翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
複数のアカウントのバケットポリシーの設定
バケットが複数のアカウントからログファイルを受信するには、そのバケットポリシーで、 CloudTrail 指定したすべてのアカウントからログファイルを書き込む権限を付与する必要があります。つまり、宛先バケットのバケットポリシーを変更して、 CloudTrail 指定した各アカウントからログファイルを書き込む権限を付与する必要があります。
注記
セキュリティ上の理由から、権限のないユーザーは S3KeyPrefix
パラメータとして AWSLogs/
を含む証跡を作成することはできません。
複数のアカウントからファイルを受信できるようにバケットのアクセス権限を変更するには
-
バケットを所有するアカウント (この例では 111111111111) AWS Management Console を使用してにサインインし、Amazon S3 コンソールを開きます。
-
CloudTrail ログファイルを配信するバケットを選択し、[権限] を選択します。
-
[Bucket policy] (バケットポリシー) で [Edit] (編集) を選択します。
-
既存のポリシーを変更して、このバケットに配信するログファイルを持つ追加のアカウントごとに行を追加します。次のサンプルポリシーを参照して、2 番目のアカウント ID を指定する下線が引かれた
Resource
行に注意してください。セキュリティのベストプラクティスとして、aws:SourceArn
条件キーを Amazon S3 バケットポリシーに追加します。これにより、S3 バケットへの不正アクセスを防止できます。既存の証跡がある場合は、必ず 1つまたは複数の条件キーを追加してください。注記
AWS アカウント ID は、先頭のゼロを含む 12 桁の数字です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
myBucketName
", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region
:111111111111
:trail/primaryTrailName
", "arn:aws:cloudtrail:region
:222222222222
:trail/secondaryTrailName
" ] } } }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName
/optionalLogFilePrefix/
AWSLogs/111111111111
/*", "arn:aws:s3:::myBucketName
/optionalLogFilePrefix/
AWSLogs/222222222222
/*" ], "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region
:111111111111
:trail/primaryTrailName
", "arn:aws:cloudtrail:region
:222222222222
:trail/secondaryTrailName
" ], "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }