Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Empfangen von CloudTrail Protokolldateien von mehreren Konten
Sie können Protokolldateien von mehreren AWS-Konten in einen einzigen Amazon S3 S3-Bucket CloudTrail liefern lassen. Sie haben beispielsweise vier AWS-Konten mit den Konto-IDs 111111111111, 2222222222, 333333333333 und 444444444444, und Sie möchten die Konfiguration so konfigurieren, dass Protokolldateien von allen vier dieser Konten an einen Bucket gesendet werden, der zum Konto 111111111111 gehört. CloudTrail Führen Sie dazu die Schritte in der angegebenen Reihenfolge aus:
-
Erstellen Sie einen Trail in dem Konto mit dem Ziel-Bucket (in diesem Beispiel 111111111111). Erstellen Sie noch keinen Trail für andere Konten.
Anweisungen finden Sie unter Erstellen eines Trails in der Konsole.
-
Aktualisieren Sie die Bucket-Richtlinie für Ihren CloudTrail Ziel-Bucket, um kontoübergreifende Berechtigungen zu gewähren.
Anweisungen finden Sie unter Festlegen der Bucket-Richtlinie für mehrere Konten.
-
Erstellen Sie einen Trail in anderen Konten (in diesem Beispiel 222222222222, 333333333333 und 444444444444) für den Sie Aktivitäten protokollieren können. Wenn Sie den Trail in jedem Konto erstellen, geben Sie den Amazon-S3-Bucket an, der zu dem Konto gehört, das Sie in Schritt 1 angegeben haben (in diesem Beispiel 111111111111). Anweisungen finden Sie unter Erstellen von Trails in zusätzlichen Konten.
Anmerkung
Wenn Sie sich dafür entscheiden, die SSE-KMS-Verschlüsselung zu aktivieren, muss die KMS-Schlüsselrichtlinie die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien zulassen und den von Ihnen angegebenen Benutzern das Lesen von Protokolldateien in unverschlüsselter Form ermöglichen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
Redigieren von Bucket-Eigentümer-Konto-IDs für Datenereignisse, die von anderen Konten aufgerufen werden
In AWS-Konto der Vergangenheit wurde, wenn CloudTrail Datenereignisse in einem Amazon S3 S3-Datenereignis-API-Aufrufer aktiviert waren, CloudTrail die Konto-ID des S3-Bucket-Besitzers im Datenereignis angezeigt (z. B.PutObject). Dies trat auch dann auf, wenn das Bucket-Eigentümerkonto S3-Datenereignisse nicht aktiviert hatte.
CloudTrail Löscht nun die Konto-ID des S3-Bucket-Besitzers im resources Block, wenn beide der folgenden Bedingungen erfüllt sind:
-
Der API-Aufruf für Datenereignisse stammt von einem anderen Benutzer AWS-Konto als dem Besitzer des Amazon S3 S3-Buckets.
-
Der API-Aufrufer erhielt einen
AccessDenied-Fehler, der nur für das Aufruferkonto galt.
Der Besitzer der Ressource, auf der der API-Aufruf durchgeführt wurde, erhält weiterhin das vollständige Ereignis.
Die folgenden Ereignisdatensnippets sind ein Beispiel für das erwartete Verhalten. Im Historic-Snippet wird die Konto-ID 123456789012 des S3-Bucket-Eigentümers einem API-Aufrufer aus einem anderen Konto angezeigt. Im Beispiel des aktuellen Verhaltens wird die Konto-ID des Bucket-Eigentümers nicht angezeigt.
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2" } ]
Das aktuelle Verhalten ist wie folgt.
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2" } ]
