Festlegen der Bucket-Richtlinie für mehrere Konten - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Festlegen der Bucket-Richtlinie für mehrere Konten

Damit ein Bucket Protokolldateien von mehreren Konten empfangen kann, muss seine Bucket-Richtlinie die CloudTrail Berechtigung zum Schreiben von Protokolldateien von allen von Ihnen angegebenen Konten gewähren. Das bedeutet, dass Sie die Bucket-Richtlinie in Ihrem Ziel-Bucket ändern müssen, um die CloudTrail Erlaubnis zu erteilen, Logdateien von jedem angegebenen Konto aus zu schreiben.

Anmerkung

Aus Sicherheitsgründen können nicht autorisierte Benutzer einen Trail erstellen, der AWSLogs/ als S3KeyPrefix-Parameter enthält.

So ändern Sie Ihre Bucket-Berechtigungen, damit Dateien von mehreren Konten empfangen werden können

  1. Melden Sie sich AWS Management Console mit dem Konto an, dem der Bucket gehört (in diesem Beispiel 111111111111), und öffnen Sie die Amazon S3 S3-Konsole.

  2. Wählen Sie den Bucket aus, in den Ihre Protokolldateien CloudTrail geliefert werden, und wählen Sie dann Berechtigungen.

  3. Wählen Sie unter Bucket policy (Bucket-Richtlinie) Edit (Bearbeiten) aus.

  4. Ändern Sie die vorhandene Richtlinie und fügen Sie für jedes zusätzliche Konto, dessen Protokolldateien an diesen Bucket gesendet werden sollen, eine Zeile hinzu. Weitere Informationen finden Sie in der folgenden Beispielrichtlinie. Achten Sie auf die unterstrichene Resource-Zeile, die eine zweite Konto-ID angibt. Als bewährte Sicherheitsmethode gilt es, der Amazon S3-Bucket-Richtlinie einen aws:SourceArn-Bedingungsschlüssel hinzuzufügen. Dies verhindert unbefugten Zugriff auf Ihren S3-Bucket. Wenn bereits Trails vorhanden sind, fügen Sie unbedingt einen oder mehrere Bedingungsschlüssel hinzu.

    Anmerkung

    Eine AWS Konto-ID ist eine zwölfstellige Zahl, einschließlich führender Nullen. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
          "StringEquals": { 
            "aws:SourceArn": [ 
              "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
              "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
            ]
          }
       }
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}