Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS CloudTrail contoh kebijakan berbasis sumber daya
Bagian ini memberikan contoh kebijakan berbasis sumber daya untuk dasbor CloudTrail Danau, penyimpanan data acara, dan saluran.
CloudTrail mendukung jenis kebijakan berbasis sumber daya berikut:
-
Kebijakan berbasis sumber daya pada saluran yang digunakan untuk integrasi CloudTrail Lake dengan sumber acara di luar. AWS Kebijakan berbasis sumber daya untuk saluran menentukan entitas utama mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat dipanggil
PutAuditEventsdi saluran untuk mengirimkan peristiwa ke penyimpanan data peristiwa tujuan. Untuk informasi lebih lanjut tentang membuat integrasi dengan CloudTrail Lake, lihatBuat integrasi dengan sumber acara di luar AWS. -
Kebijakan berbasis sumber daya untuk mengontrol prinsipal mana yang dapat melakukan tindakan pada penyimpanan data acara Anda. Anda dapat menggunakan kebijakan berbasis sumber daya untuk menyediakan akses lintas akun ke penyimpanan data acara Anda.
-
Kebijakan berbasis sumber daya pada dasbor CloudTrail untuk memungkinkan menyegarkan dasbor CloudTrail Lake pada interval yang Anda tentukan saat Anda menetapkan jadwal penyegaran untuk dasbor. Untuk informasi selengkapnya, lihat Tetapkan jadwal penyegaran untuk dasbor khusus dengan CloudTrail konsol.
Contoh:
Contoh kebijakan berbasis sumber daya untuk saluran
Kebijakan berbasis sumber daya untuk saluran menentukan entitas utama mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat dipanggil PutAuditEvents di saluran untuk mengirimkan peristiwa ke penyimpanan data peristiwa tujuan.
Informasi yang diperlukan untuk kebijakan ditentukan oleh jenis integrasi.
-
Untuk integrasi arah, CloudTrail mewajibkan kebijakan berisi milik mitra Akun AWS IDs, dan mengharuskan Anda memasukkan ID eksternal unik yang disediakan oleh mitra. CloudTrail secara otomatis menambahkan mitra Akun AWS IDs ke kebijakan sumber daya saat Anda membuat integrasi menggunakan CloudTrail konsol. Lihat dokumentasi mitra untuk mempelajari cara mendapatkan Akun AWS nomor yang diperlukan untuk kebijakan tersebut.
-
Untuk integrasi solusi, Anda harus menentukan setidaknya satu Akun AWS ID sebagai prinsipal, dan secara opsional dapat memasukkan ID eksternal untuk mencegah wakil yang bingung.
Berikut ini adalah persyaratan untuk kebijakan berbasis sumber daya:
-
Kebijakan tersebut berisi setidaknya satu pernyataan. Kebijakan tersebut dapat memiliki maksimal 20 pernyataan.
-
Setiap pernyataan berisi setidaknya satu prinsipal. Prinsipal adalah akun, pengguna, peran, atau pengguna federasi. Sebuah pernyataan dapat memiliki maksimal 50 kepala sekolah.
-
Sumber daya ARN yang ditentukan dalam kebijakan harus sesuai dengan ARN saluran yang dilampirkan kebijakan.
-
Kebijakan ini hanya berisi satu tindakan:
cloudtrail-data:PutAuditEvents
Pemilik saluran dapat menelepon PutAuditEvents API di saluran kecuali kebijakan menolak akses pemilik ke sumber daya.
Topik
Contoh: Menyediakan akses saluran ke kepala sekolah
Contoh berikut memberikan izin kepada prinsipal dengan ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, dan arn:aws:iam::123456789012:root untuk memanggil PutAuditEventsAPIpada saluran dengan. CloudTrail ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
Contoh: Menggunakan ID eksternal untuk mencegah wakil yang bingung
Contoh berikut menggunakan ID eksternal untuk mengatasi dan mencegah terhadap wakil bingung. Masalah "confused deputy" adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang memilik hak akses lebih tinggi untuk melakukan tindakan tersebut.
Mitra integrasi membuat ID eksternal untuk digunakan dalam kebijakan. Kemudian, ia memberikan ID eksternal kepada Anda sebagai bagian dari pembuatan integrasi. Nilai dapat berupa string unik, seperti frasa sandi atau nomor akun.
Contoh memberikan izin kepada prinsipal dengan ARNsarn:aws:iam::111122223333:root,arn:aws:iam::444455556666:root, dan memanggil sumber daya CloudTrail saluran jika panggilan arn:aws:iam::123456789012:root ke PutAuditEvents API menyertakan nilai ID eksternal yang ditentukan dalam kebijakan. PutAuditEventsAPI
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
Contoh kebijakan berbasis sumber daya untuk penyimpanan data acara
Kebijakan berbasis sumber daya memungkinkan Anda mengontrol prinsipal mana yang dapat melakukan tindakan pada penyimpanan data acara Anda.
Anda dapat menggunakan kebijakan berbasis sumber daya untuk menyediakan akses lintas akun untuk mengizinkan prinsipal yang dipilih menanyakan penyimpanan data acara, mencantumkan dan membatalkan kueri, serta melihat hasil kueri.
Untuk dasbor CloudTrail Lake, kebijakan berbasis sumber daya digunakan CloudTrail untuk memungkinkan menjalankan kueri di penyimpanan data acara Anda untuk mengisi data untuk widget dasbor saat dasbor disegarkan. CloudTrail Lake memberi Anda opsi untuk melampirkan kebijakan berbasis sumber daya default ke penyimpanan data acara Anda saat Anda membuat dasbor khusus atau mengaktifkan dasbor Sorotan di konsol. CloudTrail
Tindakan berikut didukung dalam kebijakan berbasis sumber daya untuk penyimpanan data peristiwa:
-
cloudtrail:StartQuery -
cloudtrail:CancelQuery -
cloudtrail:ListQueries -
cloudtrail:DescribeQuery -
cloudtrail:GetQueryResults -
cloudtrail:GenerateQuery -
cloudtrail:GenerateQueryResultsSummary -
cloudtrail:GetEventDataStore
Saat membuat atau memperbarui penyimpanan data peristiwa, atau mengelola dasbor di CloudTrail konsol, Anda diberi opsi untuk menambahkan kebijakan berbasis sumber daya ke penyimpanan data acara. Anda juga dapat menjalankan put-resource-policyperintah untuk melampirkan kebijakan berbasis sumber daya ke penyimpanan data peristiwa.
Kebijakan berbasis sumber daya terdiri dari satu atau lebih pernyataan. Misalnya, dapat mencakup satu pernyataan yang memungkinkan CloudTrail untuk menanyakan penyimpanan data peristiwa untuk dasbor dan pernyataan lain yang memungkinkan akses lintas akun untuk menanyakan penyimpanan data peristiwa. Anda dapat memperbarui kebijakan berbasis sumber daya penyimpanan data peristiwa yang ada dari halaman detail penyimpanan data peristiwa di konsol. CloudTrail
Untuk penyimpanan data peristiwa organisasi, CloudTrail buat kebijakan berbasis sumber daya default yang mencantumkan tindakan yang diizinkan dilakukan oleh akun administrator yang didelegasikan pada penyimpanan data peristiwa organisasi. Izin dalam kebijakan ini berasal dari izin administrator yang didelegasikan di. AWS Organizations Kebijakan ini diperbarui secara otomatis setelah perubahan pada penyimpanan data peristiwa organisasi atau organisasi (misalnya, akun administrator yang CloudTrail didelegasikan terdaftar atau dihapus).
Contoh:
Contoh: CloudTrail Izinkan menjalankan kueri untuk menyegarkan dasbor
Untuk mengisi data di dasbor CloudTrail Lake selama penyegaran, Anda harus mengizinkan CloudTrail untuk menjalankan kueri atas nama Anda. Untuk melakukan ini, lampirkan kebijakan berbasis sumber daya ke setiap penyimpanan data peristiwa yang terkait dengan widget dasbor yang menyertakan pernyataan yang memungkinkan CloudTrail untuk melakukan StartQuery operasi untuk mengisi data untuk widget.
Berikut ini adalah persyaratan untuk pernyataan tersebut:
-
Satu-satunya
Principaladalahcloudtrail.amazonaws.com. -
Satu-satunya yang
Actiondiizinkan adalahcloudtrail:StartQuery. -
ConditionSatu-satunya termasuk dasbor ARN dan Akun AWS ID. UntukAWS:SourceArn, Anda dapat menyediakan berbagai dasborARNs.
Kebijakan contoh berikut mencakup pernyataan yang memungkinkan CloudTrail untuk menjalankan kueri pada penyimpanan data peristiwa untuk dua dasbor kustom bernama example-dashboard1 dan example-dashboard2 dan dasbor Sorotan bernama AWSCloudTrail-Highlights untuk akun. 123456789012
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "cloudtrail:StartQuery" ], "Condition": { "StringLike": { "AWS:SourceArn": [ "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1", "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2", "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights" ], "AWS:SourceAccount": "123456789012" } } } ] }
Contoh: Izinkan akun lain untuk menanyakan penyimpanan data acara dan melihat hasil kueri
Anda dapat menggunakan kebijakan berbasis sumber daya untuk menyediakan akses lintas akun ke penyimpanan data acara Anda agar akun lain dapat menjalankan kueri di penyimpanan data acara Anda.
Contoh kebijakan berikut mencakup pernyataan yang memungkinkan pengguna root di akun111122223333,, 777777777777999999999999, dan 111111111111 menjalankan kueri dan mendapatkan hasil kueri pada penyimpanan data peristiwa yang dimiliki oleh ID 555555555555 akun.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "policy1", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::777777777777:root", "arn:aws:iam::999999999999:root", "arn:aws:iam::111111111111:root" ] }, "Action": [ "cloudtrail:StartQuery", "cloudtrail:GetEventDataStore", "cloudtrail:GetQueryResults" ], "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf" } ] }
Contoh kebijakan berbasis sumber daya untuk dasbor
Anda dapat mengatur jadwal penyegaran untuk dasbor CloudTrail Lake, yang memungkinkan CloudTrail untuk menyegarkan dasbor atas nama Anda pada interval yang Anda tentukan saat Anda mengatur jadwal penyegaran. Untuk melakukan ini, Anda perlu melampirkan kebijakan berbasis sumber daya ke dasbor untuk memungkinkan CloudTrail untuk melakukan StartDashboardRefresh operasi di dasbor Anda.
Berikut ini adalah persyaratan untuk kebijakan berbasis sumber daya:
-
Satu-satunya
Principaladalahcloudtrail.amazonaws.com. -
Satu-satunya yang
Actiondiizinkan dalam kebijakan adalahcloudtrail:StartDashboardRefresh. -
ConditionSatu-satunya termasuk dasbor ARN dan Akun AWS ID.
Contoh kebijakan berikut memungkinkan CloudTrail untuk me-refresh dasbor bernama exampleDash untuk akun123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "cloudtrail:StartDashboardRefresh" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash", "AWS:SourceAccount":"123456789012" } } } ] }
