Configuración de la política de bucket para varias cuentas - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la política de bucket para varias cuentas

Para que un bucket reciba archivos de registro de varias cuentas, su política de bucket debe conceder CloudTrail permiso para escribir archivos de registro de todas las cuentas que especifique. Esto significa que debes modificar la política de compartimentos de tu bucket de destino para conceder CloudTrail permiso para escribir archivos de registro de cada cuenta especificada.

nota

Por motivos de seguridad, los usuarios sin autorización no pueden crear un registro de seguimiento que incluya AWSLogs/ como parámetro S3KeyPrefix.

Para modificar los permisos de bucket para que los archivos puedan recibirse desde varias cuentas

  1. Inicie sesión AWS Management Console con la cuenta propietaria del bucket (en este ejemplo) y abra la consola Amazon S3.

  2. Elija el depósito en el que se CloudTrail entregan los archivos de registro y, a continuación, elija Permisos.

  3. Para Bucket policy (Política de bucket), elija Edit (Editar).

  4. Modifique la política existente para añadir una línea para cada cuenta adicional cuyos archivos de registro desea enviar a este bucket. Consulte la siguiente política de ejemplo y preste atención a la línea Resource subrayada donde se especifica un segundo ID de cuenta. Como práctica recomendada de seguridad, agregue una clave de conción aws:SourceArn de la política de bucket de Amazon S3. Esto ayuda a evitar el acceso no autorizado a su bucket de S3. Si tiene trazas existentes, asegúrese de agregar una o más claves de condición.

    nota

    Un ID de AWS cuenta es un número de doce dígitos que incluye los ceros iniciales. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
      "Condition": { 
          "StringEquals": { 
            "aws:SourceArn": [ 
              "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
              "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
            ]
          }
       }
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}