設定多帳戶的儲存貯體政策 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定多帳戶的儲存貯體政策

若要讓值區從多個帳號接收記錄檔,其值區政策必須 CloudTrail 授與從您指定的所有帳號寫入記錄檔的權限。這表示您必須修改目標儲存貯體上的儲存貯體政策,以 CloudTrail 授與從每個指定帳戶寫入記錄檔的權限。

注意

基於安全理由,未經授權的使用者無法建立包含 AWSLogs/ 作為 S3KeyPrefix 參數的追蹤。

修改儲存貯體許可,以便從多個帳戶接收檔案

  1. AWS Management Console 使用擁有儲存貯體的帳戶登入 (本範例中為 1111111111),然後開啟 Amazon S3 主控台。

  2. 選擇提 CloudTrail 供記錄檔的值區,然後選擇 [權限]。

  3. 對於 Bucket policy (儲存貯體政策),選擇 Edit (編輯)。

  4. 修改現有的政策,為每個想要將其日誌檔案交付到這個儲存貯體的其他帳戶新增程式碼。請參閱下列範例政策,並注意指定第二個帳戶 ID 加底線的 Resource 行。安全最佳實務是將 aws:SourceArn 條件金鑰新增至 Amazon S3 儲存貯體政策。這有助於防止未經授權存取您的 S3 儲存貯體。如果您具有現有的線索,請務必新增一或多個條件金鑰。

    注意

    AWS 帳戶 ID 是十二位數字,包括前導零。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": { 
          "StringEquals": { 
            "aws:SourceArn": [ 
              "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
              "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
            ]
          }
       }
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}