Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS CloudTrail ejemplos de políticas basadas en recursos
En esta sección se proporcionan ejemplos de políticas basadas en recursos para los paneles de control, los almacenes de datos de eventos y los canales de CloudTrail Lake.
CloudTrail admite los siguientes tipos de políticas basadas en recursos:
-
Políticas basadas en recursos sobre los canales utilizados para las integraciones de CloudTrail Lake con fuentes de eventos externas a ellas. AWS La política basada en recursos del canal define qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden llamar a
PutAuditEventsen el canal para enviar eventos al almacén de datos de eventos de destino. Para obtener más información sobre la creación de integraciones con CloudTrail Lake, consulte. Creación de una integración con un origen de eventos externo a AWS -
Políticas basadas en recursos para controlar qué directores pueden realizar acciones en su almacén de datos de eventos. Puede utilizar políticas basadas en recursos para proporcionar acceso multicuenta a los almacenes de datos de sus eventos.
-
Políticas basadas en recursos en los paneles CloudTrail para permitir actualizar un panel de CloudTrail Lake en el intervalo que defina al establecer un programa de actualización para un panel. Para obtener más información, consulte Establezca un programa de actualización para un panel personalizado con la CloudTrail consola.
Ejemplos:
Ejemplos de políticas de canales basadas en recursos
La política basada en recursos del canal define qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden llamar a PutAuditEvents en el canal para enviar eventos al almacén de datos de eventos de destino.
La información necesaria para la política está determinada por el tipo de integración.
-
Para una integración direccional, es CloudTrail necesario que la política contenga el del Cuenta de AWS IDs socio y que introduzcas el identificador externo único proporcionado por el socio. CloudTrail añade automáticamente el del socio Cuenta de AWS IDs a la política de recursos al crear una integración mediante la CloudTrail consola. Consulte la documentación del socio para obtener información sobre cómo obtener los Cuenta de AWS números necesarios para la política.
-
Para la integración de una solución, debe especificar al menos un Cuenta de AWS identificador como principal y, si lo desea, puede introducir un identificador externo para evitar que el diputado se confunda.
Estos son los requisitos de la política basada en recursos:
-
La política contiene como mínimo una instrucción. La política puede tener como máximo 20 instrucciones.
-
Cada instrucción contiene como mínimo una entidad principal. Un principal es una cuenta, un usuario, un rol o un usuario federado. Una instrucción puede tener como máximo 50 entidades principales.
-
El recurso ARN definido en la política debe coincidir con el canal ARN al que está asociada la política.
-
La política contiene solo una acción:
cloudtrail-data:PutAuditEvents
El propietario del canal puede llamar al PutAuditEvents API canal a menos que la política deniegue al propietario el acceso al recurso.
Temas
Ejemplo: proporcionar acceso al canal a las entidades principales.
En el siguiente ejemplo, se conceden permisos a los directores con la ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root, y arn:aws:iam::123456789012:root para llamar a PutAuditEventsAPIlos del CloudTrail canal con la ARNarn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
Ejemplo: usar un ID externo para evitar un suplente confuso.
En el siguiente ejemplo se utiliza un ID externo para direccionar y evitar que haya un suplente confuso. El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.
El socio de integración crea el ID externo para usarlo en la política. A continuación, se proporciona el ID externo como parte de la creación de la integración. Este valor puede ser cualquier cadena única, como, por ejemplo, una frase de contraseña o un número de cuenta.
En el ejemplo, se conceden permisos a los principales con el ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root, y arn:aws:iam::123456789012:root para llamar al PutAuditEventsAPIrecurso del CloudTrail canal si la llamada PutAuditEvents API incluye el valor de identificador externo definido en la política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
Ejemplos de políticas basadas en recursos para almacenes de datos de eventos
Las políticas basadas en recursos le permiten controlar qué directores pueden realizar acciones en su almacén de datos de eventos.
Puedes usar políticas basadas en recursos para proporcionar acceso entre cuentas y permitir a los directores seleccionados consultar el banco de datos del evento, enumerar y cancelar consultas y ver los resultados de las consultas.
En el caso del panel de control de CloudTrail Lake, se utilizan políticas basadas en recursos para poder realizar CloudTrail consultas en los almacenes de datos de tus eventos a fin de rellenar los datos de los widgets del panel cuando se actualiza el panel. CloudTrail Lake te da la opción de adjuntar una política predeterminada basada en recursos a los almacenes de datos de tus eventos al crear un panel personalizado o al habilitar el panel de aspectos destacados en la consola. CloudTrail
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
-
cloudtrail:StartQuery -
cloudtrail:CancelQuery -
cloudtrail:ListQueries -
cloudtrail:DescribeQuery -
cloudtrail:GetQueryResults -
cloudtrail:GenerateQuery -
cloudtrail:GenerateQueryResultsSummary -
cloudtrail:GetEventDataStore
Al crear o actualizar un banco de datos de eventos, o al administrar paneles en la CloudTrail consola, tiene la opción de añadir una política basada en recursos a su banco de datos de eventos. También puedes ejecutar el put-resource-policycomando para adjuntar una política basada en recursos a un banco de datos de eventos.
Una política basada en recursos consta de una o más declaraciones. Por ejemplo, puede incluir una declaración que permita CloudTrail consultar el banco de datos de eventos para un panel y otra que permita el acceso entre cuentas para consultar el banco de datos de eventos. Puede actualizar la política basada en recursos de un banco de datos de eventos existente desde la página de detalles del banco de datos de eventos de la consola. CloudTrail
Para los almacenes de datos de eventos de la organización, CloudTrail crea una política predeterminada basada en los recursos que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se derivan de los permisos de administrador delegados en. AWS Organizations Esta política se actualiza automáticamente cuando se producen cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o se elimina una cuenta de administrador CloudTrail delegado).
Ejemplos:
Ejemplo: CloudTrail permitir la ejecución de consultas para actualizar un panel
Para rellenar los datos de un panel de CloudTrail Lake durante una actualización, debes permitir que se CloudTrail ejecuten consultas en tu nombre. Para ello, adjunta una política basada en recursos a cada banco de datos de eventos asociado a un widget de panel que incluya una declaración que permita CloudTrail realizar la StartQuery operación de rellenar los datos del widget.
Los requisitos de la declaración son los siguientes:
-
El único
Principalescloudtrail.amazonaws.com. -
Lo único
Actionpermitido escloudtrail:StartQuery. -
ConditionSolo incluye los paneles ARN y el Cuenta de AWS ID. ParaAWS:SourceArnello, puede proporcionar una variedad de panelesARNs.
El siguiente ejemplo de política incluye una declaración que CloudTrail permite ejecutar consultas en un banco de datos de eventos para dos paneles personalizados denominados example-dashboard1 example-dashboard2 y para el panel Highlights denominado así AWSCloudTrail-Highlights por la cuenta123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "cloudtrail:StartQuery" ], "Condition": { "StringLike": { "AWS:SourceArn": [ "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1", "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2", "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights" ], "AWS:SourceAccount": "123456789012" } } } ] }
Ejemplo: permitir que otras cuentas consulten un banco de datos de eventos y vean los resultados de la consulta
Puede usar políticas basadas en recursos para proporcionar acceso multicuenta a sus almacenes de datos de eventos y permitir que otras cuentas realicen consultas en sus almacenes de datos de eventos.
El siguiente ejemplo de política incluye una declaración que permite a los usuarios raíz acceder a las cuentas 111122223333 777777777777999999999999, y ejecutar consultas y 111111111111 obtener los resultados de las consultas en el almacén de datos del evento propiedad del ID de la cuenta. 555555555555
{ "Version": "2012-10-17", "Statement": [ { "Sid": "policy1", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::777777777777:root", "arn:aws:iam::999999999999:root", "arn:aws:iam::111111111111:root" ] }, "Action": [ "cloudtrail:StartQuery", "cloudtrail:GetEventDataStore", "cloudtrail:GetQueryResults" ], "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf" } ] }
Ejemplo de política basada en recursos para un panel
Puede establecer un programa de actualización para un panel de CloudTrail Lake, que le permitirá CloudTrail actualizar el panel en su nombre en el intervalo que defina al establecer el programa de actualización. Para ello, debe adjuntar una política basada en recursos al panel de control que le permita CloudTrail realizar la StartDashboardRefresh operación en su panel de control.
Estos son los requisitos de la política basada en recursos:
-
La única es
Principal.cloudtrail.amazonaws.com -
Lo único
Actionpermitido en la póliza escloudtrail:StartDashboardRefresh. -
ConditionSolo incluye el panel de control ARN y el Cuenta de AWS ID.
El siguiente ejemplo de política permite CloudTrail actualizar un panel con el nombre exampleDash de la cuenta123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "cloudtrail:StartDashboardRefresh" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash", "AWS:SourceAccount":"123456789012" } } } ] }
