本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
从多个账户中接收 CloudTrail 日志文件
您可以让日志文件从多个 CloudTrail 传输到单个 Amazon S3 存储桶 Amazon Web Services 账户 中。例如,您拥有账户分别 Amazon Web Services 账户 为 IDs 11111111111111、2222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222 CloudTrail 要完成此操作,请依次完成以下步骤:
-
在目标存储桶所属的账户(此示例中为 111111111111)中创建跟踪。不要为任何其他账户创建跟踪。
有关说明,请参阅使用控制台创建跟踪。
-
更新目标存储桶的存储桶策略,以便向 CloudTrail 授予跨账户权限。
有关说明,请参阅设置适用于多个账户的存储桶策略。
-
在要为其记录活动的其他账户(此示例中为 222222222222、333333333333 和 444444444444)中创建跟踪。在每个账户中创建跟踪时,指定属于您在步骤 1 中指定的账户(此示例中为 111111111111)的 Amazon S3 存储桶。有关说明,请参阅在其他账户中创建跟踪。
注意
如果您选择启用 SSE-KMS 加密,则 KMS 密钥政策必须 CloudTrail 允许使用此密钥加密您的日志文件和摘要文件,并允许您指定的用户读取未加密形式的日志文件或摘要文件。有关手动编辑密钥政策的信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。
为其他账户调 IDs用的数据事件修订存储桶拥有者账户
历史上,如果已在 Amazon S3 CloudTrail 数据事件 API 调用程序的中启用数据事件,则会在数据事件(如PutObject)中 CloudTrail 显示 S3 存储桶拥有者的账户 ID。 Amazon Web Services 账户 即使存储桶拥有者账户没有启用 S3 数据事件,也会出现这种情况。
现在,如果满足以下两个条件,则会在resources块中 CloudTrail 删除 S3 存储桶拥有者的账户 ID:
-
数据事件 API 调用来自 Amazon S3 存储桶拥有者之 Amazon Web Services 账户 外的其他。
-
API 调用程序收到了一个仅适用于该调用程序账户的
AccessDenied错误。
在其上面进行 API 调用的资源的拥有者仍收到完整的事件。
以下事件记录片段是一个预期行为的示例。在 Historic 片段中,将向不同账户中的 API 调用程序显示 S3 存储桶拥有者的账户 ID 123456789012。在当前行为示例中,不会显示存储桶拥有者的账户 ID。
# Historic "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "123456789012", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]
以下是当前的行为。
# Current "resources": [ { "type": "AWS::S3::Object", "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/" }, { "accountId": "", "type": "AWS::S3::Bucket", "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2" } ]