AWS CloudTrail 資源型政策範例 - AWS CloudTrail
範例:提供通道存取權給主體範例:使用外部 ID 預防混淆代理人

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudTrail 資源型政策範例

CloudTrail 支援用於 CloudTrail Lake 整合之 CloudTrail 頻道的資源型許可政策。如需建立與 CloudTrail Lake 整合的詳細資訊,請參閱 建立與事件來源以外的整合 AWS

政策所需的資訊取決於整合類型。

  • 對於方向整合, CloudTrail 需要政策以包含合作夥伴的 AWS 帳戶 IDs,並要求您輸入由 partner. CloudTrail automatic 提供的唯一外部 ID。當您使用 CloudTrail 主控台建立整合時, 會自動將合作夥伴 AWS 帳戶 IDs新增至資源政策。請參閱合作夥伴的文件,了解如何取得政策所需的 AWS 帳戶 號碼。

  • 對於解決方案整合,您必須指定至少一個 AWS 帳戶 ID 作為主體,並且可以選擇輸入外部 ID 以防止混淆代理。

資源型政策的需求如下:

  • 政策中ARN定義的資源必須符合ARN政策連接的頻道。

  • 政策僅包含一個動作:cloudtrail-data:PutAuditEvents

  • 政策至少包含一個陳述式。政策最多可以有 20 個陳述式。

  • 每個陳述式至少包含一個主體。陳述式最多可以有 50 個主體。

除非政策拒絕擁有者存取資源,否則頻道擁有者可以呼叫頻道PutAuditEventsAPI上的 。

範例:提供通道存取權給主體

下列範例會授予許可給具有 ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root和 的主體arn:aws:iam::123456789012:root,以使用 呼叫 CloudTrail 頻道PutAuditEventsAPI上的 ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
        }
    ]
}

範例:使用外部 ID 預防混淆代理人

下列範例使用外部 ID 來處理和預防混淆代理人。混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。

整合合作夥伴建立要在政策中使用的外部 ID。然後,在建立整合的過程中向您提供該外部 ID。該值可為任何唯一字串,例如密碼短語或帳戶號碼。

如果對 PutAuditEventsAPI的呼叫PutAuditEventsAPI包含政策中定義的外部 ID 值arn:aws:iam::444455556666:root,範例會授予許可給具有 ARNs arn:aws:iam::111122223333:root、 和 的主體arn:aws:iam::123456789012:root,以呼叫 CloudTrail 頻道資源上的 。

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
            "Condition":
            {
                "StringEquals":
                {
                    "cloudtrail:ExternalId": "uniquePartnerExternalID"
                }
            }
        }
    ]
}