여러 계정에 대한 버킷 정책 설정 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

여러 계정에 대한 버킷 정책 설정

버킷이 여러 계정으로부터 로그 파일을 수신하려면 해당 버킷 정책에서 지정한 모든 계정의 로그 파일을 쓸 수 있는 CloudTrail 권한을 부여해야 합니다. 즉, 대상 버킷의 버킷 정책을 수정하여 지정된 각 계정에서 로그 파일을 쓸 수 있는 CloudTrail 권한을 부여해야 합니다.

참고

보안상의 이유로 권한이 없는 사용자는 S3KeyPrefix 파라미터로 AWSLogs/를 포함하는 추적을 만들 수 없습니다.

여러 계정에서 파일을 받을 수 있도록 버킷 권한을 수정하려면
  1. 버킷을 소유한 계정 (이 예에서는 111111111111) 을 AWS Management Console 사용하여 로그인하고 Amazon S3 콘솔을 엽니다.

  2. 로그 파일을 전송하는 버킷을 선택한 다음 [ CloudTrail Permission] 을 선택합니다.

  3. 버킷 정책(Bucket policy)에서 편집(Edit)을 선택합니다.

  4. 이 버킷으로 로그 파일을 전송할 각 추가 계정에 대해 줄을 추가하도록 기존 정책을 수정합니다. 다음의 정책에 대한 예를 참조하고 두 번째 계정 ID를 지정하는 밑줄 친 Resource 줄에 유의합니다. 보안 모범 사례로aws:SourceArnAmazon S3 버킷 정책의 조건 키입니다. 이렇게 하면 S3 버킷에 대한 무단 액세스를 방지할 수 있습니다. 기존 트레일이 있는 경우 하나 이상의 조건 키를 추가해야 합니다.

    참고

    AWS 계정 ID는 앞에 0을 포함한 12자리 숫자입니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName", "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName" ] } } }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName", "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName" ], "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }