AWS Audit Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de políticas basadas en recursos para AWS Audit Manager
## Política de buckets de Amazon S3
La siguiente política permite CloudTrail enviar los resultados de las consultas del buscador de evidencias al segmento S3 especificado. Como práctica recomendada de seguridad, la clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que solo se CloudTrail escriba en el depósito de S3 para el almacén de datos de eventos.
**importante**
Debe especificar un bucket de S3 para la entrega de los resultados de las consultas de CloudTrail Lake. Para obtener más información, consulte [Especificar un depósito existente para los resultados de la consulta de CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery).
{{placeholder text}}Sustitúyala por tu propia información, de la siguiente manera:
+ {{amzn-s3-demo-destination-bucket}}Sustitúyalo por el depósito S3 que utiliza como destino de exportación.
+ {{myQueryRunningRegion}}Sustitúyalo por el apropiado Región de AWS para su configuración.
+ {{myAccountID}}Sustitúyalo por el Cuenta de AWS identificador para el que se utiliza CloudTrail. Puede que no sea el mismo que el Cuenta de AWS ID del bucket de S3. Si se trata de un almacén de datos de eventos de la organización, debe utilizar la Cuenta de AWS para la cuenta de administración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
}
]
}
```
------
## AWS Key Management Service política
Si su bucket de S3 tiene el cifrado predeterminado establecido CloudTrail en`SSE-KMS`, concédale acceso a la política de recursos de su AWS Key Management Service clave para que pueda usarla. En este caso, añada la siguiente política de recursos a la AWS KMS clave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------