Política de bucket de Amazon S3 para resultados de consultas de CloudTrail Lake - AWS CloudTrail
Especificar un bucket existente para resultados de consultas de CloudTrail LakeRecursos adicionales

Política de bucket de Amazon S3 para resultados de consultas de CloudTrail Lake

De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.

Para enviar resultados de consultas de CloudTrail Lake a un bucket de S3, CloudTrail debe tener los permisos necesarios y no puede configurarse como un bucket de pago por solicitante.

CloudTrail agrega de forma automática los siguientes campos a la política:

  • Los SID permitidos

  • El nombre del bucket

  • El nombre principal del servicio para CloudTrail.

Como práctica recomendada de seguridad, agregue una clave de conción aws:SourceArn de la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que CloudTrail escribe en el bucket de S3 solo para el almacén de datos de eventos.

La siguiente política permite a CloudTrail entregar resultados de consultas en el bucket desde Regiones de AWS compatibles. Reemplace amzn-s3-demo-bucket, myAccountID y myQueryRunningRegion por los valores adecuados para su configuración. myAccountID (ID de la cuenta) es el ID de la cuenta de AWS usado para CloudTrail Lake, que puede no ser el ID de la cuenta de AWS del bucket de S3.

nota

Si su política de bucket incluye una instrucción para una clave de KMS, le recomendamos que use un ARN de la clave de KMS totalmente calificada. Si, en su lugar, utiliza un alias de clave de KMS, AWS KMS resolverá la clave dentro de la cuenta del solicitante. Esto puede dar como resultado datos cifrados con una clave de KMS que pertenece al solicitante y no al propietario del bucket.

Si se trata de un almacén de datos de eventos de la organización, el ARN del almacén de datos de eventos debe incluir el ID de la cuenta de AWS para la cuenta de administración. Esto se debe a que la cuenta de administración mantiene la propiedad de todos los recursos de la organización.

Política de bucket de S

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:sourceAccount": "111111111111"
                },
                "ArnLike": {
                    "aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:sourceAccount": "111111111111"
                },
                "ArnLike": {
                    "aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
                }
            }
        }
    ]
}

Especificar un bucket existente para resultados de consultas de CloudTrail Lake

Si especificó un bucket de S3 existente como ubicación de almacenamiento para el envío de resultados de consultas de CloudTrail Lake, debe adjuntar una política al bucket que permita a CloudTrail entregar los resultados de consultas al bucket.

nota

Es recomendable que use un bucket de S3 dedicado para los resultados de consultas de CloudTrail.

Para agregar la política de CloudTrail necesaria a un bucket de Amazon S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el bucket donde desea que CloudTrail envíe los resultados de consultas y, a continuación, elija Permissions (Permisos).

  3. Seleccione Editar.

  4. Copie S3 bucket policy for query results en la ventana Bucket Policy Editor. Reemplace los marcadores de posición en cursiva por los nombres del bucket, de la región y del ID de cuenta.

    nota

    Si el bucket existente ya tiene una o varias políticas asociadas, agregue las instrucciones para que CloudTrail tenga acceso a dicha política o políticas. Evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que tienen acceso al bucket.

Recursos adicionales

Para obtener más información acerca de las políticas y los buckets de S3, consulte Uso de políticas de bucket en la Guía del usuario de Amazon Simple Storage Service.