Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Política de bucket de Amazon S3 para CloudTrail
De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.
Si desea crear o modificar un bucket de Amazon S3 para que reciba los archivos de registro de un registro de traza de organización, deberá modificar aún más la política del bucket. Para obtener más información, consulte Crear un registro para una organización con el AWS CLI.
Para enviar archivos de registros a un bucket de S3, CloudTrail debe tener los permisos necesarios y no se puede configurar como un bucket de pago por solicitante.
CloudTrail agrega de forma automática los siguientes campos a la política:
-
Los SID permitidos
-
El nombre del bucket
-
El nombre principal del servicio para CloudTrail.
-
El nombre de la carpeta donde se almacenan los archivos de registro, incluido el nombre del bucket, un prefijo (si se ha especificado) y su ID de cuenta de AWS.
Como práctica recomendada de seguridad, agregue una clave de conción aws:SourceArn
de la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn
ayuda a garantizar que CloudTrail escribe en el bucket de S3 solo para una traza o trazas específicas. El valor de aws:SourceArn
siempre es el ARN de la traza (o matriz de ARN de senderos) que utiliza el bucket para almacenar registros. Asegúrese de agregar la clave de condición aws:SourceArn
en las políticas de bucket de S3 para las trazas existentes.
nota
Si configura mal su registro de seguimiento (por ejemplo, si no se puede acceder al bucket de S3), CloudTrail intentará volver a entregar los archivos de registro a su bucket de S3 durante 30 días, y estos eventos de intento de entrega estarán sujetos a los cargos estándar de CloudTrail. Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
La siguiente política permite a CloudTrail escribir archivos de registros en el bucket desde Regiones de AWS compatibles. Reemplazar amzn-s3-demo-bucket
, [optionalPrefix]/
, myAccountID
, region
y trailName
con los valores apropiados para la configuración.
Política de bucket de S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/[optionalPrefix]/
AWSLogs/myAccountID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
" } } } ] }
Para obtener más información acerca de Regiones de AWS, consulte CloudTrail regiones compatibles.
Contenido
- Especificar un bucket existente para el envío de registros de CloudTrail
- Recibir archivos de registro de otras cuentas
- Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
- Solucionar problemas con la política de bucket de Amazon S3
- Recursos adicionales de
Especificar un bucket existente para el envío de registros de CloudTrail
Si especificó un bucket de S3 como ubicación de almacenamiento para el envío de archivos de registros, debe adjuntar una política al bucket que permita a CloudTrail escribir en él.
nota
Es recomendable que utilice un bucket de S3 dedicado para los archivos de registro de CloudTrail.
Para agregar la política de CloudTrail necesaria a un bucket de Amazon S3
Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/
. -
Elija el bucket donde desea que CloudTrail envíe los archivos de registros y, a continuación, seleccione Permissions (Permisos).
-
Elija Editar.
-
Copie S3 bucket policy en la ventana Bucket Policy Editor. Sustituya los marcadores de posición en cursiva por los nombres del prefijo del bucket y el número de cuenta. Si especificó un prefijo cuando creó el registro de seguimiento, inclúyalo aquí. El prefijo es un añadido opcional a la clave del objeto de S3 que crea una organización en forma de carpeta en su bucket.
nota
Si el bucket existente ya tiene una o varias políticas asociadas, agregue las instrucciones para que CloudTrail tenga acceso a dicha política o políticas. Evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que van a tener acceso al bucket.
Recibir archivos de registro de otras cuentas
Puede configurar CloudTrail para que envíe los archivos de registro de varias cuentas de AWS a un único bucket de S3. Para obtener más información, consulte Recepción de archivos de CloudTrail registro de varias cuentas.
Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
Debe especificar un bucket de Amazon S3 para recibir los archivos de registros de un registro de seguimiento de organización. Este bucket debe tener una política que permita a CloudTrail guardar los archivos de registros de la organización en el bucket.
A continuación, se muestra un ejemplo de política para un bucket de Amazon S3 denominado amzn-s3-demo-bucket
, que es propiedad de la cuenta de administración de la organización. Sustituya amzn-s3-demo-bucket
, region
, managementAccountID
, trailName
y o-organizationID
por los valores de su organización.
Esta política de bucket contiene tres instrucciones.
-
La primera instrucción permite a CloudTrail hacer una llamada a la acción
GetBucketAcl
de Amazon S3 en el bucket de Amazon S3. -
La segunda instrucción permite el registro en caso de que se cambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.
-
La tercera instrucción permite registrar el registro de seguimiento de una organización.
La política de ejemplo incluye una clave de condición aws:SourceArn
para la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn
ayuda a garantizar que CloudTrail escribe en el bucket de S3 solo para una traza o trazas específicas. En una traza de organización, el valor de aws:SourceArn
debe ser un ARN de seguimiento que pertenece a la cuenta de administración y utilice el ID de cuenta de administración.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/AWSLogs/managementAccountID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/AWSLogs/o-organizationID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } } ] }
Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a los archivos de registro creados para la organización. De forma predeterminada, solo la cuenta de administración tendrá acceso a los archivos de registros de organización. Para obtener información sobre cómo permitir a los usuarios de IAM de las cuentas miembro el acceso de lectura al bucket de Amazon S3, consulte Compartir archivos de registro de CloudTrail entre cuentas de AWS.
Solucionar problemas con la política de bucket de Amazon S3
En las secciones siguientes se describe cómo solucionar problemas con la política de bucket de S3.
nota
Si configura mal su registro de seguimiento (por ejemplo, si no se puede acceder al bucket de S3), CloudTrail intentará volver a entregar los archivos de registro a su bucket de S3 durante 30 días, y estos eventos de intento de entrega estarán sujetos a los cargos estándar de CloudTrail. Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
Errores comunes en la configuración de la política de Amazon S3
Cuando crea un bucket nuevo como parte de la creación o actualización de un registro de seguimiento, CloudTrail adjunta los permisos necesarios al bucket. La política de bucket utiliza el nombre de la entidad principal del servicio, "cloudtrail.amazonaws.com"
, que permite a CloudTrail enviar archivos de registro de todas las regiones.
Si CloudTrail no envía registros para una región, es posible que el bucket tenga una política antigua que especifique los ID de cuenta de CloudTrail de cada región. Esta política concede a CloudTrail permiso para enviar registros solo de las regiones especificadas.
Recomendamos que actualice la política para utilizar un permiso con el nombre principal del servicio de CloudTrail. Para ello, sustituya los ARN del ID de cuenta por el nombre principal del servicio: "cloudtrail.amazonaws.com"
. De este modo, se concederá a CloudTrail permiso para enviar registros de las regiones nuevas y actuales. Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn
o aws:SourceAccount
a la política de bucket de Amazon S3. Esto ayuda a evitar el acceso no autorizado de la cuenta a su bucket de S3. Si tiene trazas existentes, asegúrese de agregar una o más claves de condición. A continuación se muestra un ejemplo de configuración de política recomendada: Reemplazar amzn-s3-demo-bucket
, [optionalPrefix]/
, myAccountID
, region
y trailName
con los valores apropiados para la configuración.
ejemplo Ejemplo de política de bucket con nombre principal del servicio
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket
",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/[optionalPrefix]/
AWSLogs/myAccountID
/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
"
}
}
}
]
}
Cambiar un prefijo de un bucket existente
Si intenta agregar, modificar o eliminar el prefijo de un archivo de registro para un bucket de S3 que recibe registros de una traza, puede que aparezca el error: There is a problem with the bucket policy (Hay un problema con la política de bucket). Una política de bucket con un prefijo incorrecto puede impedir que su registro de seguimiento envíe archivos de registro al bucket. Para solucionar este problema, utilice la consola de Amazon S3 para actualizar el prefijo en la política del bucket y, a continuación, utilice la consola de CloudTrail para especificar el mismo prefijo para el bucket en el registro de seguimiento.
Para actualizar el prefijo del archivo de registros de un bucket de Amazon S3
Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/
. -
Elija el bucket para el que desea modificar el prefijo y, a continuación, seleccione Permissions (Permisos).
-
Elija Editar.
-
En la política del bucket, en la acción
s3:PutObject
, edite la entradaResource
para añadir, modificar o eliminar elprefijo
del archivo de registro según sea necesario."Action": "s3:PutObject", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/prefix/
AWSLogs/myAccountID
/*", -
Seleccione Guardar.
Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/
. -
Elija su registro de seguimiento y, en Storage location, haga clic en el icono del lápiz para editar la configuración del bucket.
-
En S3 bucket, elija el bucket con el prefijo que va a cambiar.
-
En Log file prefix, actualice el prefijo de forma que coincida con el prefijo que ha escrito en la política del bucket.
-
Seleccione Guardar.
Recursos adicionales de
Para obtener más información acerca de las políticas y los buckets de S3, consulte Uso de políticas de bucket en la Guía del usuario de Amazon Simple Storage Service.