Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy sui bucket Amazon S3 per CloudTrail
Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.
Per creare o modificare un bucket Amazon S3 per ricevere file di log per un percorso dell'organizzazione, devi cambiare la policy del bucket. Per ulteriori informazioni, consulta Creare un percorso per un'organizzazione con AWS Command Line Interface.
CloudTrail aggiunge automaticamente i seguenti campi nella politica:
-
SID consentiti
-
Nome del bucket
-
Il nome principale del servizio per CloudTrail
-
Il nome della cartella in cui sono archiviati i file di registro, incluso il nome del bucket, un prefisso (se ne hai specificato uno) e l'ID dell'account AWS
Come best practice per la sicurezza, aggiungere una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. La chiave di condizione globale IAM aws:SourceArn aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia valida solo per uno o più percorsi specifici. Il valore di aws:SourceArn è sempre l'ARN del percorso (o array del percorso ARN) che utilizza il bucket per memorizzare i registri. Assicurarsi di aggiungere la chiave di condizione aws:SourceArn alle politiche del bucket S3 per i percorsi esistenti.
La seguente politica consente di CloudTrail scrivere file di registro nel bucket da Supported. Regioni AWS Sostituisci myBucketName[optionalPrefix]/, myAccountID, region e trailName con i valori appropriati per la tua configurazione.
Policy del bucket S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optionalPrefix]/AWSLogs/myAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName" } } } ] }
Per ulteriori informazioni su, vedere. Regioni AWSCloudTrail Regioni supportate
Indice
- Specificare un bucket esistente per CloudTrail la consegna dei log
- Ricezione di file di log da altri account
- Creazione o aggiornamento di un bucket Amazon S3 da utilizzare per archiviare i file di log per un percorso dell'organizzazione
- Risoluzione dei problemi della policy del bucket Amazon S3
- Risorse aggiuntive
Specificare un bucket esistente per CloudTrail la consegna dei log
Se hai specificato un bucket S3 esistente come posizione di archiviazione per la consegna dei file di registro, devi allegare una policy al bucket che CloudTrail consenta di scrivere nel bucket.
Nota
Come best practice, usa un bucket S3 dedicato per i log. CloudTrail
Per aggiungere la CloudTrail policy richiesta a un bucket Amazon S3
Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/
. -
Scegli il bucket in cui desideri distribuire i file CloudTrail di registro, quindi scegli Autorizzazioni.
-
Scegliere Edit (Modifica).
-
Copiare la S3 bucket policy nella finestra Bucket Policy Editor (Editor policy bucket). Sostituire i segnaposto in corsivo con i nomi per il bucket, il prefisso e il numero di account. Se è stato specificato un prefisso durante la creazione del trail, includerlo qui. Il prefisso è un'aggiunta opzionale alla chiave dell'oggetto S3 che crea un'organizzazione con stile cartella nel tuo bucket.
Nota
Se il bucket esistente ha già una o più politiche allegate, aggiungi le istruzioni per l' CloudTrail accesso a quella o alle politiche. Valutare il set di autorizzazioni risultante per accertarsi che siano appropriate per gli utenti che accedono al bucket.
Ricezione di file di log da altri account
Puoi CloudTrail configurare la distribuzione dei file di registro da più AWS account a un singolo bucket S3. Per ulteriori informazioni, consulta Ricezione di file di CloudTrail registro da più account.
Creazione o aggiornamento di un bucket Amazon S3 da utilizzare per archiviare i file di log per un percorso dell'organizzazione
Devi specificare un bucket Amazon S3 per ricevere i file di log per un percorso dell'organizzazione. Questo bucket deve avere una politica che CloudTrail consenta di inserire i file di registro dell'organizzazione nel bucket.
Di seguito è riportato un esempio di policy per un bucket Amazon S3 denominato myOrganizationBucket, di proprietà dell'account di gestione dell'organizzazione. Sostituisci region , myOrganizationBucketmanagementAccountID, con i valori relativi alla tua organizzazionetrailName e O-organizationID
Questa policy del bucket contiene tre istruzioni.
-
La prima istruzione consente di CloudTrail richiamare l'
GetBucketAclazione Amazon S3 sul bucket Amazon S3. -
La seconda istruzione consente la registrazione nel caso in cui il percorso venga modificato da percorso dell'organizzazione a percorso solo per quell'account.
-
La terza istruzione consente la registrazione di un percorso dell'organizzazione.
Il criterio di esempio include una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. La chiave di condizione globale IAM aws:SourceArn aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia valida solo per uno o più percorsi specifici. In un trail dell'organizzazione, il valore di aws:SourceArn deve essere un ARN trail di proprietà dell'account di gestione e utilizza l'ID dell'account di gestione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myOrganizationBucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/managementAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/o-organizationID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } } ] }
Questa policy di esempio non consente agli utenti degli account membri di accedere ai file di log creati per l'organizzazione. Per impostazione predefinita, i file di log dell'organizzazione sono accessibili solo per l'account di gestione. Per informazioni su come permettere l'accesso in lettura al bucket Amazon S3 per gli utenti IAM degli account membri, consulta Condivisione di file di log di CloudTrail tra account AWS.
Risoluzione dei problemi della policy del bucket Amazon S3
Le seguenti sezioni descrivono come risolvere i problemi relativi alla policy del bucket S3.
Errori di configurazione comuni della policy Amazon S3
Quando crei un nuovo bucket come parte della creazione o dell'aggiornamento di un trail, assegna le CloudTrail autorizzazioni richieste al bucket. La policy del bucket utilizza il nome principale del servizio"cloudtrail.amazonaws.com", che consente di fornire log CloudTrail per tutte le regioni.
Se non fornisce i log per una regione, CloudTrail è possibile che il bucket abbia una politica precedente che specifica gli ID degli CloudTrail account per ciascuna regione. Questa politica CloudTrail autorizza la consegna dei log solo per le regioni specificate.
Come procedura ottimale, aggiorna la politica per utilizzare un'autorizzazione con il responsabile del CloudTrail servizio. A tale scopo, sostituisci gli ARN degli ID account con il nome principale del servizio: "cloudtrail.amazonaws.com". Ciò consente CloudTrail di fornire registri per le regioni attuali e nuove. Come best practice per la sicurezza, aggiungi una chiave di condizione aws:SourceArn o aws:SourceAccount per la policy del bucket Amazon S3. Ciò consente di impedire l'accesso non autorizzato all'account al bucket S3. Se hai percorsi esistenti, assicurati di aggiungere una o più chiavi di condizione. Di seguito è riportato l'esempio di configurazione consigliata della policy. Sostituisci myBucketName[optionalPrefix]/, myAccountID, region e trailName con i valori appropriati per la tua configurazione.
Esempio Policy del bucket con il nome principale del servizio
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::myBucketName",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}Modifica di un prefisso per un bucket esistente
Se cerchi di aggiungere, modificare o rimuovere un prefisso di file di log per un bucket S3 che riceve i log da un percorso, è possibile che venga visualizzato il seguente errore: There is a problem with the bucket policy (Si è verificato un problema con la policy del bucket). Una policy del bucket con un prefisso errato può far sì che un trail non sia in grado di distribuire i log nel bucket. Per risolvere questo problema, usa la console Amazon S3 per aggiornare il prefisso nella policy del bucket, quindi usa la CloudTrail console per specificare lo stesso prefisso per il bucket nel trail.
Per aggiornare il prefisso del file di log per un bucket Amazon S3
Apri la console Amazon S3 su https://console.aws.amazon.com/s3/
. -
Scegli il bucket per cui modificare il prefisso, quindi Autorizzazioni.
-
Scegli Modifica.
-
Nella policy del bucket, per l'azione
s3:PutObjectmodificare la voceResourceper aggiungere, modificare o rimuovere ilprefisso/del file di log, a seconda dei casi."Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*", -
Selezionare Salva.
Apri la console all'indirizzo https://console.aws.amazon.com/cloudtrail/. CloudTrail
-
Scegliere il trail e in Storage location (Percorso di storage) fare clic sull'icona a forma di matita per modificare le impostazioni del bucket.
-
In Bucket S3, scegliere il bucket con il prefisso che si sta modificando.
-
In Log file prefix (Prefisso file di log), aggiornare il prefisso in modo che corrisponda al prefisso immesso nella policy del bucket.
-
Seleziona Salva.
Risorse aggiuntive
Per ulteriori informazioni sulle policy e i bucket S3, consulta la Guida per gli sviluppatori di Amazon Simple Storage Service.
