Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kebijakan bucket Amazon S3 untuk hasil kueri CloudTrail Lake
<a name="s3-bucket-policy-lake-query-results"></a>

Secara default, ember dan objek Amazon S3 bersifat pribadi. Hanya pemilik sumber daya ( AWS akun yang membuat bucket) yang dapat mengakses bucket dan objek yang dikandungnya. Pemilik sumber daya dapat memberikan izin akses ke sumber daya dan pengguna lain dengan menulis kebijakan akses.

Untuk mengirimkan hasil kueri CloudTrail Lake ke bucket S3, CloudTrail harus memiliki izin yang diperlukan, dan tidak dapat dikonfigurasi sebagai bucket [Requester](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) Pays.

CloudTrail menambahkan bidang berikut dalam kebijakan untuk Anda: 
+ Yang diizinkan SIDs
+ Nama ember
+ Nama utama layanan untuk CloudTrail

Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan bucket Amazon S3. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menulis ke bucket S3 hanya untuk penyimpanan data acara. 

Kebijakan berikut memungkinkan CloudTrail untuk mengirimkan hasil kueri ke bucket dari yang didukung Wilayah AWS. Ganti *amzn-s3-demo-bucket**myAccountID*,, dan *myQueryRunningRegion* dengan nilai yang sesuai untuk konfigurasi Anda. *myAccountID*Ini adalah ID AWS akun yang digunakan CloudTrail, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

**catatan**  
Jika kebijakan bucket Anda menyertakan pernyataan untuk kunci KMS, sebaiknya gunakan ARN kunci KMS yang memenuhi syarat sepenuhnya. Jika Anda menggunakan alias kunci KMS sebagai gantinya, AWS KMS selesaikan kunci dalam akun pemohon. Perilaku ini dapat menghasilkan data yang dienkripsi dengan kunci KMS milik pemohon, dan bukan pemilik bucket.  
Jika ini adalah penyimpanan data acara organisasi, ARN penyimpanan data acara harus menyertakan ID AWS akun untuk akun manajemen. Ini karena akun manajemen mempertahankan kepemilikan semua sumber daya organisasi.

**Kebijakan bucket S3**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:sourceAccount": "111111111111"
                },
                "ArnLike": {
                    "aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:sourceAccount": "111111111111"
                },
                "ArnLike": {
                    "aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
                }
            }
        }
    ]
}
```

------

**Contents**
+ [Menentukan bucket yang ada untuk hasil kueri CloudTrail Lake](#specify-an-existing-bucket-for-cloudtrail-query-results-delivery)
+ [Sumber daya tambahan](#cloudtrail-lake-S3-bucket-policy-resources)

## Menentukan bucket yang ada untuk hasil kueri CloudTrail Lake
<a name="specify-an-existing-bucket-for-cloudtrail-query-results-delivery"></a>

Jika Anda menetapkan bucket S3 yang ada sebagai lokasi penyimpanan untuk pengiriman hasil kueri CloudTrail Lake, Anda harus melampirkan kebijakan ke bucket yang memungkinkan CloudTrail untuk mengirimkan hasil kueri ke bucket.

**catatan**  
Sebagai praktik terbaik, gunakan bucket S3 khusus untuk hasil kueri CloudTrail Lake.

**Untuk menambahkan CloudTrail kebijakan yang diperlukan ke bucket Amazon S3**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Pilih bucket tempat Anda CloudTrail ingin mengirimkan hasil kueri Lake, lalu pilih **Izin**. 

1. Pilih **Edit**.

1. Salin [S3 bucket policy for query results](#s3-bucket-policy-lake-query) ke jendela **Bucket Policy Editor**. Ganti placeholder dalam huruf miring dengan nama bucket, Region, dan ID akun Anda.
**catatan**  
Jika bucket yang ada sudah memiliki satu atau beberapa kebijakan yang dilampirkan, tambahkan pernyataan untuk CloudTrail akses ke kebijakan atau kebijakan tersebut. Evaluasi kumpulan izin yang dihasilkan untuk memastikan bahwa izin tersebut sesuai untuk pengguna yang mengakses bucket.

## Sumber daya tambahan
<a name="cloudtrail-lake-S3-bucket-policy-resources"></a>

Untuk informasi selengkapnya tentang bucket dan kebijakan S3, lihat [Menggunakan kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.