複数のアカウントのバケットポリシーの設定
複数のアカウントからログファイルを受け取るバケットの場合、そのバケットポリシーは、指定したすべてのアカウントからログファイルを書き込むアクセス権限を CloudTrail に付与する必要があります。つまり、指定された各アカウントからログファイルを書き込むためのアクセス権限を CloudTrail に付与するために、送信先バケットでバケットポリシーを変更する必要があります。
複数のアカウントからファイルを受信できるようにバケットのアクセス権限を変更するには
-
バケットを所有するアカウント (この例では 111111111111) を使用して AWS マネジメントコンソール にサインインし、Amazon S3 コンソールを開きます。
-
CloudTrail が、ログファイルを配信するバケットを選択し、[Properties] を選択します。
-
[Permissions] を選択します。
-
[Edit Bucket Policy] を選択します。
-
既存のポリシーを変更して、このバケットに配信するログファイルを持つ追加のアカウントごとに行を追加します。次のサンプルポリシーを参照して、2 番目のアカウント ID を指定する下線が引かれた
Resource行に注意してください。注記
AWS アカウント ID は、12 桁の数字で、先頭のゼロは省略できません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
