As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Política de bucket do Amazon S3 para o CloudTrail
Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Se você deseja criar ou modificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha de organização, modifique a política do bucket. Para ter mais informações, consulte Criando uma trilha para uma organização com o AWS CLI.
Para fornecer arquivos de log a um bucket do S3, o CloudTrail precisa ter as permissões necessárias e não pode estar configurado como um bucket de pagamento a cargo do solicitante.
O CloudTrail adiciona os seguintes campos à política para você:
-
Os SIDs permitidos
-
O nome do bucket
-
O nome primário do serviço do CloudTrail
-
O nome da pasta em que os arquivos de log são armazenados, incluindo o nome do bucket, um prefixo (se você o especificou) e a ID da sua conta da AWS
Como uma prática recomendada de segurança, adicione uma aws:SourceArn
chave de condição para a política de bucket do Amazon S3. A chave de condição global do IAM aws:SourceArn
ajuda a garantir que o CloudTrail grava no bucket do S3 somente para uma trilha ou trilhas específicas. O valor de aws:SourceArn
é sempre o ARN da trilha (ou matriz de ARNs de trilha) que está usando o bucket para armazenar logs. Certifique-se de adicionar a chave de condição aws:SourceArn
às políticas de bucket do S3 para as trilhas existentes.
nota
Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 estiver inacessível), o CloudTrail tentará reentregar os arquivos de log ao seu bucket do S3 por 30 dias, e esses eventos de tentativa de entrega estarão sujeitos às cobranças padrão do CloudTrail. Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.
A política a seguir permite que o CloudTrail grave arquivos de log no bucket das Regiões da AWS compatíveis. Substitua amzn-s3-demo-bucket
, [optionalPrefix]/
, myAccountID
, region
e trailName
pelos valores apropriados para sua configuração.
Política de bucket do S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/[optionalPrefix]/
AWSLogs/myAccountID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
" } } } ] }
Para obter mais informações sobre o Regiões da AWS, consulte CloudTrail Regiões suportadas.
Sumário
Especificar um bucket existente para entrega de logs do CloudTrail
Se você tiver especificado um bucket do S3 existente como o local de armazenamento da entrega de arquivos de log, será necessário anexar uma política ao bucket que permite que o CloudTrail faça gravações no bucket.
nota
Como prática recomendada, use um bucket do S3 dedicado para os logs do CloudTrail.
Para adicionar a política do CloudTrail necessária a um bucket do Amazon S3
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Escolha o bucket no qual deseja que o CloudTrail entregue seus arquivos de log e escolha Permissions (Permissões).
-
Selecione a opção Editar.
-
Copie a S3 bucket policy na janela Bucket Policy Editor. Substitua os marcadores em itálico pelos nomes de seu bucket, prefixo e número da conta. Se você tiver especificado um prefixo quando você criou sua trilha, inclua-o aqui. O prefixo é uma opção adicional para a chave do objeto do S3 que cria uma organização em formato de pasta no seu bucket.
nota
Se o bucket existente já tem uma ou mais políticas anexadas, adicione as declarações de acesso do CloudTrail a essa política ou a essas políticas. Avalie o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessarão o bucket.
Receber arquivos de log de outras contas
Você pode configurar o CloudTrail para fornecer arquivos de log de várias contas da AWS a um único bucket do S3. Para ter mais informações, consulte Recebendo arquivos de CloudTrail log de várias contas.
Criar ou atualizar um bucket do Amazon S3 a ser usado para armazenar os arquivos de log de uma trilha da organização
Você deve especificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha de organização. Esse bucket deve ter uma política que permita ao CloudTrail colocar os arquivos de log da organização no bucket.
Veja a seguir um exemplo de política para um bucket do Amazon S3 chamado amzn-s3-demo-bucket
pertencente à conta de gerenciamento da organização. Substitua amzn-s3-demo-bucket
, region
, managementAccountID
, trailName
e o-organizationID
pelos valores correspondentes da sua organização
Essa política de bucket consiste em três instruções.
-
A primeira instrução permite que o CloudTrail chame a ação
GetBucketAcl
do Amazon S3 no bucket do Amazon S3. -
A segunda permite o registro em log caso a trilha seja alterada de uma trilha da organização para uma trilha somente dessa conta.
-
A terceira instrução permite o registro em log para uma trilha da organização.
O exemplo de política inclui uma chave de condição aws:SourceArn
para a política de bucket do Amazon S3. A chave de condição global do IAM aws:SourceArn
ajuda a garantir que o CloudTrail grava no bucket do S3 somente para uma trilha ou trilhas específicas. Em uma trilha da organização, o valor de aws:SourceArn
deve ser um ARN de trilha que pertença à conta de gerenciamento e use a ID da conta de gerenciamento.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/AWSLogs/managementAccountID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/AWSLogs/o-organizationID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } } ] }
Essa política de exemplo não permite que usuários de contas-membro acessem os arquivos de log criados para a organização. Por padrão, os arquivos de log da organização poderão ser acessados somente pela conta de gerenciamento. Para obter informações sobre como conceder acesso de leitura ao bucket do Amazon S3 para usuários do IAM nas contas-membro, consulte Compartilhar arquivos de log do CloudTrail entre contas da AWS.
Solução de problemas da política de bucket do Amazon S3
As seções a seguir descrevem como solucionar problemas da política de bucket do S3.
nota
Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 estiver inacessível), o CloudTrail tentará reentregar os arquivos de log ao seu bucket do S3 por 30 dias, e esses eventos de tentativa de entrega estarão sujeitos às cobranças padrão do CloudTrail. Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.
Erros comuns de configuração da política do Amazon S3
Quando você cria um novo bucket como parte da criação ou da atualização de uma trilha, o CloudTrail anexa as permissões necessárias ao seu bucket. A política de bucket usa o nome da entidade principal do serviço, "cloudtrail.amazonaws.com"
, o que permite que o CloudTrail forneça logs de todas as regiões.
Se o CloudTrail não estiver fornecendo logs para uma região, é possível que seu bucket tenha uma política mais antiga que especifica IDs de contas do CloudTrail para cada região. Essa política oferece ao CloudTrail permissão para fornecer logs somente para as regiões especificadas.
Como prática recomendada, atualize a política para usar uma permissão com o principal do serviço do CloudTrail. Para fazer isso, substitua os Nomes de região da Amazon (ARN) do ID da conta pelo nome principal do serviço: "cloudtrail.amazonaws.com"
. Isso permite que o CloudTrail forneça os logs das regiões atuais e novas. Como uma prática recomendada de segurança, adicione um aws:SourceArn
ou aws:SourceAccount
chave de condição à política do bucket do Amazon S3. Isso ajuda a impedir o acesso não autorizado à conta do seu bucket do S3. Se você tiver trilhas existentes, certifique-se de adicionar uma ou mais chaves de condição. Veja a seguir um exemplo de uma configuração de política recomendada. Substitua amzn-s3-demo-bucket
, [optionalPrefix]/
, myAccountID
, region
e trailName
pelos valores apropriados para sua configuração.
exemplo Exemplo de política de bucket com o nome principal do serviço
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket
",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket
/[optionalPrefix]/
AWSLogs/myAccountID
/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:trail/trailName
"
}
}
}
]
}
Alterar um prefixo de um bucket existente
Se você tentar adicionar, modificar ou remover o prefixo de um arquivo de log para um bucket do S3 que recebe logs de uma trilha, poderá ver o erro: Há um problema com a sua política de bucket. Uma política de bucket com um prefixo incorreto pode impedir que sua trilha forneça logs ao bucket. Para resolver esse problema, use o console do Amazon S3 e atualize o prefixo na política de bucket e use o console do CloudTrail e especifique o mesmo prefixo para o bucket na trilha.
Para atualizar o prefixo do arquivo de log de um bucket do Amazon S3
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Escolha o bucket para o qual deseja modificar o prefixo e escolha Permissions (Permissões).
-
Selecione a opção Editar.
-
Na política de bucket, na ação
s3:PutObject
, edite a entradaResource
para adicionar, modificar ou remover oprefixo
do arquivo de log conforme necessário."Action": "s3:PutObject", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/prefix/
AWSLogs/myAccountID
/*", -
Escolha Salvar.
Abra o console do CloudTrail em https://console.aws.amazon.com/cloudfront/
. -
Escolha a trilha e, em Storage location, clique no ícone de lápis para editar as configurações do seu bucket.
-
Em S3 bucket, escolha o bucket com o prefixo que você está alterando.
-
Em Log file prefix, atualize o prefixo de acordo com o prefixo informado na política do bucket.
-
Escolha Salvar.
Recursos adicionais
Para obter mais informações sobre buckets e políticas do S3, consulte Uso de políticas de bucket no Guia do usuário do Amazon Simple Storage Service.