複数のアカウントのバケットポリシーの設定 - AWSCloudTrail

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

複数のアカウントのバケットポリシーの設定

複数のアカウントからログファイルを受け取るバケットの場合、そのバケットポリシーは、指定したすべてのアカウントからログファイルを書き込むアクセス権限を CloudTrail に付与する必要があります。つまり、指定された各アカウントからログファイルを書き込むためのアクセス権限を CloudTrail に付与するために、送信先バケットでバケットポリシーを変更する必要があります。

注記

セキュリティ上の理由から、承認されていないユーザーは を含む証跡を AWSLogs/ パラメータS3KeyPrefixとして作成できません。

複数のアカウントからファイルを受信できるようにバケットのアクセス権限を変更するには

  1. バケットを所有するアカウント (この例では 111111111111) を使用して AWS マネジメントコンソール にサインインし、Amazon S3 コンソールを開きます。

  2. CloudTrail​ が、ログファイルを配信するバケットを選択し、[Properties] を選択します。

  3. [Permissions] を選択します。

  4. [Edit Bucket Policy] を選択します。

  5. 既存のポリシーを変更して、このバケットに配信するログファイルを持つ追加のアカウントごとに行を追加します。次のサンプルポリシーを参照して、2 番目のアカウント ID を指定する下線が引かれた Resource 行に注意してください。

    注記

    AWS アカウント ID は、12 桁の数字で、先頭のゼロは省略できません。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailAclCheck20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::myBucketName"
    },
    {
      "Sid": "AWSCloudTrailWrite20131101",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": [
        "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/111111111111/*",
        "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/222222222222/*"
      ],
      "Condition": { 
        "StringEquals": { 
          "s3:x-amz-acl": "bucket-owner-full-control" 
        }
      }
    }
  ]
}