AWS Audit Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [Mudança de disponibilidade do AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplos de políticas baseadas em recursos para AWS Audit Manager
## Política de bucket do Amazon S3
A política a seguir permite CloudTrail fornecer os resultados da consulta do localizador de evidências para o bucket S3 especificado. Como prática recomendada de segurança, a chave de condição global do IAM `aws:SourceArn` ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para o armazenamento de dados do evento.
**Importante**
Você deve especificar um bucket do S3 para a entrega dos resultados da consulta do CloudTrail Lake. Para obter mais informações, consulte [Especificação de um bucket existente para os resultados da consulta do CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/s3-bucket-policy-lake-query-results.html#specify-an-existing-bucket-for-cloudtrail-query-results-delivery).
{{placeholder text}}Substitua o por suas próprias informações, da seguinte forma:
+ {{amzn-s3-demo-destination-bucket}}Substitua pelo bucket do S3 que você usa como destino de exportação.
+ {{myQueryRunningRegion}}Substitua Região da AWS pelo apropriado para sua configuração.
+ {{myAccountID}}Substitua pela Conta da AWS ID usada para CloudTrail. Isso pode não ser o mesmo que o Conta da AWS ID do bucket do S3. Se for um armazenamento de dados de eventos da organização, você deverá usar Conta da AWS para a conta de gerenciamento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*"
}
}
}
]
}
```
------
## AWS Key Management Service política
Se o bucket do S3 tiver a criptografia padrão definida como`SSE-KMS`, conceda acesso à política CloudTrail de recursos da sua AWS Key Management Service chave para que ele possa usar a chave. Nesse caso, adicione a seguinte política de recursos à AWS KMS chave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": [
"kms:Decrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------