複数のアカウントのバケットポリシーの設定

複数のアカウントからログファイルを受け取るバケットの場合、そのバケットポリシーは、指定したすべてのアカウントからログファイルを書き込むアクセス権限を CloudTrail に付与する必要があります。つまり、指定された各アカウントからログファイルを書き込むためのアクセス権限を CloudTrail に付与するために、送信先バケットでバケットポリシーを変更する必要があります。

注記

セキュリティ上の理由から、権限のないユーザーは S3KeyPrefix パラメータとして AWSLogs/ を含む証跡を作成することはできません。

複数のアカウントからファイルを受信できるようにバケットのアクセス権限を変更するには

バケットを所有するアカウント (この例では 111111111111) を使用して AWS Management Console にサインインし、Amazon S3 コンソールを開きます。
CloudTrail が、ログファイルを配信するバケットを選択し、[Properties] を選択します。
[Permissions] を選択します。
[Edit Bucket Policy] を選択します。

既存のポリシーを変更して、このバケットに配信するログファイルを持つ追加のアカウントごとに行を追加します。次のサンプルポリシーを参照して、2 番目のアカウント ID を指定する下線が引かれた Resource 行に注意してください。

注記

AWS アカウント ID は、12 桁の数字で、先頭のゼロは省略できません。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::myBucketName"
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control" 
        }
      }
    }
  ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

複数のアカウントから CloudTrail ログファイルを受け取る

追加のアカウントで CloudTrail を有効にする