake 查詢結果使用專用 S3 儲存貯體。
若要將必要的 CloudTrail 政策新增至 Amazon S3 儲存貯體
在開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/
。 -
選擇您要 CloudTrail 傳送 Lake 查詢結果的值區,然後選擇 [權限]。
-
選擇編輯。
-
將 S3 bucket policy for query results 複製到 Bucket Policy Editor (儲存貯體政策編輯器) 視窗。將斜體預留位置取代成您儲存貯體的名稱、區域和帳戶 ID。
注意
如果現有值區已附加一或多個政策,請新增陳述式以 CloudTrail 存取該政策或政策。請評估所產生的一組許可,以確保它們適用於存取儲存貯體的使用者。
其他資源
如需 S3 儲存貯體和政策的詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的使用儲存貯體政策。