Politique relative aux compartiments Amazon S3 pour CloudTrail

Par défaut, les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource (le compte AWS qui a créé le compartiment) peut accéder au compartiment et aux objets qu’il contient. Le propriétaire de la ressource peut accorder des autorisations d'accès à d'autres ressources et à d'autres utilisateurs en créant une stratégie d'accès.

Si vous souhaitez créer ou modifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour le journal d’activité d’une organisation, vous devez modifier la politique de compartiment. Pour plus d’informations, consultez Création d'un parcours pour une organisation à l'aide du AWS CLI.

Pour fournir des fichiers journaux à un compartiment S3, vous CloudTrail devez disposer des autorisations requises, et celui-ci ne peut pas être configuré en tant que compartiment Requester Pays.

CloudTrail ajoute les champs suivants dans la politique pour vous :

• Les SID autorisés

• Le nom du compartiment

• Le nom principal du service pour CloudTrail

• Le nom du dossier dans lequel les fichiers journaux sont stockés, y compris le nom du compartiment, un préfixe (si vous en avez spécifié un) et votre identifiant de AWS compte

Comme bonne pratique en matière de sécurité, ajoutez une clé de condition aws:SourceArn à la politique de compartiment Amazon S3. La clé de condition globale IAM aws:SourceArn permet de garantir que les CloudTrail écritures dans le compartiment S3 ne concernent qu'un ou plusieurs sentiers spécifiques. La valeur de aws:SourceArn est toujours l’ARN du journal d’activité (ou de la série d’ARN du journal d’activité) qui utilise le compartiment pour stocker les journaux. Assurez-vous d'ajouter la aws:SourceArn clé de condition aux stratégies de compartiment S3 pour les suivis existants.

La politique suivante permet d' CloudTrail écrire des fichiers journaux dans le compartiment à partir de fichiers pris en charge Régions AWS. Remplacez DOC-EXAMPLE-BUCKET, [OptionalPrefix]/, MyAccountID, region et TrailName par les valeurs appropriées à votre configuration.

Politique de compartiment S3

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/[optionalPrefix]/AWSLogs/myAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
                }
            }
        }
    ]
}

Pour plus d'informations sur Régions AWS, voirCloudTrail Régions prises en charge.

Table des matières

• Spécification d'un compartiment existant pour la livraison du CloudTrail journal
• Réception des fichiers journaux depuis d’autres comptes
• Créez ou mettez à jour un compartiment Amazon S3 pour stocker les fichiers journaux du journal d’activité d’une organisation
• Résolution des erreurs de politique de compartiment Amazon S3
  • Erreurs courantes de configuration de politique Amazon S3
  • Modification d’un préfixe pour un compartiment existant
• Ressources supplémentaires

Spécification d'un compartiment existant pour la livraison du CloudTrail journal

Si vous avez spécifié un compartiment S3 existant comme emplacement de stockage pour la livraison des fichiers journaux, vous devez associer au compartiment une politique autorisant CloudTrail l'écriture dans le compartiment.

Note

Il est recommandé d'utiliser un compartiment S3 dédié pour les CloudTrail journaux.

Pour ajouter la CloudTrail politique requise à un compartiment Amazon S3

1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

2. Choisissez le compartiment dans lequel vous CloudTrail souhaitez envoyer vos fichiers journaux, puis choisissez Permissions.

3. Choisissez Modifier.

4. Copiez la S3 bucket policy dans la fenêtre Éditeur de politique de compartiment. Remplacez les espaces réservés en italique par les noms du compartiment, le préfixe et le numéro de compte. Si vous avez spécifié un préfixe lorsque vous avez créé votre journal d’activité, incluez-le ici. Le préfixe est un ajout facultatif à la clé d’objet S3 qui crée une organisation de type dossier dans le compartiment.

   Note

   Si une ou plusieurs politiques sont déjà associées au bucket existant, ajoutez les instructions pour CloudTrail accéder à cette ou ces politiques. Évaluez le jeu d’autorisations obtenu pour vérifier son adéquation pour les utilisateurs appelés à accéder au compartiment.

Réception des fichiers journaux depuis d’autres comptes

Vous pouvez configurer CloudTrail pour transférer les fichiers journaux de plusieurs AWS comptes vers un seul compartiment S3. Pour plus d’informations, consultez Réception de fichiers CloudTrail journaux provenant de plusieurs comptes.

Créez ou mettez à jour un compartiment Amazon S3 pour stocker les fichiers journaux du journal d’activité d’une organisation

Vous devez spécifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour un journal d’activité d’une organisation. Ce compartiment doit disposer d'une politique CloudTrail permettant d'y placer les fichiers journaux de l'organisation.

Voici un exemple de politique pour un compartiment Amazon S3 nommé DOC-EXAMPLE-BUCKET, qui appartient au compte de gestion de l'organisation. Remplacez DOC-EXAMPLE-BUCKET, region, ManagementAccountID, TrailName et O-OrganizationID par les valeurs de votre organisation

Cette politique de compartiment contient trois instructions.

• La première instruction permet CloudTrail d'appeler l'GetBucketAclaction Amazon S3 sur le compartiment Amazon S3.

• La seconde instruction permet de se connecter dans le cas où le suivi est modifié d'un suivi d'organisation à un suivi pour ce compte uniquement.

• La troisième instruction autorise la journalisation pour le suivi d'organisation.

L’exemple de politique inclut une clé de condition aws:SourceArn de la politique de compartiment Amazon S3. La clé de condition globale IAM aws:SourceArn permet de garantir que les CloudTrail écritures dans le compartiment S3 ne concernent qu'un ou plusieurs sentiers spécifiques. Dans un journal de suivi de l’organisation, la valeur de aws:SourceArn doit être un ARN de suivi appartenant au compte de gestion qui utilise l'ID du compte de gestion.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailOrganizationWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        }
    ]
}

Cet exemple de politique n’autorise pas tous les utilisateurs des comptes membres à accéder aux fichiers journaux créés pour l’organisation. Par défaut, les fichiers journaux de l’organisation sont accessibles uniquement au compte de gestion. Pour plus d’informations sur la manière d’autoriser un accès en lecture au compartiment Amazon S3 pour les utilisateurs IAM des comptes membres, consultez Partage de fichiers CloudTrail journaux entre AWS comptes.

Résolution des erreurs de politique de compartiment Amazon S3

Les sections suivantes décrivent la résolution des problèmes liés à la politique de compartiment S3.

Erreurs courantes de configuration de politique Amazon S3

Lorsque vous créez un nouveau bucket dans le cadre de la création ou de la mise à jour d'un trail CloudTrail, vous associez les autorisations requises à votre bucket. La politique de compartiment utilise le nom principal du service"cloudtrail.amazonaws.com", qui permet CloudTrail de fournir des journaux pour toutes les régions.

CloudTrail S'il ne fournit pas de journaux pour une région, il est possible que votre compartiment dispose d'une ancienne politique qui spécifie les identifiants de CloudTrail compte pour chaque région. Cette politique donne CloudTrail l'autorisation de fournir des journaux uniquement pour les régions spécifiées.

Il est recommandé de mettre à jour la politique pour utiliser une autorisation auprès du directeur du CloudTrail service. Pour cela, remplacez les ARN de l’ID de compte par le nom principal du service : "cloudtrail.amazonaws.com". Cela donne CloudTrail l'autorisation de fournir des journaux pour les régions actuelles et nouvelles. Comme bonne pratique en matière de sécurité, ajoutez une aws:SourceArn ou aws:SourceAccount clé de condition de la politique de compartiment Amazon S3. Cela permet d’empêcher tout accès non autorisé de compte à votre compartiment S3. Si vous avez déjà des journaux d’activité, veillez à ajouter une ou plusieurs clés de condition. Voici un exemple de configuration de politique recommandée. Remplacez DOC-EXAMPLE-BUCKET, [OptionalPrefix]/, MyAccountID, region et TrailName par les valeurs appropriées à votre configuration.

Exemple de politique de compartiment avec le nom principal du service

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/[optionalPrefix]/AWSLogs/myAccountID/*",
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control",
                "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
                }
            }
        }
    ]
}

Modification d’un préfixe pour un compartiment existant

Si vous essayez d’ajouter, de modifier ou de supprimer un préfixe de fichier journal pour un compartiment S3 qui reçoit les journaux d’un journal d’activité, vous pourriez obtenir l’erreur suivante : Problème avec la politique de compartiment. Une politique de compartiment avec un préfixe incorrect peut empêcher votre journal d’activité de livrer les journaux au compartiment. Pour résoudre ce problème, utilisez la console Amazon S3 pour mettre à jour le préfixe dans la politique de compartiment, puis utilisez la CloudTrail console pour spécifier le même préfixe pour le compartiment dans le journal.

Pour mettre à jour le préfixe du fichier journal pour un compartiment Amazon S3

1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

2. Sélectionnez le compartiment pour lequel vous souhaitez modifier le préfixe, puis choisissez Permissions (Autorisations).

3. Choisissez Modifier.

4. Dans la politique de compartiment, sous s3:PutObject l'action, modifiez Resource l'entrée pour ajouter, modifier, ou supprimer le préfixe du fichier journal selon les besoins.

   "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/AWSLogs/myAccountID/*",

5. Choisissez Save (Enregistrer).

6. Ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.

7. Choisissez votre journal d’activité et pour Storage location (Emplacement du stockage), cliquez sur l’icône en forme de crayon afin de modifier les paramètres de votre compartiment.

8. Dans S3 bucket (Compartiment S3), choisissez le compartiment dont vous modifiez le préfixe.

9. Dans Log file prefix (Préfixe du fichier journal), mettez à jour le préfixe de manière à refléter le préfixe que vous avez saisi dans la politique de compartiment.

10. Choisissez Save (Enregistrer).

Ressources supplémentaires

Pour plus d'informations sur les compartiments S3 et les politiques, consultez Utilisation des politiques de compartiments (Français non garanti) du Guide de l'utilisateur Amazon Simple Storage Service.