Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ricezione di file di CloudTrail registro da più account
Ricezione di file di CloudTrail registro da più account

È possibile CloudTrail distribuire file di log da più bucket Amazon S3 Account AWS in un unico bucket Amazon S3. Ad esempio, ne hai quattro Account AWS con account IDs 1111, 222222222222, 3333 e 444444444444 e desideri configurare per consegnare i file di registro da tutti e quattro questi account CloudTrail a un bucket appartenente all'account 1111. Per eseguire questa operazione, completa i seguenti passaggi nell'ordine indicato:

1. Attiva un percorso nell'account a cui apparterrà il bucket di destinazione (111111111111, in questo esempio). Per il momento non creare un percorso per altri account.

   Per istruzioni, consulta [Creazione di un percorso con la console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).

1. Aggiornare la policy di bucket nel bucket di destinazione per concedere a CloudTrail le autorizzazioni tra più account.

   Per istruzioni, consulta [Impostazione della policy del bucket per più account](cloudtrail-set-bucket-policy-for-multiple-accounts.md).

1. Crea un percorso negli altri account (222222222222, 333333333333 e 444444444444 in questo esempio) per cui desideri registrare l'attività. Quando crei il percorso in ogni account, specifica lo stesso bucket Amazon S3 appartenente all'account specificato nel passaggio 1 (111111111111 in questo esempio). Per istruzioni, consulta [Creazione di percorsi in account aggiuntivi](turn-on-cloudtrail-in-additional-accounts.md).
**Nota**  
Se scegli di abilitare la crittografia SSE-KMS, la politica della chiave KMS deve consentire CloudTrail di utilizzare la chiave per crittografare i file di registro e i file digest e consentire agli utenti specificati di leggere i file di registro o i file digest in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md).

## Redazione dell'account proprietario del bucket per gli eventi relativi ai dati richiamati da altri account IDs


Storicamente, se gli eventi CloudTrail relativi ai dati erano abilitati in un chiamante Account AWS dell'API di eventi dati di Amazon S3 CloudTrail , mostrava l'ID account del proprietario del bucket S3 nell'evento dati (ad esempio). `PutObject` Ciò si è verificato anche se l'account proprietario del bucket non ha attivato gli eventi dati S3.

Ora, CloudTrail rimuove l'ID dell'account del proprietario del bucket S3 nel `resources` blocco se vengono soddisfatte entrambe le seguenti condizioni:
+ La chiamata API Data Event proviene da un utente Account AWS diverso dal proprietario del bucket Amazon S3.
+ Il chiamante API ha ricevuto un errore `AccessDenied` che era solo per l'account chiamante.

Il proprietario della risorsa su cui è stata effettuata la chiamata API riceve ancora l'evento completo.

I seguenti frammenti di record di eventi sono un esempio del comportamento previsto. Nello snippet `Historic`, l'ID account 123456789012 del proprietario del bucket S3 viene mostrato a un chiamante API da un account diverso. Nell'esempio del comportamento corrente, l'ID account del proprietario del bucket non viene visualizzato.

```
# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
```

Di seguito è riportato il comportamento attuale.

```
# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
```

**Topics**
+ [

## Redazione dell'account proprietario del bucket per gli eventi relativi ai dati richiamati da altri account IDs
](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [

# Impostazione della policy del bucket per più account
](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [

# Creazione di percorsi in account aggiuntivi
](turn-on-cloudtrail-in-additional-accounts.md)

# Impostazione della policy del bucket per più account
Impostazione della policy del bucket per più account

Per consentire a un bucket di ricevere file di log da più account, la relativa policy deve concedere a CloudTrail l'autorizzazione per scrivere file di log da tutti gli account specificati. Ciò significa che è necessario modificare la policy del bucket di destinazione per concedere l' CloudTrail autorizzazione a scrivere file di registro da ogni account specificato.

**Nota**  
Per motivi di sicurezza, gli utenti non autorizzati non possono creare un percorso che includa `AWSLogs/` come parametro `S3KeyPrefix`.

**Per modificare le autorizzazioni del bucket in modo che i file possano essere ricevute da più account**

1.  Accedi Console di gestione AWS utilizzando l'account che possiede il bucket (in questo esempio) e apri la console Amazon S3. 

1. **Scegli il bucket in cui CloudTrail invia i tuoi file di registro, quindi scegli Autorizzazioni.** 

1. Per **Policy del bucket** scegli **Modifica**.

1. Modificare la policy esistente aggiungendo una riga per ogni account aggiuntivo i cui file di log si vuole distribuire a questo bucket. Consulta la seguente policy di esempio e annotare la riga `Resource` sottolineata specificando un secondo ID account. Come best practice per la sicurezza, aggiungi una chiave di condizione `aws:SourceArn` per la policy del bucket Amazon S3. Questo aiuta a prevenire l'accesso non autorizzato al bucket S3. Se hai percorsi esistenti, assicurati di aggiungere una o più chiavi di condizione.
**Nota**  
Un ID AWS account è un numero di dodici cifre, inclusi gli zeri iniziali. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AWSCloudTrailAclCheck20131101",
               "Effect": "Allow",
               "Principal": {
                   "Service": "cloudtrail.amazonaws.com"
               },
               "Action": "s3:GetBucketAcl",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceArn": [
                           "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
                           "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
                       ]
                   }
               }
           },
           {
               "Sid": "AWSCloudTrailWrite20131101",
               "Effect": "Allow",
               "Principal": {
                   "Service": "cloudtrail.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
               ],
               "Condition": {
                   "StringEquals": {
                       "aws:SourceArn": [
                           "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
                           "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
                       ],
                       "s3:x-amz-acl": "bucket-owner-full-control"
                   }
               }
           }
       ]
   }
   ```

------

# Creazione di percorsi in account aggiuntivi
Creazione di percorsi in account aggiuntivi

Puoi utilizzare la console o il AWS CLI per creare percorsi aggiuntivi Account AWS e aggregare i relativi file di log in un unico bucket Amazon S3. In alternativa, puoi creare un percorso organizzativo per registrare tutti gli elementi Account AWS che fanno parte di un'organizzazione. AWS Organizations Per ulteriori informazioni, consulta [Creazione di un percorso per un'organizzazione](creating-trail-organization.md).

## Utilizzo della console per creare percorsi in AWS account aggiuntivi
Utilizzo della console per creare percorsi in account aggiuntivi

È possibile utilizzare la CloudTrail console per creare percorsi in account aggiuntivi.

1. Accedi Console di gestione AWS con l'account per il quale desideri creare un percorso. Completa le operazioni riportate in [Creazione di un percorso con la console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console) per creare un percorso usando la console.

1. Per **Storage location** (Posizione di archiviazione), scegli **Use existing S3 bucket** (Utilizza bucket S3 esistente). Utilizza la casella di testo per immettere il nome del bucket utilizzato per archiviare i file di log tra gli account.
**Nota**  
La bucket policy deve concedere CloudTrail il permesso di scrivervi. Per informazioni sulla modifica manuale della policy bucket, consulta [Impostazione della policy del bucket per più account](cloudtrail-set-bucket-policy-for-multiple-accounts.md).  
![\[Utilizzo del bucket S3 esistente\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-use-existing-bucket.png)

1. Per **Prefisso**, inserisci il prefisso che stai utilizzando per archiviare i file di log tra gli account. Se scegli di utilizzare un prefisso diverso da quello specificato nella policy del bucket, devi modificare la policy del bucket sul bucket di destinazione per consentire CloudTrail la scrittura di file di registro nel bucket utilizzando questo nuovo prefisso.

## Utilizzo della CLI per creare un percorso in account aggiuntivi AWS
Utilizzo della CLI per attivare account CloudTrail aggiuntivi

Puoi utilizzare gli strumenti da riga di AWS comando per creare percorsi in account aggiuntivi e aggregare i relativi file di log in un bucket Amazon S3. *Per ulteriori informazioni su questi strumenti, consulta [cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) nel Command Reference.AWS CLI *

Crea un percorso utilizzando il comando **create-trail**, specificando quanto segue:
+ `--name` specifica il nome del trail. 
+ `--s3-bucket-name` specifica il bucket Amazon S3 utilizzato per archiviare i file di log tra gli account. 
+ `--s3-prefix` specifica un prefisso per il percorso di distribuzione dei file di log (opzionale).
+ `--is-multi-region-trail`specifica che questo trail registrerà gli eventi in tutte le AWS regioni della partizione in cui stai lavorando.

È possibile creare un percorso per ogni regione in cui un account utilizza risorse. AWS 

L'esempio seguente mostra come creare un trail per account aggiuntivi utilizzando la AWS CLI. Per far sì che i file di log per questi account vengano distribuiti nel bucket creato nel primo account (111111111111, in questo esempio), specifica il nome del bucket nell'opzione `--s3-bucket-name`. I nomi dei bucket Amazon S3 devono essere univoci a livello globale. 

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail
```

Quando esegui il comando, vedrai un output simile al seguente:

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

Per ulteriori informazioni sull'utilizzo degli strumenti CloudTrail da riga di AWS comando, consulta il [riferimento alla riga di CloudTrail comando](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html).