As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Recebendo arquivos de CloudTrail log de várias contas
Você pode CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket do Amazon S3. Por exemplo, você tem quatro Contas da AWS com as IDs de conta 111111111111, 2222222222, 333333333333 e 444444444444 e deseja configurar para entregar arquivos de log de todas essas quatro contas para um bucket pertencente à conta 111111111111. CloudTrail Para fazer isso, siga estas etapas na ordem:
-
Crie uma trilha na conta à qual o bucket de destino pertencerá (neste exemplo, 111111111111). Não crie ainda uma trilha para outras contas.
Para obter instruções, consulte Criar uma trilha no console.
-
Atualize a política no bucket de destino para conceder ao CloudTrail permissões entre contas.
Para obter instruções, consulte Definir a política de bucket para várias contas.
-
Crie uma trilha nas outras contas (222222222222, 333333333333 e 444444444444 neste exemplo) para o qual deseja registrar atividades em log. Ao criar a trilha em cada conta, especifique o bucket do Amazon S3 pertencente à conta que você especificou na etapa 1 (neste exemplo, 111111111111). Para obter instruções, consulte Criar trilhas em contas adicionais.
nota
Se você optar por habilitar a criptografia SSE-KMS, a política de chaves KMS deverá permitir o uso da chave CloudTrail para criptografar seus arquivos de log e permitir que os usuários que você especificar leiam arquivos de log em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
Redação de IDs de conta de proprietário do bucket para eventos de dados chamados por outras contas
Historicamente, se CloudTrail os eventos de dados fossem ativados em um chamador Conta da AWS da API de eventos de dados do Amazon S3 CloudTrail , mostrava o ID da conta do proprietário do bucket do S3 no evento de dados (como). PutObject Isso ocorria mesmo quando a conta do proprietário do bucket não tinha eventos de dados do S3 habilitados.
Agora, CloudTrail remove o ID da conta do proprietário do bucket do S3 no resources bloco se as duas condições a seguir forem atendidas:
-
A chamada da API do evento de dados é de um proprietário Conta da AWS diferente do proprietário do bucket do Amazon S3.
-
O chamador da API recebia um erro
AccessDeniedque era apenas para a conta do chamador.
O proprietário do recurso no qual a chamada de API era feita ainda recebe o evento completo.
Os trechos de registro de eventos a seguir são um exemplo do comportamento esperado. No snippet Historic, o ID da conta 123456789012 do proprietário do bucket S3 é mostrado para um chamador de API de uma conta diferente. No exemplo do comportamento atual, o ID da conta do proprietário do bucket não é mostrado.
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::test-my-bucket-2" } ]
O comportamento atual é mostrado a seguir.
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::test-my-bucket-2" } ]
