Ricezione di file di CloudTrail registro da più account - AWS CloudTrail
Redazione degli ID account del proprietario del bucket per eventi dati chiamati da altri account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ricezione di file di CloudTrail registro da più account

È possibile CloudTrail distribuire file di log da più bucket Amazon S3 Account AWS in un unico bucket Amazon S3. Ad esempio, ne hai quattro Account AWS con ID di account 1111, 222222222222, 3333 e 444444444444 e desideri configurare per consegnare i file di registro da tutti e quattro questi account CloudTrail a un bucket appartenente all'account 1111. Per eseguire questa operazione, completa i seguenti passaggi nell'ordine indicato:

  1. Attiva un percorso nell'account a cui apparterrà il bucket di destinazione (111111111111, in questo esempio). Per il momento non creare un percorso per altri account.

    Per istruzioni, consulta Creazione di un percorso nella console.

  2. Aggiornare la policy di bucket nel bucket di destinazione per concedere a CloudTrail le autorizzazioni tra più account.

    Per istruzioni, consulta Impostazione della policy del bucket per più account.

  3. Crea un percorso negli altri account (222222222222, 333333333333 e 444444444444 in questo esempio) per cui desideri registrare l'attività. Quando crei il percorso in ogni account, specifica lo stesso bucket Amazon S3 appartenente all'account specificato nel passaggio 1 (111111111111 in questo esempio). Per istruzioni, consulta Creazione di percorsi in account aggiuntivi.

    Nota

    Se scegli di abilitare la crittografia SSE-KMS, la politica della chiave KMS deve consentire di utilizzare la chiave per crittografare i file di registro e consentire CloudTrail agli utenti specificati di leggere i file di registro in forma non crittografata. Per informazioni sulla modifica manuale della policy della chiave, consulta Configura policy della chiave AWS KMS per CloudTrail.

Redazione degli ID account del proprietario del bucket per eventi dati chiamati da altri account

Storicamente, se gli eventi CloudTrail relativi ai dati erano abilitati in un chiamante Account AWS dell'API di eventi dati di Amazon S3 CloudTrail , mostrava l'ID account del proprietario del bucket S3 nell'evento dati (ad esempio). PutObject Ciò si è verificato anche se l'account proprietario del bucket non ha attivato gli eventi dati S3.

Ora, CloudTrail rimuove l'ID dell'account del proprietario del bucket S3 nel resources blocco se vengono soddisfatte entrambe le seguenti condizioni:

  • La chiamata API Data Event proviene da un utente Account AWS diverso dal proprietario del bucket Amazon S3.

  • Il chiamante API ha ricevuto un errore AccessDenied che era solo per l'account chiamante.

Il proprietario della risorsa su cui è stata effettuata la chiamata API riceve ancora l'evento completo.

I seguenti frammenti di record di eventi sono un esempio del comportamento previsto. Nello snippet Historic, l'ID account 123456789012 del proprietario del bucket S3 viene mostrato a un chiamante API da un account diverso. Nell'esempio del comportamento corrente, l'ID account del proprietario del bucket non viene visualizzato.

# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::test-my-bucket-2"
    }
]

Di seguito è riportato il comportamento attuale.

# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::test-my-bucket-2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::test-my-bucket-2"
    }
]
Argomenti