Receber arquivos de log do CloudTrail de várias contas
Você pode fazer com que o CloudTrail forneça arquivos de log de várias Contas da AWS a um único bucket do Amazon S3. Por exemplo, você tem quatro Contas da AWS com os IDs 111111111111, 222222222222, 333333333333 e 444444444444 e deseja configurar o CloudTrail para fornecer arquivos de log dessas quatro contas a um bucket que pertence à conta 111111111111. Para fazer isso, siga estas etapas na ordem:
-
Crie uma trilha na conta à qual o bucket de destino pertencerá (neste exemplo, 111111111111). Não crie ainda uma trilha para outras contas.
Para obter instruções, consulte Criar uma trilha no console.
-
Atualize a política no bucket de destino para conceder ao CloudTrail permissões entre contas.
Para obter instruções, consulte Definir a política de bucket para várias contas.
-
Crie uma trilha nas outras contas (222222222222, 333333333333 e 444444444444 neste exemplo) para o qual deseja registrar atividades em log. Ao criar a trilha em cada conta, especifique o bucket do Amazon S3 pertencente à conta que você especificou na etapa 1 (neste exemplo, 111111111111). Para obter instruções, consulte Criar trilhas em contas adicionais.
nota
Se você optar por habilitar a criptografia SSE-KMS, a política de chaves do KMS precisa permitir que o CloudTrail use a chave para criptografar seus arquivos de log e que os usuários especificados leiam arquivos de log de modo não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.
Redação de IDs de conta de proprietário do bucket para eventos de dados chamados por outras contas
Historicamente, se os eventos de dados do CloudTrail foram habilitados na Conta da AWS de um chamador da API de eventos de dados do Amazon S3, o CloudTrail mostrava o ID da conta do proprietário do bucket do S3 no evento de dados (como PutObject
). Isso ocorria mesmo quando a conta do proprietário do bucket não tinha eventos de dados do S3 habilitados.
Agora, o CloudTrail remove o ID da conta do proprietário do bucket do S3 no bloco resources
quando ambas as condições a seguir são atendidas:
-
A chamada de API de eventos de dados é de uma Conta da AWS diferente da do proprietário do bucket do Amazon S3.
-
O chamador da API recebia um erro
AccessDenied
que era apenas para a conta do chamador.
O proprietário do recurso no qual a chamada de API era feita ainda recebe o evento completo.
Os trechos de registro de eventos a seguir são um exemplo do comportamento esperado. No snippet Historic
, o ID da conta 123456789012 do proprietário do bucket S3 é mostrado para um chamador de API de uma conta diferente. No exemplo do comportamento atual, o ID da conta do proprietário do bucket não é mostrado.
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]
O comportamento atual é mostrado a seguir.
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]