Menerima file CloudTrail log dari beberapa akun - AWS CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menerima file CloudTrail log dari beberapa akun

Anda dapat CloudTrail mengirimkan file log dari beberapa Akun AWS ke dalam satu ember Amazon S3. Misalnya, Anda memiliki empat Akun AWS dengan akun IDs 111111111111, 222222222222, 333333333333, dan 4444444444444444, dan Anda ingin mengonfigurasi untuk mengirimkan file log dari keempat akun ini ke ember milik akun 11111111111111. CloudTrail Untuk mencapai ini, selesaikan langkah-langkah berikut secara berurutan:

  1. Buat jejak di akun tempat bucket tujuan berada (11111111111111 dalam contoh ini). Jangan membuat jejak untuk akun lain.

    Untuk petunjuk, silakan lihat Membuat jejak di konsol.

  2. Perbarui kebijakan bucket di bucket tujuan Anda untuk memberikan izin lintas akun. CloudTrail

    Untuk petunjuk, silakan lihat Menyetel kebijakan bucket untuk beberapa akun.

  3. Buat jejak di akun lain (222222222222, 333333333333, dan 44444444444444 dalam contoh ini) yang ingin Anda log aktivitas. Saat Anda membuat jejak di setiap akun, tentukan bucket Amazon S3 milik akun yang Anda tentukan di langkah 1 (111111111111 dalam contoh ini). Untuk petunjuk, silakan lihat Buat jejak di akun tambahan.

    catatan

    Jika Anda memilih untuk mengaktifkan SSE - KMS enkripsi, kebijakan KMS kunci harus memungkinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dalam bentuk yang tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

Menyunting akun pemilik bucket IDs untuk peristiwa data yang dipanggil oleh akun lain

Secara historis, jika peristiwa CloudTrail data diaktifkan di Akun AWS pemanggil API peristiwa data Amazon S3 CloudTrail , tunjukkan ID akun pemilik bucket S3 dalam peristiwa data (seperti). PutObject Ini terjadi bahkan jika akun pemilik bucket tidak mengaktifkan peristiwa data S3.

Sekarang, CloudTrail hapus ID akun pemilik bucket S3 di resources blok jika kedua kondisi berikut terpenuhi:

  • APIPanggilan peristiwa data berbeda Akun AWS dari pemilik bucket Amazon S3.

  • APIPenelepon menerima AccessDenied kesalahan yang hanya untuk akun penelepon.

Pemilik sumber daya tempat API panggilan dilakukan masih menerima acara lengkap.

Cuplikan catatan peristiwa berikut adalah contoh perilaku yang diharapkan. Dalam Historic cuplikan, ID akun 123456789012 dari pemilik bucket S3 ditampilkan kepada penelepon dari akun yang berbeda. API Dalam contoh perilaku saat ini, ID akun pemilik bucket tidak ditampilkan.

# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]

Berikut ini adalah perilaku saat ini.

# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]