Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Empfangen von CloudTrail Protokolldateien von mehreren Konten
Sie können Protokolldateien von mehreren AWS-Konten in einen einzigen Amazon S3 S3-Bucket CloudTrail liefern lassen. Sie haben beispielsweise vier Konten AWS-Konten mit den Konten IDs 111111111111, 222222222222, 333333333333 und 444444444444, und Sie möchten die Konfiguration so konfigurieren, dass Protokolldateien von allen vier dieser Konten an einen Bucket gesendet werden, der zum Konto 111111111111 gehört. CloudTrail Führen Sie dazu die Schritte in der angegebenen Reihenfolge aus:
1. Erstellen Sie einen Trail in dem Konto mit dem Ziel-Bucket (in diesem Beispiel 111111111111). Erstellen Sie noch keinen Trail für andere Konten.
Detaillierte Anweisungen finden Sie unter [Einen Trail mit der Konsole erstellen](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
1. Aktualisieren Sie die Bucket-Richtlinie für den Ziel-Bucket, um CloudTrail kontoübergreifende Berechtigungen zu gewähren.
Detaillierte Anweisungen finden Sie unter [Festlegen der Bucket-Richtlinie für mehrere Konten](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
1. Erstellen Sie einen Trail in anderen Konten (in diesem Beispiel 222222222222, 333333333333 und 444444444444) für den Sie Aktivitäten protokollieren können. Wenn Sie den Trail in jedem Konto erstellen, geben Sie den Amazon-S3-Bucket an, der zu dem Konto gehört, das Sie in Schritt 1 angegeben haben (in diesem Beispiel 111111111111). Detaillierte Anweisungen finden Sie unter [Erstellen von Trails in zusätzlichen Konten](turn-on-cloudtrail-in-additional-accounts.md).
**Anmerkung**
Wenn Sie die SSE-KMS-Verschlüsselung aktivieren, muss die KMS-Schlüsselrichtlinie die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokoll- und Digest-Dateien zulassen und den von Ihnen angegebenen Benutzern das Lesen von Protokolldateien oder Digest-Dateien in unverschlüsselter Form ermöglichen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
## Das Konto des Bucket-Besitzers wird für Datenereignisse, die von anderen Konten IDs aufgerufen wurden, geschwärzt
In AWS-Konto der Vergangenheit wurde, wenn CloudTrail Datenereignisse in einem Amazon S3 S3-Datenereignis-API-Aufrufer aktiviert waren, CloudTrail die Konto-ID des S3-Bucket-Besitzers im Datenereignis angezeigt (z. B.`PutObject`). Dies trat auch dann auf, wenn das Bucket-Eigentümerkonto S3-Datenereignisse nicht aktiviert hatte.
CloudTrail Löscht nun die Konto-ID des S3-Bucket-Besitzers im `resources` Block, wenn beide der folgenden Bedingungen erfüllt sind:
+ Der API-Aufruf für Datenereignisse stammt von einem anderen Benutzer AWS-Konto als dem Besitzer des Amazon S3 S3-Buckets.
+ Der API-Aufrufer erhielt einen `AccessDenied`-Fehler, der nur für das Aufruferkonto galt.
Der Besitzer der Ressource, auf der der API-Aufruf durchgeführt wurde, erhält weiterhin das vollständige Ereignis.
Die folgenden Ereignisdatensnippets sind ein Beispiel für das erwartete Verhalten. Im `Historic`-Snippet wird die Konto-ID 123456789012 des S3-Bucket-Eigentümers einem API-Aufrufer aus einem anderen Konto angezeigt. Im Beispiel des aktuellen Verhaltens wird die Konto-ID des Bucket-Eigentümers nicht angezeigt.
```
# Historic
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
Das aktuelle Verhalten ist wie folgt.
```
# Current
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
**Topics**
+ [
## Das Konto des Bucket-Besitzers wird für Datenereignisse, die von anderen Konten IDs aufgerufen wurden, geschwärzt
](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [
# Festlegen der Bucket-Richtlinie für mehrere Konten
](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [
# Erstellen von Trails in zusätzlichen Konten
](turn-on-cloudtrail-in-additional-accounts.md)
# Festlegen der Bucket-Richtlinie für mehrere Konten
Damit ein Bucket Protokolldateien aus mehreren Konten empfangen kann, muss die Bucket-Richtlinie CloudTrail die Berechtigung zum Schreiben von Protokolldateien von allen Konten, die Sie angeben, erteilen. Das bedeutet, dass Sie die Bucket-Richtlinie in Ihrem Ziel-Bucket ändern müssen, um die CloudTrail Erlaubnis zu erteilen, Protokolldateien von jedem angegebenen Konto zu schreiben.
**Anmerkung**
Aus Sicherheitsgründen können nicht autorisierte Benutzer einen Trail erstellen, der `AWSLogs/` als `S3KeyPrefix`-Parameter enthält.
**So ändern Sie Ihre Bucket-Berechtigungen, damit Dateien von mehreren Konten empfangen werden können**
1. Melden Sie sich AWS-Managementkonsole mit dem Konto an, dem der Bucket gehört (in diesem Beispiel 111111111111), und öffnen Sie die Amazon S3 S3-Konsole.
1. **Wählen Sie den Bucket aus, in den Ihre Protokolldateien CloudTrail geliefert werden, und wählen Sie dann Berechtigungen.**
1. Wählen Sie unter **Bucket policy** (Bucket-Richtlinie) **Edit** (Bearbeiten) aus.
1. Ändern Sie die vorhandene Richtlinie und fügen Sie für jedes zusätzliche Konto, dessen Protokolldateien an diesen Bucket gesendet werden sollen, eine Zeile hinzu. Weitere Informationen finden Sie in der folgenden Beispielrichtlinie. Achten Sie auf die unterstrichene `Resource`-Zeile, die eine zweite Konto-ID angibt. Als bewährte Sicherheitsmethode gilt es, der Amazon S3-Bucket-Richtlinie einen `aws:SourceArn`-Bedingungsschlüssel hinzuzufügen. Dies verhindert unbefugten Zugriff auf Ihren S3-Bucket. Wenn bereits Trails vorhanden sind, fügen Sie unbedingt einen oder mehrere Bedingungsschlüssel hinzu.
**Anmerkung**
Eine AWS Konto-ID ist eine zwölfstellige Zahl, einschließlich führender Nullen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
]
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
],
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
# Erstellen von Trails in zusätzlichen Konten
Sie können die Konsole oder die verwenden AWS CLI , um zusätzliche Trails zu erstellen AWS-Konten und deren Protokolldateien in einem Amazon S3 S3-Bucket zusammenzufassen. Alternativ können Sie einen Organisationspfad erstellen AWS-Konten , um alle Mitglieder einer Organisation zu protokollieren AWS Organizations. Weitere Informationen finden Sie unter [Erstellen eines Trails für eine Organisation](creating-trail-organization.md).
## Verwenden Sie die Konsole, um Trails für zusätzliche AWS Konten zu erstellen
Sie können die CloudTrail Konsole verwenden, um Trails in zusätzlichen Konten zu erstellen.
1. Melde dich AWS-Managementkonsole mit dem Konto an, für das du einen Trail erstellen möchtest. Befolgen Sie die Schritte unter [Einen Trail mit der Konsole erstellen](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console), um mit der Konsole einen Trail zu erstellen.
1. Wählen Sie für **Storage location** (Speicherort) die Option **Use existing S3 bucket** (Vorhandenen S3-Bucket verwenden) aus. Verwenden Sie das Textfeld, um den Namen des Buckets einzugeben, den Sie verwenden, um Protokolldateien in verschiedenen Konten zu speichern.
**Anmerkung**
Die Bucket-Richtlinie muss die CloudTrail Schreibberechtigung für den Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt [Festlegen der Bucket-Richtlinie für mehrere Konten](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
![\[Vorhandenen S3-Bucket verwenden\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-use-existing-bucket.png)
1. Geben Sie unter **Präfix** das Präfix ein, das Sie zum kontenübergreifenden Speichern von Protokolldateien verwenden. Wenn Sie ein Präfix verwenden möchten, das sich von dem unterscheidet, was Sie in Ihrer Bucket-Richtlinie angegeben haben, müssen Sie die Bucket-Richtlinie in Ihrem Ziel-Bucket bearbeiten, CloudTrail damit Sie mit diesem neuen Präfix Protokolldateien in Ihren Bucket schreiben können.
## Verwenden der CLI zum Erstellen eines Trails in zusätzlichen AWS Konten
Sie können die AWS Befehlszeilentools verwenden, um Trails in zusätzlichen Konten zu erstellen und deren Protokolldateien in einem Amazon S3 S3-Bucket zusammenzufassen. Weitere Informationen zu diesen Tools finden Sie unter [cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) in der *AWS CLI Befehlsreferenz.*
Erstellen Sie mit dem Befehl **create-trail** einen Trail und geben Sie dabei Folgendes an:
+ `--name` legt den Namen des Trails fest.
+ `--s3-bucket-name` gibt den Amazon-S3-Bucket an, den Sie verwenden, um Protokolldateien in Konten zu speichern.
+ `--s3-prefix` legt ein Präfix für den Protokolldatei-Übermittlungspfad fest (optional).
+ `--is-multi-region-trail`gibt an, dass dieser Trail Ereignisse in allen AWS Regionen der Partition protokolliert, in der Sie arbeiten.
Sie können für jede Region, in der ein Konto AWS Ressourcen ausführt, einen Trail erstellen.
Der folgende Beispielbefehl zeigt, wie Sie mithilfe der AWS CLI einen Trail für zusätzliche Konten erstellen. Wenn Protokolldateien zu diesen Konten an den Bucket übertragen werden sollen, den Sie im ersten Konto (in diesem Beispiel 111111111111) erstellt haben, geben Sie den Namen des Buckets in der Option `--s3-bucket-name` an. Die Namen von Amazon-S3-Buckets sind global eindeutig.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail
```
Wenn Sie den Befehl ausführen, wird eine Ausgabe ähnlich der Folgenden angezeigt:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "AWSCloudTrailExample",
"TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Weitere Informationen zur Verwendung CloudTrail von Tools über die AWS Befehlszeile finden Sie in der [CloudTrail Befehlszeilenreferenz](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html).