Recepción de archivos de registro de CloudTrail de varias cuentas - AWS CloudTrail
Eliminación de los ID de las cuentas de los propietarios de los buckets para eventos de datos llamados por otras cuentas

Recepción de archivos de registro de CloudTrail de varias cuentas

Puede hacer que CloudTrail envíe los archivos de registro desde varias Cuentas de AWS a un solo bucket de Amazon S3. Por ejemplo, tiene cuatro Cuentas de AWS con los ID 111111111111, 222222222222, 333333333333 y 444444444444 y quiere configurar CloudTrail para que envíe los archivos de registro de las cuatro cuentas a un bucket que pertenece a la cuenta 111111111111. Para ello, siga los pasos que se describen a continuación por orden:

  1. Active un registro de seguimiento en la cuenta a la que pertenecerá el bucket de destino (111111111111 en este ejemplo). No cree ningún registro de seguimiento para las demás cuentas todavía.

    Para obtener instrucciones, consulte Creación de un registro de seguimiento con la consola.

  2. Actualice la política en su bucket de destino para conceder permisos entre cuentas a CloudTrail.

    Para obtener instrucciones, consulte Configuración de la política de bucket para varias cuentas.

  3. Cree un registro de seguimiento en las demás cuentas (222222222222, 333333333333 y 444444444444 en este ejemplo) en las que desee registrar la actividad. Cuando cree el registro de seguimiento en cada cuenta, especifique el bucket de Amazon S3 que pertenece a la cuenta que ha especificado en el paso 1 (111111111111 en este ejemplo). Para obtener instrucciones, consulte Crea registros de seguimiento en cuentas adicionales.

    nota

    Si decide habilitar el cifrado SSE-KMS, la política de claves de KMS debe permitir que CloudTrail utilice la clave para cifrar los archivos de registro y de resumen, y que los usuarios especificados lean los archivos de registro y de resumen en formato no cifrado. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas de clave de AWS KMS para CloudTrail.

Eliminación de los ID de las cuentas de los propietarios de los buckets para eventos de datos llamados por otras cuentas

Históricamente, si los eventos de datos de CloudTrail estaban habilitados en la Cuenta de AWS de un intermediario de la API de eventos de datos de Amazon S3, CloudTrail mostraba el ID de la cuenta del propietario del bucket de S3 en el evento de datos (por ejemplo, PutObject). Esto ocurría incluso si la cuenta del propietario del bucket no tenía activados los eventos de datos de S3.

Ahora, CloudTrail elimina el ID de la cuenta del propietario del bucket de S3 del bloque resources si se cumplen las dos condiciones siguientes:

  • La llamada a la API de eventos de datos proviene de una Cuenta de AWS distinta a la del propietario del bucket de Amazon S3.

  • El llamante de la API recibió un error AccessDenied que era solo para la cuenta del llamante.

El propietario del recurso en el que se realizó la llamada a la API sigue recibiendo el evento completo.

Los siguientes fragmentos de registro de eventos son un ejemplo del comportamiento esperado. En el fragmento Historic, se muestra el ID de cuenta 123456789012 del propietario del bucket de S3 a un llamante de la API de otra cuenta. En el ejemplo del comportamiento actual, no se muestra el ID de la cuenta del propietario del bucket.

# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]

El siguiente es el comportamiento actual.

# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
Temas