기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 여러 계정에 대한 버킷 정책 설정 여러 계정에서 로그 파일을 받는 버킷의 경우 버킷 정책이 지정된 모든 계정에서 로그 파일을 기록할 수 있도록 CloudTrail 권한을 허용해야 합니다. 즉, 대상 버킷에서 버킷 정책을 수정해야 지정된 각 계정에서 로그 파일을 기록할 CloudTrail 권한이 허용됩니다. **참고** 보안상의 이유로 권한이 없는 사용자는 `S3KeyPrefix` 파라미터로 `AWSLogs/`를 포함하는 추적을 만들 수 없습니다. **여러 계정에서 파일을 받을 수 있도록 버킷 권한을 수정하려면** 1. 이 예제에서 버킷(111111111111)을 소유한 계정을 AWS Management Console 사용하여에 로그인하고 Amazon S3 콘솔을 엽니다. 1. CloudTrail이 로그 파일을 전송하는 버킷을 선택한 다음, **권한(Permissions)**을 선택합니다. 1. **버킷 정책(Bucket policy)**에서 **편집(Edit)**을 선택합니다. 1. 이 버킷으로 로그 파일을 전송할 각 추가 계정에 대해 줄을 추가하도록 기존 정책을 수정합니다. 다음의 정책에 대한 예를 참조하고 두 번째 계정 ID를 지정하는 밑줄 친 `Resource` 줄에 유의합니다. 보안 모범 사례로`aws:SourceArn`Amazon S3 버킷 정책의 조건 키입니다. 이렇게 하면 S3 버킷에 대한 무단 액세스를 방지할 수 있습니다. 기존 트레일이 있는 경우 하나 이상의 조건 키를 추가해야 합니다. **참고** AWS 계정 ID는 앞에 0을 포함하여 12자리 숫자입니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName", "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName" ] } } }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName", "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName" ], "s3:x-amz-acl": "bucket-owner-full-control" } } } ] } ``` ------