Menerima file CloudTrail log dari beberapa akun - AWS CloudTrail
Menyunting ID akun pemilik bucket untuk peristiwa data yang dipanggil oleh akun lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menerima file CloudTrail log dari beberapa akun

Anda dapat CloudTrail mengirimkan file log dari beberapa Akun AWS ke dalam satu ember Amazon S3. Misalnya, Anda memiliki empat Akun AWS dengan ID akun 111111111111, 222222222222, 333333333333, dan 4444444444444444, dan Anda ingin mengonfigurasi untuk mengirimkan file log dari keempat akun ini ke bucket milik akun 11111111111111. CloudTrail Untuk mencapai ini, selesaikan langkah-langkah berikut secara berurutan:

  1. Buat jejak di akun tempat bucket tujuan berada (11111111111111 dalam contoh ini). Jangan membuat jejak untuk akun lain.

    Untuk petunjuk, lihat Membuat jejak di konsol.

  2. Perbarui kebijakan bucket di bucket tujuan Anda untuk memberikan izin lintas akun. CloudTrail

    Untuk petunjuk, lihat Menetapkan kebijakan bucket untuk beberapa akun.

  3. Buat jejak di akun lain (222222222222, 333333333333, dan 44444444444444 dalam contoh ini) yang ingin Anda log aktivitas. Saat Anda membuat jejak di setiap akun, tentukan bucket Amazon S3 milik akun yang Anda tentukan di langkah 1 (111111111111 dalam contoh ini). Untuk petunjuk, lihat Buat jejak di akun tambahan.

    catatan

    Jika Anda memilih untuk mengaktifkan enkripsi SSE-KMS, kebijakan kunci KMS harus mengizinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dalam bentuk yang tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

Menyunting ID akun pemilik bucket untuk peristiwa data yang dipanggil oleh akun lain

Secara historis, jika peristiwa CloudTrail data diaktifkan di Akun AWS pemanggil API peristiwa data Amazon S3 CloudTrail , tunjukkan ID akun pemilik bucket S3 dalam peristiwa data (seperti). PutObject Ini terjadi bahkan jika akun pemilik bucket tidak mengaktifkan peristiwa data S3.

Sekarang, CloudTrail hapus ID akun pemilik bucket S3 di resources blok jika kedua kondisi berikut terpenuhi:

  • Panggilan API peristiwa data berbeda Akun AWS dari pemilik bucket Amazon S3.

  • Pemanggil API menerima AccessDenied kesalahan yang hanya untuk akun penelepon.

Pemilik sumber daya tempat panggilan API dibuat masih menerima acara lengkap.

Cuplikan catatan peristiwa berikut adalah contoh perilaku yang diharapkan. Dalam Historic cuplikan, ID akun 123456789012 dari pemilik bucket S3 ditampilkan ke pemanggil API dari akun lain. Dalam contoh perilaku saat ini, ID akun pemilik bucket tidak ditampilkan.

# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2"
    }
]

Berikut ini adalah perilaku saat ini.

# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2"
    }
]
Topik