複数のアカウントのバケットポリシーの設定

複数のアカウントからログファイルを受け取るバケットの場合、そのバケットポリシーは、指定したすべてのアカウントからログファイルを書き込むアクセス権限を CloudTrail に付与する必要があります。つまり、指定された各アカウントからログファイルを書き込むためのアクセス権限を CloudTrail に付与するために、送信先バケットでバケットポリシーを変更する必要があります。

注記

セキュリティ上の理由から、権限のないユーザーは S3KeyPrefix パラメータとして AWSLogs/ を含む証跡を作成することはできません。

複数のアカウントからファイルを受信できるようにバケットのアクセス権限を変更するには

1. バケットを所有するアカウント (この例では 111111111111) を使用して AWS Management Console にサインインし、Amazon S3 コンソールを開きます。

2. CloudTrail​ が、ログファイルを配信するバケットを選択し、[Permissions] (アクセス許可) を選択します。

3. [Bucket policy] (バケットポリシー) で [Edit] (編集) を選択します。

4. 既存のポリシーを変更して、このバケットに配信するログファイルを持つ追加のアカウントごとに行を追加します。次のサンプルポリシーを参照して、2 番目のアカウント ID を指定する下線が引かれた Resource 行に注意してください。セキュリティのベストプラクティスとして、aws:SourceArn 条件キーを Amazon S3 バケットポリシーに追加します。これにより、S3 バケットへの不正アクセスを防止できます。既存の証跡がある場合は、必ず 1つまたは複数の条件キーを追加してください。

   注記

   AWS アカウント ID は、先頭のゼロを含む、12 桁の数字です。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AWSCloudTrailAclCheck20131101",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:GetBucketAcl",
         "Resource": "arn:aws:s3:::myBucketName"
       },
       {
         "Sid": "AWSCloudTrailWrite20131101",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": [
           "arn:aws:s3:::myBucketName/optionalLogFilePrefix/AWSLogs/111111111111/*",
           "arn:aws:s3:::myBucketName/optionalLogFilePrefix/AWSLogs/222222222222/*"
         ],
         "Condition": { 
           "StringEquals": { 
             "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName",
             "s3:x-amz-acl": "bucket-owner-full-control"
           }
         }
       }
     ]
   }