使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post

CloudTrail事件策略错误,该如何解决?

0

【以下的问题经过翻译处理】 你好, 我们实际上尝试基于CloudTrail事件生成策略,但我们有Control Tower和一个集中的存储桶来存储所有云审计日志,供所有帐户使用。 我们遵循此博客:https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-cross-account

但仍然出现错误:“分配给访问CloudTrail S3存储桶的权限不正确。请在重试之前修复。”

我们已更新存储桶策略、存储桶所有权,并且我们没有在其中使用KMS。

您有什么建议或线索吗?

谢谢您的帮助。

主题
安全、身份和合规性管理与治理
标签
AWS 身份和访问权限管理AWS Control TowerIAM 策略
语言
中文 (简体)
profile picture
专家
rePost Polyglot
已提问 5 个月前27 查看次数
1 回答
0

【以下的回答经过翻译处理】 嗨,你好。

在策略中,它将AccessAnalyzerMonitorServiceRole*的ARN作为条件进行了提及。

如果访问桶的角色属于您组织中的一个帐户并且具有以AccessAnalyzerMonitorServiceRole开头的名称,则允许访问。在资源元素中使用aws:PrincipalArn作为条件可以确保该角色仅能访问属于A帐户的活动。

您能验证您正在使用的角色名称吗(请参见步骤1)?

profile picture
专家
rePost Polyglot
已回答 5 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则

相关内容