#cloudformationを用いたcloudtrailの記述方法
"s3:x-amz-acl: bucket-owner-full-control"の必要性が理解できません。
下記参照先(AWS::CloudTrail::Trail)の公式ドキュメントには**"すべてのリージョンのイベントを記録する証跡、ログの発行先となる Amazon バケット"**という紹介で下記の通りcloudtrailログをputする例が記載されていますが、"StringEquals:s3:x-amz-acl: bucket-owner-full-control"を記述してしまったらバケットの所有者のcloudtrailしか記録されないのではないでしょうか。
※bucket-owner-full-control(アクセスコントロールリスト (ACL) の概要)
オブジェクト所有者とバケット所有者はオブジェクトに対する FULL_CONTROL を取得します。バケットの作成時にこの既定 ACL を指定しても、Amazon S3 には無視されます。
#目的
全てのユーザ、ロールが使用したcloudtrailログを収集したいです。
AWS::CloudTrail::Trail
※以下公式ドキュメントより抜粋
- Sid: AWSCloudTrailWrite Effect: Allow Principal: Service: cloudtrail.amazonaws.com Action: s3:PutObject Resource: !Sub arn:aws:s3:::${S3PaBucketlogs}/AWSLogs/${AWS::AccountId}/* Condition: StringEquals: s3:x-amz-acl: bucket-owner-full-control
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/08/16 03:52