Impostazione della policy del bucket per più account - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione della policy del bucket per più account

Affinché un bucket riceva file di registro da più account, la relativa policy relativa ai bucket deve concedere CloudTrail l'autorizzazione a scrivere file di registro da tutti gli account specificati. Ciò significa che è necessario modificare la policy del bucket sul bucket di destinazione per concedere l' CloudTrail autorizzazione a scrivere file di registro da ogni account specificato.

Nota

Per motivi di sicurezza, gli utenti non autorizzati non possono creare un percorso che includa AWSLogs/ come parametro S3KeyPrefix.

Per modificare le autorizzazioni del bucket in modo che i file possano essere ricevute da più account

  1. Accedi AWS Management Console utilizzando l'account che possiede il bucket (in questo esempio) e apri la console Amazon S3.

  2. Scegli il bucket in cui CloudTrail invia i tuoi file di registro, quindi scegli Autorizzazioni.

  3. Per Policy del bucket scegli Modifica.

  4. Modificare la policy esistente aggiungendo una riga per ogni account aggiuntivo i cui file di log si vuole distribuire a questo bucket. Consulta la seguente policy di esempio e annotare la riga Resource sottolineata specificando un secondo ID account. Come best practice per la sicurezza, aggiungi una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. Questo aiuta a prevenire l'accesso non autorizzato al bucket S3. Se hai percorsi esistenti, assicurati di aggiungere una o più chiavi di condizione.

    Nota

    Un ID AWS account è un numero di dodici cifre, inclusi gli zeri iniziali. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
          "StringEquals": { 
            "aws:SourceArn": [ 
              "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
              "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
            ]
          }
       }
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}