Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réception de fichiers CloudTrail journaux provenant de plusieurs comptes
Vous pouvez CloudTrail envoyer des fichiers journaux à partir de plusieurs Comptes AWS dans un seul compartiment Amazon S3. Par exemple, vous en avez quatre Comptes AWS avec les ID de compte 1111111111, 222222222222, 333333333333 et 444444444444, et vous souhaitez configurer pour transmettre les fichiers journaux de ces quatre comptes à un compartiment appartenant au compte 111111111111. CloudTrail Pour ce faire, suivez scrupuleusement les étapes suivantes:
-
Créez un journal de suivi dans le compte auquel le compartiment de destination appartient (111111111111, en l'occurrence). Ne créez pas encore de journal de suivi pour d'autres comptes.
Pour obtenir des instructions, veuillez consulter Créer un journal de suivi dans la console.
-
Mettez à jour la politique de compartiment de votre compartiment de destination pour accorder des autorisations entre comptes à CloudTrail.
Pour obtenir des instructions, veuillez consulter Configuration de la politique de compartiment pour plusieurs comptes.
-
Créez un journal de suivi dans les autres comptes (222222222222, 333333333333 et 444444444444, en l'occurrence) pour lesquels vous souhaitez enregistrer des activités. Lorsque vous créez le journal de suivi dans chaque compte, indiquez le compartiment Amazon S3 appartenant au compte que vous avez spécifié à l'étape 1 (111111111111, en l'occurrence). Pour obtenir des instructions, veuillez consulter Créer des journaux de suivi dans des comptes supplémentaires.
Note
Si vous choisissez d'activer le chiffrement SSE-KMS, la politique de clé KMS doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
Traitement des ID de compte de propriétaire du compartiment pour les événements de données appelés par d'autres comptes
Historiquement, si CloudTrail les événements de données étaient activés dans l'API Compte AWS d'un événement de données Amazon S3, l'ID de compte du propriétaire du compartiment S3 CloudTrail était affiché dans l'événement de données (tel quePutObject). Cela s'est produit même si les événements de données S3 n'étaient pas activés sur le compte propriétaire du compartiment.
CloudTrail Supprime maintenant l'ID de compte du propriétaire du compartiment S3 dans le resources bloc si les deux conditions suivantes sont remplies :
-
L'appel d'API de l'événement de données provient d'un autre propriétaire Compte AWS que le propriétaire du compartiment Amazon S3.
-
L'appelant de l'API a reçu une
AccessDeniederreur qui concernait uniquement le compte appelant.
Le propriétaire de la ressource sur laquelle l'appel d'API a été effectué reçoit toujours l'événement complet.
Les extraits de registre d'événements suivants sont un exemple du comportement attendu. Dans l’extrait Historic, l'ID de compte 123456789012 du propriétaire du compartiment S3 est affiché à un appelant d'API à partir d'un autre compte. Dans l'exemple de comportement actuel, l'ID de compte du propriétaire du compartiment n'est pas affiché.
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2" } ]
Voici le comportement actuel.
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2" } ]
Rubriques
