Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réception de fichiers CloudTrail journaux provenant de plusieurs comptes
Vous pouvez CloudTrail envoyer des fichiers journaux à partir de plusieurs Comptes AWS dans un seul compartiment Amazon S3. Par exemple, vous en avez quatre Comptes AWS avec les comptes IDs 111111111111, 2222222222, 333333333333 et 444444444444, et vous souhaitez les configurer de manière à transmettre les fichiers journaux de ces quatre comptes à un compartiment appartenant au compte 111111111111. CloudTrail Pour ce faire, suivez scrupuleusement les étapes suivantes:
-
Créez un journal de suivi dans le compte auquel le compartiment de destination appartient (111111111111, en l'occurrence). Ne créez pas encore de journal de suivi pour d'autres comptes.
Pour obtenir des instructions, consultez Créer un journal de suivi dans la console.
-
Mettez à jour la politique de compartiment de votre compartiment de destination pour accorder des autorisations entre comptes à CloudTrail.
Pour obtenir des instructions, consultez Configuration de la politique de compartiment pour plusieurs comptes.
-
Créez un journal de suivi dans les autres comptes (222222222222, 333333333333 et 444444444444, en l'occurrence) pour lesquels vous souhaitez enregistrer des activités. Lorsque vous créez le journal de suivi dans chaque compte, indiquez le compartiment Amazon S3 appartenant au compte que vous avez spécifié à l'étape 1 (111111111111, en l'occurrence). Pour obtenir des instructions, consultez Créer des journaux de suivi dans des comptes supplémentaires.
Note
Si vous choisissez d'activer SSE le KMS chiffrement, la politique de KMS clé doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
Supprimer le compte du propriétaire du compartiment IDs pour les événements de données appelés par d'autres comptes
Historiquement, si CloudTrail les événements de données étaient activés dans le cas Compte AWS d'un API appelant d'un événement de données Amazon S3, l'ID de compte du propriétaire du compartiment S3 CloudTrail était affiché dans l'événement de données (tel quePutObject). Cela s'est produit même si les événements de données S3 n'étaient pas activés sur le compte propriétaire du compartiment.
CloudTrail Supprime maintenant l'ID de compte du propriétaire du compartiment S3 dans le resources bloc si les deux conditions suivantes sont remplies :
-
L'APIappel d'événement de données provient d'un autre propriétaire Compte AWS que le propriétaire du compartiment Amazon S3.
-
L'APIappelant a reçu une
AccessDeniederreur qui ne concernait que le compte de l'appelant.
Le propriétaire de la ressource sur laquelle l'APIappel a été effectué reçoit toujours l'événement complet.
Les extraits de registre d'événements suivants sont un exemple du comportement attendu. Dans l'Historicextrait, l'ID de compte 123456789012 du propriétaire du compartiment S3 est affiché à un appelant depuis un autre compte. API Dans l'exemple de comportement actuel, l'ID de compte du propriétaire du compartiment n'est pas affiché.
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]
Voici le comportement actuel.
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]
Rubriques
