기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책
<a name="s3-bucket-policy-lake-query-results"></a>

기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 리소스 소유자(버킷을 생성한 AWS 계정)만 버킷과 버킷에 포함된 객체에 액세스할 수 있습니다. 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.

S3 버킷에 CloudTrail Lake 쿼리 결과를 전달하려면 CloudTrail에 필요한 권한이 있어야 하며, 버킷을 [요청자 지불](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) 버킷으로 구성할 수 없습니다.

CloudTrail은 정책에 다음 필드를 자동으로 추가합니다.
+ 허용된 SID
+ 버킷 이름
+ CloudTrail에 대한 서비스 보안 주체 이름

보안 모범 사례로 `aws:SourceArn` 조건 키를 Amazon S3 버킷 정책에 추가합니다. IAM 전역 조건 키 `aws:SourceArn`는 CloudTrail이 이벤트 데이터 스토어에 대해서만 S3 버킷에 쓰도록 합니다.

다음 정책은 CloudTrail이 지원되는 AWS 리전의 버킷에 쿼리 결과를 전달하도록 허용합니다. *amzn-s3-demo-bucket*, *myAccountID*, *myQueryRunningRegion*을 구성에 대한 적절한 값으로 바꿉니다. *myAccountID*는 CloudTrail에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다.

**참고**  
버킷 정책에 KMS 키에 대한 문이 포함된 경우 정규화된 KMS 키 ARN을 사용하는 것이 좋습니다. 대신 KMS 키 별칭을 사용하는 경우는 요청자의 계정 내에서 키를 AWS KMS 해결합니다. 이 동작으로 인해 버킷 소유자가 아닌 요청자에게 속한 KMS로 데이터가 암호화될 수 있습니다.  
조직 이벤트 데이터 스토어인 경우 이벤트 데이터 스토어 ARN에 관리 계정에 대한 AWS 계정 ID가 포함되어야 합니다. 이는 관리 계정이 모든 조직 리소스의 소유권을 유지하기 때문입니다.

**S3 버킷 정책**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailLake1",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": [
                "s3:PutObject*",
                "s3:Abort*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:sourceAccount": "111111111111"
                },
                "ArnLike": {
                    "aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
                }
            }     
        },
        {
            "Sid": "AWSCloudTrailLake2",
            "Effect": "Allow",
            "Principal": {"Service":"cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:sourceAccount": "111111111111"
                },
                "ArnLike": {
                    "aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
                }
            }
        }
    ]
}
```

------

**Contents**
+ [CloudTrail Lake 쿼리 결과에 대한 기존 버킷 지정](#specify-an-existing-bucket-for-cloudtrail-query-results-delivery)
+ [추가 리소스](#cloudtrail-lake-S3-bucket-policy-resources)

## CloudTrail Lake 쿼리 결과에 대한 기존 버킷 지정
<a name="specify-an-existing-bucket-for-cloudtrail-query-results-delivery"></a>

CloudTrail Lake 쿼리 결과 전달 시 스토리지 위치로 기존 S3 버킷을 지정한 경우 CloudTrail이 버킷에 쿼리 결과를 전달하도록 허용하는 정책을 해당 버킷에 연결해야 합니다.

**참고**  
CloudTrail Lake 쿼리 결과 전용 S3 버킷을 사용하는 것이 가장 좋습니다.

**Amazon S3 버킷에 필요한 CloudTrail 정책을 추가하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.

1. CloudTrail이 Lake 쿼리 결과를 전송할 버킷을 선택한 다음, **Permissions**(권한)을 선택합니다.

1. **편집**을 선택합니다.

1. [S3 bucket policy for query results](#s3-bucket-policy-lake-query)를 [**Bucket Policy Editor**] 창으로 복사합니다. 기울임꼴로 표시된 자리 표시자를 버킷 이름, 리전, 계정 ID로 바꿉니다.
**참고**  
기존 버킷에 이미 하나 이상의 정책이 연결되어 있는 경우 CloudTrail 액세스용 문을 해당 정책에 추가합니다. 발생한 권한 집합을 평가해 버킷에 액세스하는 사용자에게 적절한지 확인합니다.

## 추가 리소스
<a name="cloudtrail-lake-S3-bucket-policy-resources"></a>

S3 버킷 및 정책에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [버킷 정책 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)을 참조하십시오.