기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
여러 계정에 대한 버킷 정책 설정
여러 계정에서 로그 파일을 받는 버킷의 경우 버킷 정책이 지정된 모든 계정에서 로그 파일을 기록할 수 있도록 CloudTrail 권한을 허용해야 합니다. 즉, 대상 버킷에서 버킷 정책을 수정해야 지정된 각 계정에서 로그 파일을 기록할 CloudTrail 권한이 허용됩니다.
참고
보안상의 이유로 권한이 없는 사용자는 S3KeyPrefix 파라미터로 AWSLogs/를 포함하는 추적을 만들 수 없습니다.
여러 계정에서 파일을 받을 수 있도록 버킷 권한을 수정하려면
-
버킷을 소유한 계정(이 예에서는 111111111111)을 사용하여 AWS Management Console에 로그인하고 Amazon S3 콘솔을 엽니다.
-
CloudTrail이 로그 파일을 전송하는 버킷을 선택한 다음, 권한(Permissions)을 선택합니다.
-
버킷 정책(Bucket policy)에서 편집(Edit)을 선택합니다.
-
이 버킷으로 로그 파일을 전송할 각 추가 계정에 대해 줄을 추가하도록 기존 정책을 수정합니다. 다음의 정책에 대한 예를 참조하고 두 번째 계정 ID를 지정하는 밑줄 친
Resource줄에 유의합니다. 보안 모범 사례로aws:SourceArnAmazon S3 버킷 정책의 조건 키입니다. 이렇게 하면 S3 버킷에 대한 무단 액세스를 방지할 수 있습니다. 기존 트레일이 있는 경우 하나 이상의 조건 키를 추가해야 합니다.참고
원래 요청 ping에 대한AWS계정 ID는 앞의 0을 포함하여 12자리 수이며
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName", "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName" ] } } }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName/optionalLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::myBucketName/optionalLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName", "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName" ], "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
