本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 接收来自多个账户的 CloudTrail 日志文件
<a name="cloudtrail-receive-logs-from-multiple-accounts"></a>

您可以 Amazon Web Services 账户 将多个日志文件 CloudTrail 传输到单个 Amazon S3 存储桶中。例如，您有四个 Amazon Web Services 账户 账户为 IDs 111111111111、222222222222、33333333333333和4444444444444，并且您要配置为将所有四个账户中的日志文件传输到属于账户 11111111111111 的存储桶。 CloudTrail 要完成此操作，请依次完成以下步骤：

1. 在目标存储桶所属的账户（此示例中为 111111111111）中创建跟踪。不要为任何其他账户创建跟踪。

   有关说明，请参阅[使用控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)。

1. 更新目标存储桶的存储桶策略，以便向 CloudTrail 授予跨账户权限。

   有关说明，请参阅[设置适用于多个账户的存储桶策略](cloudtrail-set-bucket-policy-for-multiple-accounts.md)。

1. 在要为其记录活动的其他账户（此示例中为 222222222222、333333333333 和 444444444444）中创建跟踪。在每个账户中创建跟踪时，指定属于您在步骤 1 中指定的账户（此示例中为 111111111111）的 Amazon S3 存储桶。有关说明，请参阅[在其他账户中创建跟踪](turn-on-cloudtrail-in-additional-accounts.md)。
**注意**  
如果您选择启用 SSE-KMS 加密，KMS 密钥策略必须 CloudTrail 允许使用该密钥加密您的日志文件和摘要文件，并允许您指定的用户读取未加密形式的日志文件或摘要文件。有关手动编辑密钥政策的信息，请参阅[为以下各项配置 Amazon KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。

## 为其他账户调 IDs 用的数据事件编辑存储桶所有者账户
<a name="cloudtrail-receive-logs-s3-owner-id-redaction"></a>

过去，如果在 Amazon S3 CloudTrail 数据事件 API 调用者中启用了数据事件，则会在数据事件中 CloudTrail 显示 S3 存储桶拥有者的账户 ID（例如`PutObject`）。 Amazon Web Services 账户 即使存储桶拥有者账户没有启用 S3 数据事件，也会出现这种情况。

现在，如果满足以下两个条件，则 CloudTrail 删除`resources`区块中 S3 存储桶所有者的账户 ID：
+ 数据事件 API 调用来自不同 Amazon Web Services 账户 于 Amazon S3 存储桶拥有者的人。
+ API 调用程序收到了一个仅适用于该调用程序账户的 `AccessDenied` 错误。

在其上面进行 API 调用的资源的拥有者仍收到完整的事件。

以下事件记录片段是一个预期行为的示例。在 `Historic` 片段中，将向不同账户中的 API 调用程序显示 S3 存储桶拥有者的账户 ID 123456789012。在当前行为示例中，不会显示存储桶拥有者的账户 ID。

```
# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
```

以下是当前的行为。

```
# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
```

**Topics**
+ [为其他账户调 IDs 用的数据事件编辑存储桶所有者账户](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [设置适用于多个账户的存储桶策略](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [在其他账户中创建跟踪](turn-on-cloudtrail-in-additional-accounts.md)