AWS Audit Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Audit Manager  可用性の変更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のリソースベースのポリシーの例 AWS Audit Manager
<a name="security_iam_resource-based-policy-examples"></a>

## Amazon S3 バケットポリシー
<a name="s3-resource-policy"></a>

次のポリシーでは、CloudTrail に証拠ファインダーのクエリ結果を指定された S3 バケットに配信することを許可します。セキュリティのベストプラクティスとして、IAM グローバル条件キー `aws:SourceArn` は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。

**重要**  
CloudTrail Lake クエリ結果配信の S3 バケットを指定する必要があります。詳細については、[CloudTrail Lake クエリ結果の既存のバケットの指定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery)」を参照してください。

{{プレースホルダーテキスト}}を以下のように自分の情報に置き換えます。
+ {{amzn-s3-demo-destination-bucket}} を、エクスポート先として使用する S3 バケットに置き換えます。
+ {{myQueryRunningRegion}} を、設定 AWS リージョン に適した に置き換えます。
+ {{myAccountID}} を CloudTrail に使用される AWS アカウント ID に置き換えます。これは、S3 バケットの AWS アカウント ID とは異なる場合があります。これが組織のイベントデータストアである場合は、管理アカウントの AWS アカウント を使用する必要があります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
                }
            }
        }
    ]
    }
```

------

## AWS Key Management Service ポリシー
<a name="kms-resource-policy"></a>

S3 バケットのデフォルトの暗号化が に設定されている場合は`SSE-KMS`、キーを使用できるように AWS Key Management Service 、キーのリソースポリシーで CloudTrail へのアクセスを許可します。この場合、次のリソースポリシーを AWS KMS キーに追加します。

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}
```

------