Recebendo arquivos de CloudTrail log de várias contas - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recebendo arquivos de CloudTrail log de várias contas

Você pode CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket do Amazon S3. Por exemplo, você tem quatro Contas da AWS com as contas IDs 111111111111, 2222222222, 333333333333 e 444444444444 e deseja configurar para entregar arquivos de log de todas essas quatro contas para um bucket pertencente à conta 111111111111. CloudTrail Para fazer isso, siga estas etapas na ordem:

  1. Crie uma trilha na conta à qual o bucket de destino pertencerá (neste exemplo, 111111111111). Não crie ainda uma trilha para outras contas.

    Para obter instruções, consulte Criar uma trilha no console.

  2. Atualize a política de bucket em seu bucket de destino para conceder permissões entre contas a. CloudTrail

    Para obter instruções, consulte Definir a política de bucket para várias contas.

  3. Crie uma trilha nas outras contas (222222222222, 333333333333 e 444444444444 neste exemplo) para o qual deseja registrar atividades em log. Ao criar a trilha em cada conta, especifique o bucket do Amazon S3 pertencente à conta que você especificou na etapa 1 (neste exemplo, 111111111111). Para obter instruções, consulte Criar trilhas em contas adicionais.

    nota

    Se você optar por ativar SSE a KMS criptografia, a política de KMS chaves deverá permitir o uso da chave CloudTrail para criptografar seus arquivos de log e permitir que os usuários que você especificar leiam os arquivos de log em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as AWS KMS principais políticas para CloudTrail.

Editando a conta do proprietário do bucket IDs para eventos de dados chamados por outras contas

Historicamente, se CloudTrail os eventos de dados fossem ativados em um chamador Conta da AWS de API eventos de dados do Amazon S3 CloudTrail , mostrava o ID da conta do proprietário do bucket do S3 no evento de dados (como). PutObject Isso ocorria mesmo quando a conta do proprietário do bucket não tinha eventos de dados do S3 habilitados.

Agora, CloudTrail remove o ID da conta do proprietário do bucket do S3 no resources bloco se as duas condições a seguir forem atendidas:

  • A API chamada do evento de dados é de um proprietário Conta da AWS diferente do proprietário do bucket do Amazon S3.

  • O API chamador recebeu um AccessDenied erro que era apenas para a conta do chamador.

O proprietário do recurso no qual a API chamada foi feita ainda recebe o evento completo.

Os trechos de registro de eventos a seguir são um exemplo do comportamento esperado. No Historic trecho, a ID da conta 123456789012 do proprietário do bucket do S3 é mostrada para um chamador de uma conta diferente. API No exemplo do comportamento atual, o ID da conta do proprietário do bucket não é mostrado.

# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]

O comportamento atual é mostrado a seguir.

# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]