Impostazione della policy del bucket per più account

Per consentire a un bucket di ricevere file di log da più account, la relativa policy deve concedere a CloudTrail l'autorizzazione per scrivere file di log da tutti gli account specificati. Ciò significa che è necessario modificare la policy del bucket di destinazione in modo da concedere a CloudTrail l'autorizzazione a scrivere i file di log da ogni account specificato.

Nota

Per motivi di sicurezza, gli utenti non autorizzati non possono creare un percorso che includa AWSLogs/ come parametro S3KeyPrefix.

Per modificare le autorizzazioni del bucket in modo che i file possano essere ricevute da più account

Accedi alla AWS Management Console utilizzando l'account proprietario del bucket (111111111111, in questo esempio) e apri la console Amazon S3.
Scegli il bucket dove CloudTrail distribuisce i file di registro, quindi Autorizzazioni.
Per Policy del bucket scegli Modifica.

Modificare la policy esistente aggiungendo una riga per ogni account aggiuntivo i cui file di log si vuole distribuire a questo bucket. Consulta la seguente policy di esempio e annotare la riga Resource sottolineata specificando un secondo ID account. Come best practice per la sicurezza, aggiungi una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. Questo aiuta a prevenire l'accesso non autorizzato al bucket S3. Se hai percorsi esistenti, assicurati di aggiungere una o più chiavi di condizione.

Nota

Un ID account AWS è un numero a dodici cifre, compresi gli zeri iniziali.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::myBucketName"
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::myBucketName/optionalLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::myBucketName/optionalLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "aws:SourceArn": [ 
            "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
            "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
          ],
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ricezione di file di log CloudTrail da più account

Attivazione di CloudTrail in account aggiuntivi