Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Política de bucket de Amazon S3 para CloudTrail
De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.
Si desea crear o modificar un bucket de Amazon S3 para que reciba los archivos de registro de un registro de traza de organización, deberá modificar aún más la política del bucket. Para obtener más información, consulte [Crear un registro para una organización con AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md).
Para entregar archivos de registro a un depósito de S3, CloudTrail debe tener los permisos necesarios y no puede configurarse como un depósito que el [solicitante paga](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html).
CloudTrail añade los siguientes campos a la política por usted:
+ Los permitidos SIDs
+ El nombre del bucket
+ El nombre principal del servicio para CloudTrail
+ El nombre de la carpeta en la que se almacenan los archivos de registro, incluido el nombre del depósito, un prefijo (si lo especificó) y el identificador de su AWS cuenta
Como práctica recomendada de seguridad, agregue una clave de conción `aws:SourceArn` de la política de bucket de Amazon S3. La clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que solo se CloudTrail escriba en el bucket de S3 para una o varias rutas específicas. El valor de `aws:SourceArn` es siempre el ARN del sendero (o conjunto de senderos ARNs) que utiliza el depósito para almacenar los registros. Asegúrese de agregar la clave de condición `aws:SourceArn` en las políticas de bucket de S3 para las trazas existentes.
**nota**
Si configuras mal tu ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a entregar los archivos de registro en tu depósito de S3 durante 30 días, y estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
La siguiente política permite CloudTrail escribir archivos de registro en el bucket desde lo compatible. Regiones de AWS Sustituya *amzn-s3-demo-bucket* *[optionalPrefix]/**myAccountID*,*region*, y por *trailName* los valores adecuados para su configuración.
**Política de bucket de S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}
```
------
Para obtener más información al respecto Regiones de AWS, consulte[CloudTrail regiones compatibles](cloudtrail-supported-regions.md).
**Contents**
+ [
## Especificar un depósito existente para la entrega de CloudTrail registros
](#specify-an-existing-bucket-for-cloudtrail-log-delivery)
+ [
## Recibir archivos de registro de otras cuentas
](#aggregration-option)
+ [
## Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
](#org-trail-bucket-policy)
+ [
## Solucionar problemas con la política de bucket de Amazon S3
](#troubleshooting-s3-bucket-policy)
+ [
### Errores comunes en la configuración de la política de Amazon S3
](#s3-bucket-policy-for-multiple-regions)
+ [
### Cambiar un prefijo de un bucket existente
](#cloudtrail-add-change-or-remove-a-bucket-prefix)
+ [
## Recursos adicionales
](#cloudtrail-S3-bucket-policy-resources)
## Especificar un depósito existente para la entrega de CloudTrail registros
Si especificó un depósito de S3 existente como ubicación de almacenamiento para la entrega de los archivos de registro, debe adjuntar una política CloudTrail al depósito que permita escribir en él.
**nota**
Como práctica recomendada, utilice un depósito de S3 dedicado a los CloudTrail registros.
**Para añadir la CloudTrail política requerida a un bucket de Amazon S3**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Elija el depósito en el que quiere CloudTrail entregar los archivos de registro y, a continuación, elija **Permisos**.
1. Elija **Edit (Edición de)**.
1. Copie [S3 bucket policy](#s3-bucket-policy) en la ventana **Bucket Policy Editor**. Sustituya los marcadores de posición en cursiva por los nombres del prefijo del bucket y el número de cuenta. Si especificó un prefijo cuando creó el registro de seguimiento, inclúyalo aquí. El prefijo es un añadido opcional a la clave del objeto de S3 que crea una organización en forma de carpeta en su bucket.
**nota**
Si el depósito existente ya tiene una o más políticas adjuntas, añada las instrucciones para CloudTrail acceder a esa política o políticas. Evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que van a tener acceso al bucket.
## Recibir archivos de registro de otras cuentas
Puede configurarlo CloudTrail para entregar los archivos de registro de varias AWS cuentas a un único depósito de S3. Para obtener más información, consulte [Recepción de archivos de CloudTrail registro de varias cuentasEliminar la cuenta del propietario del bucket para los eventos de datos invocados IDs por otras cuentas](cloudtrail-receive-logs-from-multiple-accounts.md).
## Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
Debe especificar un bucket de Amazon S3 para recibir los archivos de registros de un registro de seguimiento de organización. Este depósito debe tener una política que permita CloudTrail colocar los archivos de registro de la organización en el depósito.
El siguiente es un ejemplo de política para un bucket de Amazon S3 denominado*amzn-s3-demo-bucket*, que es propiedad de la cuenta de administración de la organización. Sustituya *amzn-s3-demo-bucket* *region**managementAccountID*,*trailName*, y por *o-organizationID* los valores de su organización
Esta política de bucket contiene tres instrucciones.
+ La primera afirmación permite llamar CloudTrail a la `GetBucketAcl` acción de Amazon S3 en el bucket de Amazon S3.
+ La segunda instrucción permite el registro en caso de que se cambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.
+ La tercera instrucción permite registrar el registro de seguimiento de una organización.
La política de ejemplo incluye una clave de condición `aws:SourceArn` para la política de bucket de Amazon S3. La clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que solo se CloudTrail escriba en el bucket de S3 para una o varias rutas específicas. En una traza de organización, el valor de `aws:SourceArn` debe ser un ARN de seguimiento que pertenece a la cuenta de administración y utilice el ID de cuenta de administración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a los archivos de registro creados para la organización. De forma predeterminada, solo la cuenta de administración tendrá acceso a los archivos de registros de organización. Para obtener información sobre cómo permitir a los usuarios de IAM de las cuentas miembro el acceso de lectura al bucket de Amazon S3, consulte [Compartir archivos de CloudTrail registro entre AWS cuentas](cloudtrail-sharing-logs.md).
## Solucionar problemas con la política de bucket de Amazon S3
En las secciones siguientes se describe cómo solucionar problemas con la política de bucket de S3.
**nota**
Si configuras mal tu ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentará volver a entregar los archivos de registro en tu depósito de S3 durante 30 días y estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
### Errores comunes en la configuración de la política de Amazon S3
Cuando crea un nuevo bucket como parte de la creación o actualización de un registro de seguimiento, CloudTrail asocia los permisos necesarios a su bucket. La política de compartimentos utiliza el nombre principal del servicio`"cloudtrail.amazonaws.com"`, lo que permite entregar los registros CloudTrail para todas las regiones.
Si CloudTrail no entrega registros para una región, es posible que su depósito tenga una política anterior que especifique la CloudTrail cuenta IDs para cada región. Esta política permite CloudTrail entregar registros solo para las regiones especificadas.
Como práctica recomendada, actualice la política para usar un permiso con el director del CloudTrail servicio. Para ello, sustituya el ID ARNs de cuenta por el nombre principal del servicio:`"cloudtrail.amazonaws.com"`. Esto da CloudTrail permiso para entregar registros para las regiones actuales y nuevas. Como práctica recomendada de seguridad, agregue una clave de condición `aws:SourceArn` o `aws:SourceAccount` a la política de bucket de Amazon S3. Esto ayuda a evitar el acceso no autorizado de la cuenta a su bucket de S3. Si tiene trazas existentes, asegúrese de agregar una o más claves de condición. A continuación se muestra un ejemplo de configuración de política recomendada: Sustituya *amzn-s3-demo-bucket* *[optionalPrefix]/**myAccountID*,*region*, y por *trailName* los valores adecuados para su configuración.
**Example Ejemplo de política de bucket con nombre principal del servicio**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}
```
### Cambiar un prefijo de un bucket existente
Si intenta agregar, modificar o eliminar el prefijo de un archivo de registro para un bucket de S3 que recibe registros de una traza, puede que aparezca el error: **There is a problem with the bucket policy** (Hay un problema con la política de bucket). Una política de bucket con un prefijo incorrecto puede impedir que su registro de seguimiento envíe archivos de registro al bucket. Para resolver este problema, utilice la consola Amazon S3 para actualizar el prefijo de la política de bucket y, a continuación, utilice la CloudTrail consola para especificar el mismo prefijo para el bucket de la ruta.
**Para actualizar el prefijo del archivo de registros de un bucket de Amazon S3**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Elija el bucket para el que desea modificar el prefijo y, a continuación, seleccione **Permissions** (Permisos).
1. Elija **Edit (Edición de)**.
1. En la política de bucket, debajo de la `s3:PutObject` acción, edita la `Resource` entrada para añadir, modificar o eliminar el archivo de registro *prefix/* según sea necesario.
```
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*",
```
1. Seleccione **Save**.
1. Abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Elija su registro de seguimiento y, en **Storage location**, haga clic en el icono del lápiz para editar la configuración del bucket.
1. En **S3 bucket**, elija el bucket con el prefijo que va a cambiar.
1. En **Log file prefix**, actualice el prefijo de forma que coincida con el prefijo que ha escrito en la política del bucket.
1. Seleccione **Save**.
## Recursos adicionales
Para obtener más información acerca de las políticas y los buckets de S3, consulte [Uso de políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.