Ricezione di file di CloudTrail log da più account - AWS CloudTrail
Redazione degli ID account del proprietario del bucket per eventi dati chiamati da altri account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ricezione di file di CloudTrail log da più account

Puoi impostare i CloudTrail file di log da piùAWS account in un unico bucket Amazon S3. Ad esempio, disponi di quattroAWS account con gli ID account 111111111111, 2222222222, 333333333333 e 44444444444444 e vuoi CloudTrail configurare i file di log da questi quattro account in un bucket appartenente all'account 111111111111. Per eseguire questa operazione, completa i seguenti passaggi nell'ordine indicato:

  1. Attiva CloudTrail nell'account a cui apparterrà il bucket di destinazione (111111111111 in questo esempio). Per il momento non attivarlo CloudTrail negli altri account.

    Per istruzioni, consulta Creazione di un percorso.

  2. Aggiornare la policy di bucket nel bucket di destinazione per concedere a CloudTrail le autorizzazioni tra più account.

    Per istruzioni, consulta Impostazione della policy del bucket per più account.

  3. Attiva CloudTrail negli altri account desiderati (2222222222, 333333333333 e 4444444444444444 in questo esempio). Configura CloudTrail in questi account per utilizzare lo stesso bucket appartenente all'account specificato al passaggio 1 (111111111111 in questo esempio).

    Per istruzioni, consulta Attivazione CloudTrail in account aggiuntivi.

Redazione degli ID account del proprietario del bucket per eventi dati chiamati da altri account

Storicamente, se gli eventi CloudTrail dati sono stati abilitati nell'AWSaccount di un chiamante API di eventi dati Amazon S3, CloudTrail ha mostrato l'ID account del proprietario del bucket S3 nell'evento dati (ad esempioPutObject). Ciò si è verificato anche se l'account proprietario del bucket non ha attivato gli eventi dati S3.

Ora, CloudTrail rimuove l'ID account del proprietario del bucket S3 nelresources blocco in presenza di entrambe le condizioni seguenti:

  • La chiamata API dell'evento dati proviene da un altro account AWS rispetto al proprietario del bucket Amazon S3.

  • Il chiamante API ha ricevuto un errore AccessDenied che era solo per l'account chiamante.

Il proprietario della risorsa su cui è stata effettuata la chiamata API riceve ancora l'evento completo.

I seguenti frammenti di record di eventi sono un esempio del comportamento previsto. Nello snippet Historic, l'ID account 123456789012 del proprietario del bucket S3 viene mostrato a un chiamante API da un account diverso. Nell'esempio del comportamento corrente, l'ID account del proprietario del bucket non viene visualizzato.

# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::test-my-bucket-2"
    }
]

Di seguito è riportato il comportamento attuale.

# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::test-my-bucket-2"
    }
]
Argomenti