翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
複数のアカウントのバケットポリシーの設定
複数のアカウントからログファイルを受け取るバケットの場合、そのバケットポリシーは、指定したすべてのアカウントからログファイルを書き込むアクセス権限を CloudTrail に付与する必要があります。つまり、指定された各アカウントからログファイルを書き込むためのアクセス権限を CloudTrail に付与するために、送信先バケットでバケットポリシーを変更する必要があります。
セキュリティ上の理由から、権限のないユーザーは S3KeyPrefix パラメータとして AWSLogs/ を含む証跡を作成することはできません。
複数のアカウントからファイルを受信できるようにバケットのアクセス権限を変更するには
-
この例では、バケット (111111111111) を所有するアカウント AWS Management Console を使用して にサインインし、Amazon S3 コンソールを開きます。
-
CloudTrail が、ログファイルを配信するバケットを選択し、[Permissions] (アクセス許可) を選択します。
-
[Bucket policy] (バケットポリシー) で [Edit] (編集) を選択します。
-
既存のポリシーを変更して、このバケットに配信するログファイルを持つ追加のアカウントごとに行を追加します。次のサンプルポリシーを参照して、2 番目のアカウント ID を指定する下線が引かれた Resource 行に注意してください。セキュリティのベストプラクティスとして、aws:SourceArn 条件キーを Amazon S3 バケットポリシーに追加します。これにより、S3 バケットへの不正アクセスを防止できます。既存の証跡がある場合は、必ず 1つまたは複数の条件キーを追加してください。
AWS アカウント ID は、先頭にゼロを含む 12 桁の数字です。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
]
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
],
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
