Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recepción de archivos de CloudTrail registro de varias cuentas
Puede hacer que CloudTrail entregue archivos de registro de varios Cuentas de AWS a un único bucket de Amazon S3. Por ejemplo, tiene cuatro Cuentas de AWS con los identificadores de cuenta 1111, 222222222222, 333333333333 y 444444444444, y desea configurarlos para entregar los archivos de registro de estas cuatro cuentas CloudTrail a un depósito que pertenece a la cuenta 1111. Para ello, siga los pasos que se describen a continuación por orden:
-
Active un registro de seguimiento en la cuenta a la que pertenecerá el bucket de destino (111111111111 en este ejemplo). No cree ningún registro de seguimiento para las demás cuentas todavía.
Para obtener instrucciones, consulte Creación de un registro de seguimiento en la consola.
-
Actualice la política en su bucket de destino para conceder permisos entre cuentas a CloudTrail.
Para obtener instrucciones, consulte Configuración de la política de bucket para varias cuentas.
-
Cree un registro de seguimiento en las demás cuentas (222222222222, 333333333333 y 444444444444 en este ejemplo) en las que desee registrar la actividad. Cuando cree el registro de seguimiento en cada cuenta, especifique el bucket de Amazon S3 que pertenece a la cuenta que ha especificado en el paso 1 (111111111111 en este ejemplo). Para obtener instrucciones, consulte Crea registros de seguimiento en cuentas adicionales.
nota
Si decide habilitar el cifrado SSE-KMS, la política de claves de KMS debe permitir el uso de la clave CloudTrail para cifrar los archivos de registro y permitir que los usuarios que especifique lean los archivos de registro sin cifrar. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas de clave de AWS KMS para CloudTrail.
Eliminación de los ID de las cuentas de los propietarios de los buckets para eventos de datos llamados por otras cuentas
Históricamente, si CloudTrail los eventos de datos estaban habilitados en una persona que llamaba a la API Cuenta de AWS de eventos de datos de Amazon S3, se CloudTrail mostraba el ID de cuenta del propietario del bucket de S3 en el evento de datos (por ejemplo,PutObject). Esto ocurría incluso si la cuenta del propietario del bucket no tenía activados los eventos de datos de S3.
Ahora, CloudTrail elimina el ID de cuenta del propietario del bucket de S3 del resources bloque si se cumplen las dos condiciones siguientes:
-
La llamada a la API del evento de datos proviene de un propietario Cuenta de AWS diferente al del bucket de Amazon S3.
-
El llamante de la API recibió un error
AccessDeniedque era solo para la cuenta del llamante.
El propietario del recurso en el que se realizó la llamada a la API sigue recibiendo el evento completo.
Los siguientes fragmentos de registro de eventos son un ejemplo del comportamiento esperado. En el fragmento Historic, se muestra el ID de cuenta 123456789012 del propietario del bucket de S3 a un llamante de la API de otra cuenta. En el ejemplo del comportamiento actual, no se muestra el ID de la cuenta del propietario del bucket.
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::test-my-bucket-2" } ]
El siguiente es el comportamiento actual.
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::test-my-bucket-2" } ]
Temas
