Definir a política de bucket para várias contas - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Definir a política de bucket para várias contas

Para que um bucket receba arquivos de log de várias contas, sua política de bucket deve conceder CloudTrail permissão para gravar arquivos de log de todas as contas que você especificar. Isso significa que você deve modificar a política do bucket em seu bucket de destino para conceder CloudTrail permissão para gravar arquivos de log de cada conta especificada.

nota

Por motivos de segurança, usuários não autorizados não podem criar uma trilha que incluaAWSLogs/ como o parâmetro S3KeyPrefix.

Para modificar as permissões do bucket para que os arquivos possam ser recebidos de várias contas

  1. Faça login AWS Management Console usando a conta que possui o bucket (111111111111 neste exemplo) e abra o console do Amazon S3.

  2. Escolha o bucket onde CloudTrail entrega seus arquivos de log e, em seguida, escolha Permissões.

  3. Em Bucket policy (Política de bucket), escolha Edit (Editar).

  4. Modifique a política existente para adicionar uma linha para cada conta adicional cujos arquivos de log devem ser fornecidos a esse bucket. Veja o exemplo de política a seguir e observe a linha Resource sublinhada especificando o ID de uma segunda conta. Como uma prática recomendada de segurança, adicione uma aws:SourceArn chave de condição para a política de bucket do Amazon S3. Isso ajuda a impedir o acesso não autorizado à conta do seu bucket do S3. Se você tiver trilhas existentes, certifique-se de adicionar uma ou mais chaves de condição.

    nota

    O ID AWS da conta é um número de doze dígitos, incluindo zeros à esquerda. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
          "StringEquals": { 
            "aws:SourceArn": [ 
              "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
              "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
            ]
          }
       }
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}