Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Política de bucket de Amazon S3 para CloudTrail
De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.
Si desea crear o modificar un bucket de Amazon S3 para que reciba los archivos de registro de un registro de traza de organización, deberá modificar aún más la política del bucket. Para obtener más información, consulte Crear un registro para una organización con AWS CLI.
Para entregar archivos de registro a un depósito de S3, CloudTrail debe tener los permisos necesarios y no puede configurarse como un depósito que el solicitante paga.
CloudTrail añade los siguientes campos a la política por usted:
-
Los SID permitidos
-
El nombre del bucket
-
El nombre principal del servicio para CloudTrail
-
El nombre de la carpeta en la que se almacenan los archivos de registro, incluido el nombre del depósito, un prefijo (si lo especificó) y el identificador de su AWS cuenta
Como práctica recomendada de seguridad, agregue una clave de conción aws:SourceArn de la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que solo se CloudTrail escriba en el bucket de S3 para una o varias rutas específicas. El valor de aws:SourceArn siempre es el ARN de la traza (o matriz de ARN de senderos) que utiliza el bucket para almacenar registros. Asegúrese de agregar la clave de condición aws:SourceArn en las políticas de bucket de S3 para las trazas existentes.
La siguiente política permite CloudTrail escribir archivos de registro en el bucket desde lo compatible Regiones de AWS. Sustituya DOC-EXAMPLE-BUCKET, [OptionalPrefix]/, myAccountID, por los valores adecuados para su configuración.region y TrailName
Política de bucket de S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/[optionalPrefix]/AWSLogs/myAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName" } } } ] }
Para obtener Regiones de AWS más CloudTrail regiones compatibles información al respecto, consulte.
Contenido
- Especificar un depósito existente para la entrega de CloudTrail registros
- Recibir archivos de registro de otras cuentas
- Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
- Solucionar problemas con la política de bucket de Amazon S3
- Recursos adicionales de
Especificar un depósito existente para la entrega de CloudTrail registros
Si especificó un depósito de S3 existente como ubicación de almacenamiento para la entrega de los archivos de registro, debe adjuntar una política CloudTrail al depósito que permita escribir en él.
nota
Como práctica recomendada, utilice un depósito de S3 dedicado a los CloudTrail registros.
Para añadir la CloudTrail política requerida a un bucket de Amazon S3
Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3
. -
Elija el depósito en el que quiere CloudTrail entregar los archivos de registro y, a continuación, elija Permisos.
-
Elija Editar.
-
Copie S3 bucket policy en la ventana Bucket Policy Editor. Sustituya los marcadores de posición en cursiva por los nombres del prefijo del bucket y el número de cuenta. Si especificó un prefijo cuando creó el registro de seguimiento, inclúyalo aquí. El prefijo es un añadido opcional a la clave del objeto de S3 que crea una organización en forma de carpeta en su bucket.
nota
Si el depósito existente ya tiene una o más políticas adjuntas, añada las instrucciones para CloudTrail acceder a esa política o políticas. Evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que van a tener acceso al bucket.
Recibir archivos de registro de otras cuentas
Puede configurarlo CloudTrail para entregar los archivos de registro de varias AWS cuentas a un único depósito de S3. Para obtener más información, consulte Recibir archivos de CloudTrail registro de varias cuentas.
Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
Debe especificar un bucket de Amazon S3 para recibir los archivos de registros de un registro de seguimiento de organización. Este depósito debe tener una política que permita CloudTrail colocar los archivos de registro de la organización en el depósito.
El siguiente es un ejemplo de política para un bucket de Amazon S3 denominado DOC-EXAMPLE-BUCKET, que es propiedad de la cuenta de administración de la organización. Sustituya DOC-EXAMPLE-BUCKET, region, y O-OrganizationID por los valores de su organizaciónmanagementAccountID, TrailName
Esta política de bucket contiene tres instrucciones.
-
La primera afirmación permite llamar CloudTrail a la
GetBucketAclacción de Amazon S3 en el bucket de Amazon S3. -
La segunda instrucción permite el registro en caso de que se cambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.
-
La tercera instrucción permite registrar el registro de seguimiento de una organización.
La política de ejemplo incluye una clave de condición aws:SourceArn para la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que solo se CloudTrail escriba en el bucket de S3 para una o varias rutas específicas. En una traza de organización, el valor de aws:SourceArn debe ser un ARN de seguimiento que pertenece a la cuenta de administración y utilice el ID de cuenta de administración.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } } ] }
Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a los archivos de registro creados para la organización. De forma predeterminada, solo la cuenta de administración tendrá acceso a los archivos de registros de organización. Para obtener información sobre cómo permitir a los usuarios de IAM de las cuentas miembro el acceso de lectura al bucket de Amazon S3, consulte Compartir archivos de CloudTrail registro entre AWS cuentas.
Solucionar problemas con la política de bucket de Amazon S3
En las secciones siguientes se describe cómo solucionar problemas con la política de bucket de S3.
Errores comunes en la configuración de la política de Amazon S3
Al crear un nuevo depósito como parte de la creación o actualización de un sendero, CloudTrail adjunta los permisos necesarios al depósito. La política de segmentos usa el nombre principal del servicio"cloudtrail.amazonaws.com", lo que permite CloudTrail entregar registros para todas las regiones.
Si no entrega registros para una región, CloudTrail es posible que su depósito tenga una política anterior que especifique los ID de CloudTrail cuenta de cada región. Esta política permite CloudTrail entregar registros solo para las regiones especificadas.
Como práctica recomendada, actualice la política para usar un permiso con el director del CloudTrail servicio. Para ello, sustituya los ARN del ID de cuenta por el nombre principal del servicio: "cloudtrail.amazonaws.com". Esto da CloudTrail permiso para entregar registros para las regiones actuales y nuevas. Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn o aws:SourceAccount a la política de bucket de Amazon S3. Esto ayuda a evitar el acceso no autorizado de la cuenta a su bucket de S3. Si tiene trazas existentes, asegúrese de agregar una o más claves de condición. A continuación se muestra un ejemplo de configuración de política recomendada: Sustituya DOC-EXAMPLE-BUCKET, [OptionalPrefix]/, myAccountID, por los valores adecuados para su configuración.region y TrailName
ejemplo Ejemplo de política de bucket con nombre principal del servicio
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}Cambiar un prefijo de un bucket existente
Si intenta agregar, modificar o eliminar el prefijo de un archivo de registro para un bucket de S3 que recibe registros de una traza, puede que aparezca el error: There is a problem with the bucket policy (Hay un problema con la política de bucket). Una política de bucket con un prefijo incorrecto puede impedir que su registro de seguimiento envíe archivos de registro al bucket. Para resolver este problema, utilice la consola Amazon S3 para actualizar el prefijo de la política de bucket y, a continuación, utilice la CloudTrail consola para especificar el mismo prefijo para el bucket de la ruta.
Para actualizar el prefijo del archivo de registros de un bucket de Amazon S3
Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3
. -
Elija el bucket para el que desea modificar el prefijo y, a continuación, seleccione Permissions (Permisos).
-
Elija Editar.
-
En la política del bucket, en la acción
s3:PutObject, edite la entradaResourcepara añadir, modificar o eliminar elprefijodel archivo de registro según sea necesario."Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/AWSLogs/myAccountID/*", -
Seleccione Guardar.
Abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.
-
Elija su registro de seguimiento y, en Storage location, haga clic en el icono del lápiz para editar la configuración del bucket.
-
En S3 bucket, elija el bucket con el prefijo que va a cambiar.
-
En Log file prefix, actualice el prefijo de forma que coincida con el prefijo que ha escrito en la política del bucket.
-
Seleccione Guardar.
Recursos adicionales de
Para obtener más información acerca de las políticas y los buckets de S3, consulte Uso de políticas de bucket en la Guía del usuario de Amazon Simple Storage Service.
