本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定多帳戶的儲存貯體政策
儲存貯體若要接收多個帳戶的日誌檔案,其儲存貯體政策必須授予 CloudTrail 許可,從您指定的所有帳戶寫入日誌檔案。這表示您必須修改目標儲存貯體的儲存貯體政策,授予從各指定帳戶寫入日誌檔案的 CloudTrail 許可。
基於安全理由,未經授權的使用者無法建立包含 AWSLogs/ 作為 S3KeyPrefix 參數的追蹤。
修改儲存貯體許可,以便從多個帳戶接收檔案
-
AWS Management Console 使用此範例中擁有儲存貯體 (111111111111 的帳戶登入 ),然後開啟 Amazon S3 主控台。
-
選擇 CloudTrail 交付您日誌檔案的儲存貯體,然後選擇 Permissions (許可)。
-
對於 Bucket policy (儲存貯體政策),選擇 Edit (編輯)。
-
修改現有的政策,為每個想要將其日誌檔案交付到這個儲存貯體的其他帳戶新增程式碼。請參閱下列範例政策,並注意指定第二個帳戶 ID 加底線的 Resource 行。安全最佳實務是將 aws:SourceArn 條件金鑰新增至 Amazon S3 儲存貯體政策。這有助於防止未經授權存取您的 S3 儲存貯體。如果您具有現有的線索,請務必新增一或多個條件金鑰。
AWS 帳戶 ID 是 12 位數字,包括前導零。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
]
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
],
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
