Configuration de la politique de compartiment pour plusieurs comptes - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la politique de compartiment pour plusieurs comptes

Pour qu'un compartiment puisse recevoir des fichiers journaux provenant de plusieurs comptes, sa politique de compartiment doit CloudTrail autoriser l'écriture de fichiers journaux à partir de tous les comptes que vous spécifiez. Cela signifie que vous devez modifier la politique de compartiment de votre compartiment de destination pour CloudTrail autoriser l'écriture de fichiers journaux à partir de chaque compte spécifié.

Note

Pour des raisons de sécurité, les utilisateurs non autorisés ne peuvent pas créer de journal de suivis incluant AWSLogs/ en tant que S3KeyPrefix paramètre.

Pour modifier les autorisations de compartiment de sorte que les fichiers puissent être reçus à partir de plusieurs comptes

  1. Connectez-vous à l' AWS Management Console aide du compte propriétaire du compartiment (111111111111 dans cet exemple) et ouvrez la console Amazon S3.

  2. Choisissez le compartiment dans lequel CloudTrail vos fichiers journaux sont envoyés, puis sélectionnez Permissions.

  3. Sous Bucket policy (Politique de compartiment), choisissez Edit (Modifier).

  4. Modifiez la politique existante afin d'ajouter une ligne correspondant pour chaque compte supplémentaire dont vous voulez que les fichiers journaux soient livrés à ce compartiment. Examinez l'exemple de politique suivant, en particulier la ligne Resource soulignée qui spécifie un deuxième ID de compte. Comme bonne pratique en matière de sécurité, ajoutez une aws:SourceArn clé de condition de la politique de compartiment Amazon S3. Cela permet d'éviter tout accès non autorisé à votre compartiment S3. Si vous avez déjà des journaux d’activités, veillez à ajouter une ou plusieurs clés de condition.

    Note

    Un identifiant de AWS compte est un nombre à douze chiffres, y compris des zéros en tête. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
          "StringEquals": { 
            "aws:SourceArn": [ 
              "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
              "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
            ]
          }
       }
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}