Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menerima file CloudTrail log dari beberapa akun
Anda dapat CloudTrail mengirimkan file log dari beberapa Akun AWS ke dalam satu ember Amazon S3. Misalnya, Anda memiliki empat Akun AWS dengan akun IDs 111111111111, 222222222222, 333333333333, dan 4444444444444444, dan Anda ingin mengonfigurasi untuk mengirimkan file log dari keempat akun ini ke ember milik akun 11111111111111. CloudTrail Untuk mencapai ini, selesaikan langkah-langkah berikut secara berurutan:
1. Buat jejak di akun tempat bucket tujuan berada (11111111111111 dalam contoh ini). Jangan membuat jejak untuk akun lain.
Untuk petunjuk, lihat [Membuat jejak dengan konsol](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
1. Perbarui kebijakan bucket di bucket tujuan Anda untuk memberikan izin lintas akun. CloudTrail
Untuk petunjuk, lihat [Menyetel kebijakan bucket untuk beberapa akun](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
1. Buat jejak di akun lain (222222222222, 333333333333, dan 44444444444444 dalam contoh ini) yang ingin Anda log aktivitas. Saat Anda membuat jejak di setiap akun, tentukan bucket Amazon S3 milik akun yang Anda tentukan di langkah 1 (111111111111 dalam contoh ini). Untuk petunjuk, lihat [Buat jejak di akun tambahan](turn-on-cloudtrail-in-additional-accounts.md).
**catatan**
Jika Anda memilih untuk mengaktifkan enkripsi SSE-KMS, kebijakan kunci KMS harus mengizinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda dan mencerna file, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log atau mencerna file dalam bentuk yang tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihat[Konfigurasikan kebijakan AWS KMS utama untuk CloudTrail](create-kms-key-policy-for-cloudtrail.md).
## Menyunting akun pemilik bucket IDs untuk peristiwa data yang dipanggil oleh akun lain
Secara historis, jika peristiwa CloudTrail data diaktifkan di Akun AWS pemanggil API peristiwa data Amazon S3 CloudTrail , tunjukkan ID akun pemilik bucket S3 dalam peristiwa data (seperti). `PutObject` Ini terjadi meskipun akun pemilik bucket tidak mengaktifkan peristiwa data S3.
Sekarang, CloudTrail hapus ID akun pemilik bucket S3 di `resources` blok jika kedua kondisi berikut terpenuhi:
+ Panggilan API peristiwa data berbeda Akun AWS dari pemilik bucket Amazon S3.
+ Pemanggil API menerima `AccessDenied` kesalahan yang hanya untuk akun penelepon.
Pemilik sumber daya tempat panggilan API dibuat masih menerima acara lengkap.
Cuplikan catatan peristiwa berikut adalah contoh perilaku yang diharapkan. Dalam `Historic` cuplikan, ID akun 123456789012 dari pemilik bucket S3 ditampilkan ke pemanggil API dari akun lain. Dalam contoh perilaku saat ini, ID akun pemilik bucket tidak ditampilkan.
```
# Historic
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
Berikut ini adalah perilaku saat ini.
```
# Current
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
**Topics**
+ [
## Menyunting akun pemilik bucket IDs untuk peristiwa data yang dipanggil oleh akun lain
](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [
# Menyetel kebijakan bucket untuk beberapa akun
](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [
# Buat jejak di akun tambahan
](turn-on-cloudtrail-in-additional-accounts.md)
# Menyetel kebijakan bucket untuk beberapa akun
Agar bucket dapat menerima file log dari beberapa akun, kebijakan bucket harus memberikan CloudTrail izin untuk menulis file log dari semua akun yang Anda tentukan. Ini berarti Anda harus mengubah kebijakan bucket di bucket tujuan untuk memberikan CloudTrail izin menulis file log dari setiap akun yang ditentukan.
**catatan**
Untuk alasan keamanan, pengguna yang tidak sah tidak dapat membuat jejak yang disertakan `AWSLogs/` sebagai `S3KeyPrefix` parameter.
**Untuk mengubah izin bucket sehingga file dapat diterima dari beberapa akun**
1. Masuk ke Konsol Manajemen AWS menggunakan akun yang memiliki ember (11111111111111 dalam contoh ini) dan buka konsol Amazon S3.
1. Pilih bucket tempat CloudTrail mengirimkan file log Anda, lalu pilih **Izin**.
1. Untuk **kebijakan Bucket**, pilih **Edit**.
1. Ubah kebijakan yang ada untuk menambahkan baris untuk setiap akun tambahan yang file lognya ingin dikirim ke bucket ini. Lihat contoh kebijakan berikut dan perhatikan `Resource` baris yang digarisbawahi yang menentukan ID akun kedua. Sebagai praktik terbaik keamanan, tambahkan kunci `aws:SourceArn` kondisi ke kebijakan bucket Amazon S3. Ini membantu mencegah akses tidak sah ke bucket S3 Anda. Jika Anda memiliki jalur yang ada, pastikan untuk menambahkan satu atau lebih kunci kondisi.
**catatan**
ID AWS akun adalah nomor dua belas digit, termasuk angka nol di depan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
]
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
],
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
# Buat jejak di akun tambahan
Anda dapat menggunakan konsol atau AWS CLI untuk membuat jejak tambahan Akun AWS dan menggabungkan file log mereka ke satu bucket Amazon S3. Atau, Anda dapat membuat jejak organisasi untuk mencatat semua Akun AWS yang merupakan bagian dari organisasi AWS Organizations. Untuk informasi selengkapnya, lihat [Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).
## Menggunakan konsol untuk membuat jejak di akun tambahan AWS
Anda dapat menggunakan CloudTrail konsol untuk membuat jejak di akun tambahan.
1. Masuk Konsol Manajemen AWS dengan akun yang ingin Anda buat jejaknya. Ikuti langkah-langkah [Membuat jejak dengan konsol](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console) untuk membuat jejak menggunakan konsol.
1. Untuk **lokasi Penyimpanan**, pilih **Gunakan bucket S3 yang ada**. Gunakan kotak teks untuk memasukkan nama bucket yang Anda gunakan untuk menyimpan file log di seluruh akun.
**catatan**
Kebijakan bucket harus memberikan CloudTrail izin untuk menulis ke sana. Untuk informasi tentang mengedit kebijakan bucket secara manual, lihat[Menyetel kebijakan bucket untuk beberapa akun](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
![\[Gunakan bucket S3 yang ada\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/cloudtrail-use-existing-bucket.png)
1. Untuk **Awalan**, masukkan awalan yang Anda gunakan untuk menyimpan file log di seluruh akun. Jika Anda memilih untuk menggunakan awalan yang berbeda dari yang Anda tentukan dalam kebijakan bucket, Anda harus mengedit kebijakan bucket di bucket tujuan agar dapat menulis file log ke bucket menggunakan awalan baru ini. CloudTrail
## Menggunakan CLI untuk membuat jejak di akun tambahan AWS
Anda dapat menggunakan alat baris AWS perintah untuk membuat jejak di akun tambahan dan menggabungkan file log mereka ke satu bucket Amazon S3. Untuk informasi selengkapnya tentang alat ini, lihat [cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) di Referensi *AWS CLI Perintah*.
Buat jejak dengan menggunakan **create-trail** perintah, dengan menentukan yang berikut:
+ `--name`menentukan nama jejak.
+ `--s3-bucket-name`menentukan bucket Amazon S3 yang Anda gunakan untuk menyimpan file log di seluruh akun.
+ `--s3-prefix`menentukan awalan untuk jalur pengiriman file log (opsional).
+ `--is-multi-region-trail`menentukan bahwa jejak ini akan mencatat peristiwa di semua AWS Wilayah di partisi tempat Anda bekerja.
Anda dapat membuat satu jejak untuk setiap Wilayah di mana akun menjalankan AWS sumber daya.
Contoh perintah berikut menunjukkan cara membuat jejak untuk akun tambahan Anda dengan menggunakan AWS CLI. Agar file log untuk akun ini dikirimkan ke bucket yang Anda buat di akun pertama Anda (111111111111 dalam contoh ini), tentukan nama bucket di opsi. `--s3-bucket-name` Nama bucket Amazon S3 unik secara global.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail
```
Ketika Anda menjalankan perintah, Anda akan melihat output yang mirip dengan yang berikut:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "AWSCloudTrailExample",
"TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Untuk informasi selengkapnya tentang penggunaan CloudTrail dari alat baris AWS perintah, lihat [referensi baris CloudTrail perintah](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html).