Condivisione di file di log di CloudTrail tra account AWS - AWS CloudTrail

Condivisione di file di log di CloudTrail tra account AWS

Questa sezione spiega come condividere i file di log di CloudTrail tra più account AWS. Presumeremo che tutti i file di log siano stati ricevuti in un unico bucket Amazon S3. Si tratta dell'impostazione di default per un percorso creato nella console CloudTrail. Nel primo scenario è illustrato come concedere accesso in sola lettura agli account che hanno generato i file di log inseriti nel bucket Amazon S3. Nel secondo scenario è illustrato come concedere l'accesso a tutti i file di log a un account di terze parti in grado di analizzare i file per tuo conto.

Per condividere i file di log tra più account AWS, devi eseguire i passaggi generali seguenti. Questi passaggi sono descritti in dettaglio più avanti in questa sezione.

  • Crea un ruolo IAM per ogni account con cui desideri condividere i file di log.

  • Per ciascun ruolo IAM, crea una policy di accesso che conceda l'accesso in sola lettura all'account con cui vuoi condividere i file di log.

  • Predisponi un utente IAM in ciascun account in modo che assuma a livello di programmazione il ruolo appropriato e recuperi i file di log.

Questa sezione descrive in dettaglio i passaggi precedenti nel contesto dei due diversi scenari di condivisione: concessione dell'accesso ai file di log a ciascun account che ha generato tali file e condivisione dei file di log con terze parti. La maggior parte dei passaggi per entrambi gli scenari sono gli stessi. La differenza importante risiede nel tipo di autorizzazioni che il ruolo IAM concede a ciascun account. In altre parole, puoi consentire a un account di leggere solo i propri file di log oppure puoi concedere a un account l'autorizzazione per leggere tutti i file di log. Per ulteriori dettagli sulla gestione delle autorizzazioni per i ruoli IAM, consulta Ruoli (Delega e Federazione) nella Guida per l'utente di IAM.

Scenario 1: concedere l'accesso all'account che ha generato i file di log

In questo scenario, presupponiamo che l'azienda sia costituita da due business unit e che gestisca tre account AWS. Il primo account, Account A, è l'account di primo livello. Potrebbe essere gestito, ad esempio, dal reparto IT dell'azienda e quindi essere responsabile della raccolta dei file di log da tutti gli altri reparti e business unit in un singolo bucket. Gli altri due account, B e C, corrispondono alle business unit dell'azienda.

In questo scenario si presuppone che tu abbia già configurato i file di log di tutti e tre gli account in modo che vengano distribuiti in un solo bucket Amazon S3 e che l'account A abbia il controllo completo sul bucket, come illustrato nella figura seguente.


                    Tutti i file di log vengono inseriti in un singolo bucket

Sebbene il bucket Amazon S3 contenga i file di log generati dagli account A, B e C, gli account B e C inizialmente non hanno accesso ai file di log generati dagli account B e C. A ciascuna business unit puoi assegnare l'accesso in sola lettura ai file di log generati, come illustrato nella figura seguente.


                        Concessione dell'accesso ai file di log

Per concedere l'accesso in sola lettura ai file di log generati dagli account B e C, devi eseguire la procedura seguente per l'account A. Ricorda che l'account A ha il controllo completo del bucket Amazon S3.

  • Crea un ruolo IAM per l'account B e un altro ruolo IAM per l'account C. Procedura: Creazione di un ruolo

  • Per il ruolo IAM creato per l'account B, crea una policy di accesso che conceda l'accesso in sola lettura ai file di log generati dall'account B. Per il ruolo IAM creato per l'account C, crea una policy di accesso che conceda l'accesso in sola lettura ai file di log generati dall'account C. Procedura: Creazione di una policy di accesso per concedere l'accesso ad account di proprietà

  • Predisponi un utente IAM nell'account B in modo che assuma a livello di programmazione il ruolo creato per l'account B. Predisponi un utente IAM nell'account C in modo che assuma a livello di programmazione il ruolo creato per l'account C. Il proprietario del rispettivo account deve concedere a ogni utente IAM l'autorizzazione ad assumere il ruolo corrispondente. In che modo: Creazione delle policy di autorizzazione per gli utenti IAM.

  • Infine, il proprietario dell'account che concede l'autorizzazione deve essere un amministratore e deve conoscere l'ARN del ruolo assunto nell'account A. In che modo: Chiamata dell'API AssumeRole.

Gli utenti IAM negli account B e C possono quindi recuperare a livello di programmazione i rispettivi file di log, ma non i file di log di qualsiasi altro account.

Scenario 2: concedere l'accesso a tutti i log

In questo scenario, presupponiamo che l'azienda sia strutturata come nello scenario precedente, vale a dire che sia costituita da due business unit e che gestisca tre account AWS. Il primo account, Account A, è l'account di primo livello. Potrebbe essere gestita, ad esempio, dal reparto IT dell'azienda e quindi essere responsabile del posizionamento di tutti gli altri file di log in un singolo bucket. Gli altri due account, B e C, corrispondono a ciascuna business unit dell'azienda.

Analogamente allo scenario precedente, in questo scenario si presuppone che tu abbia già inserito i file di log di tutti e tre gli account in un solo bucket Amazon S3 e che l'account A abbia il controllo completo sul bucket.

Infine, presupponiamo anche che l'azienda voglia condividere tutti i file di log di tutti gli account (A, B e C) con terze parti. Aggiungiamo anche che una terza parte dispone di un account AWS, ovvero l'account Z, come illustrato nell'immagine seguente.


                    Account Z che legge i file di log degli account A, B e C

Per condividere tutti i file di log dell'azienda con l'account Z, devi eseguire la procedura seguente nell'account A, ovvero l'account che ha il controllo completo sul bucket Amazon S3.