本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS CloudTrail 基于资源的策略示例
本节提供了 L CloudTrail ake 仪表板、事件数据存储和渠道的基于资源的策略示例。
CloudTrail 支持以下类型的基于资源的策略:
-
基于资源的政策,用于与 CloudTrail Lake 以外的事件源集成 Lake 的频道。 AWS用于该通道的基于资源的策略将定义哪些主体实体(账户、用户、角色和联合用户)可以针对该通道调用
PutAuditEvents,以将事件传送到目标事件数据存储。有关创建与 CloudTrail Lake 集成的更多信息,请参阅创建与 AWS 外部事件源的集成。 -
基于资源的策略,用于控制哪些委托人可以对您的事件数据存储执行操作。您可以使用基于资源的策略来提供对事件数据存储的跨账户访问权限。
-
仪表板上基于资源的策略, CloudTrail 允许按照您在为仪表板设置刷新计划时定义的时间间隔刷新 La CloudTrail ke 仪表板。有关更多信息,请参阅 使用 CloudTrail 控制台为自定义仪表板设置刷新计划。
基于资源的渠道政策示例
用于该通道的基于资源的策略将定义哪些主体实体(账户、用户、角色和联合用户)可以针对该通道调用 PutAuditEvents,以将事件传送到目标事件数据存储。
该策略所需的信息由集成类型决定。
-
对于方向集成, CloudTrail 要求策略包含合作伙伴的 AWS 账户 IDs,并要求您输入合作伙伴提供的唯一外部 ID。 CloudTrail 使用 CloudTrail 控制台创建集成时 AWS 账户 IDs,会自动将合作伙伴的策略添加到资源策略中。请参阅合作伙伴的文档,了解如何获取保单所需的 AWS 账户 号码。
-
对于解决方案集成,您必须至少指定一个 AWS 账户 ID 作为委托人,并且可以选择输入外部 ID 以防止副手感到困惑。
以下是对基于资源的策略的要求:
-
该策略至少包含一个语句。该策略最多可以包含 20 个语句。
-
每个语句至少包含一个主体。委托人是账户、用户、角色或联合用户。一个语句最多可以包含 50 个主体。
-
策略中ARN定义的资源必须与策略所关联ARN的渠道相匹配。
-
该策略仅包含一项操作:
cloudtrail-data:PutAuditEvents
除非策略拒绝所有者访问该资源,否则频道所有者可以在频道PutAuditEventsAPI上调用。
示例:为主体提供通道访问权限
以下示例向使用ARNsarn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root、和arn:aws:iam::123456789012:root的委托人授予在 CloudTrail 频道PutAuditEventsAPI上使用调用的权限。ARN arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b" } ] }
示例:使用外部 ID 防范混淆代理
以下示例将使用外部 ID 来解决和防范混淆代理。混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。
集成合作伙伴会创建要在策略中使用的外部 ID,然后在创建集成的过程中向您提供该外部 ID。该值可以是任意唯一字符串,如密码或账号。
如果对的调用PutAuditEventsAPI包含策略中定义的外部 ID 值 ARNs arn:aws:iam::111122223333:rootarn:aws:iam::444455556666:root,则该示例arn:aws:iam::123456789012:root向拥有、和的委托人授予在 CloudTrail 频道PutAuditEventsAPI上调用的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ChannelPolicy", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::123456789012:root" ] }, "Action": "cloudtrail-data:PutAuditEvents", "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b", "Condition": { "StringEquals": { "cloudtrail:ExternalId": "uniquePartnerExternalID" } } } ] }
事件数据存储的基于资源的策略示例
基于资源的策略允许您控制哪些委托人可以对您的事件数据存储执行操作。
您可以使用基于资源的策略来提供跨账户访问权限,以允许选定的委托人查询您的事件数据存储、列出和取消查询以及查看查询结果。
对于 CloudTrail Lake 控制面板,基于资源的策略用于 CloudTrail 允许在事件数据存储上运行查询,以便在仪表板刷新时填充仪表板小组件的数据。 CloudTrail 当您创建自定义仪表板或在 CloudTrail 控制台上启用 Highli ghts 仪表板时,La ke 允许您选择将基于资源的默认策略附加到事件数据存储。
基于资源的事件数据存储策略支持以下操作:
-
cloudtrail:StartQuery -
cloudtrail:CancelQuery -
cloudtrail:ListQueries -
cloudtrail:DescribeQuery -
cloudtrail:GetQueryResults -
cloudtrail:GenerateQuery -
cloudtrail:GenerateQueryResultsSummary -
cloudtrail:GetEventDataStore
在 CloudTrail 控制台上创建或更新事件数据存储或管理仪表板时,您可以选择向事件数据存储中添加基于资源的策略。您也可以运行put-resource-policy命令将基于资源的策略附加到事件数据存储。
基于资源的策略由一个或多个语句组成。例如,它可以包含一条 CloudTrail 允许查询仪表板的事件数据存储的语句和另一条允许跨账户访问以查询事件数据存储的语句。您可以从 CloudTrail 控制台上事件数据存储的详细信息页面更新现有事件数据存储的基于资源的策略。
对于组织事件数据存储, CloudTrail 创建基于资源的默认策略,该策略列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自中委派的管理员权限 AWS Organizations。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。
示例:允许 CloudTrail 运行查询以刷新仪表板
要在刷新期间在 CloudTrail Lake 仪表板上填充数据,您需要 CloudTrail 允许代表您运行查询。为此,请将基于资源的策略附加到与仪表板小组件关联的每个事件数据存储中,其中包括一条允许 CloudTrail 执行该StartQuery操作以填充小组件数据的语句。
以下是该声明的要求:
-
唯一
Principal的是cloudtrail.amazonaws.com。 -
唯一
Action允许的是cloudtrail:StartQuery。 -
Condition仅包括仪表板ARN和 AWS 账户 ID。对于AWS:SourceArn,您可以提供一系列仪表板ARNs。
以下示例策略包括一条语句,该语句 CloudTrail 允许在事件数据存储上查询两个名为和的自定义仪表板example-dashboard1example-dashboard2以及名为 account 的 Highlights AWSCloudTrail-Highlights 仪表板123456789012。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "cloudtrail:StartQuery" ], "Condition": { "StringLike": { "AWS:SourceArn": [ "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1", "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2", "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights" ], "AWS:SourceAccount": "123456789012" } } } ] }
示例:允许其他账户查询事件数据存储并查看查询结果
您可以使用基于资源的策略来提供对事件数据存储的跨账户访问权限,从而允许其他账户对您的事件数据存储进行查询。
以下示例策略包括一条语句,该语句允许账户111122223333、777777777777999999999999、和111111111111中的根用户在账户 ID 拥有的事件数据存储上运行查询并获取查询结果555555555555。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "policy1", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::777777777777:root", "arn:aws:iam::999999999999:root", "arn:aws:iam::111111111111:root" ] }, "Action": [ "cloudtrail:StartQuery", "cloudtrail:GetEventDataStore", "cloudtrail:GetQueryResults" ], "Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf" } ] }
仪表板基于资源的策略示例
您可以为 La CloudTrail ke 仪表板设置刷新计划,这样您就可以 CloudTrail 按照您在设置刷新计划时定义的时间间隔代表您刷新仪表板。为此,您需要将基于资源的策略附加到控制面板, CloudTrail 以允许在仪表板上执行StartDashboardRefresh操作。
以下是对基于资源的策略的要求:
-
唯一
Principal的是cloudtrail.amazonaws.com。 -
策略中唯一
Action允许的是cloudtrail:StartDashboardRefresh。 -
Condition仅包括仪表板ARN和 AWS 账户 ID。
以下示例策略允许 CloudTrail 刷新名为 account exampleDash 的仪表板123456789012。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "cloudtrail:StartDashboardRefresh" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash", "AWS:SourceAccount":"123456789012" } } } ] }
