As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Recebendo arquivos de CloudTrail log de várias contas
<a name="cloudtrail-receive-logs-from-multiple-accounts"></a>

Você pode CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket do Amazon S3. Por exemplo, você tem quatro Contas da AWS com as contas IDs 111111111111, 2222222222, 333333333333 e 444444444444 e deseja configurar para entregar arquivos de log de todas essas quatro contas para um bucket pertencente à conta 111111111111. CloudTrail Para fazer isso, siga estas etapas na ordem:

1. Crie uma trilha na conta à qual o bucket de destino pertencerá (neste exemplo, 111111111111). Não crie ainda uma trilha para outras contas.

   Para instruções, consulte [Criar uma trilha com o console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).

1. Atualize a política no bucket de destino para conceder ao CloudTrail permissões entre contas.

   Para instruções, consulte [Definir a política de bucket para várias contas](cloudtrail-set-bucket-policy-for-multiple-accounts.md).

1. Crie uma trilha nas outras contas (222222222222, 333333333333 e 444444444444 neste exemplo) para o qual deseja registrar atividades em log. Ao criar a trilha em cada conta, especifique o bucket do Amazon S3 pertencente à conta que você especificou na etapa 1 (neste exemplo, 111111111111). Para instruções, consulte [Criar trilhas em contas adicionais](turn-on-cloudtrail-in-additional-accounts.md).
**nota**  
Se você optar por habilitar a criptografia SSE-KMS, a política de chaves KMS deverá permitir o uso da chave CloudTrail para criptografar seus arquivos de log e arquivos de resumo e permitir que os usuários que você especificar leiam arquivos de log ou arquivos de resumo em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte [Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md).

## Editando a conta do proprietário do bucket IDs para eventos de dados chamados por outras contas
<a name="cloudtrail-receive-logs-s3-owner-id-redaction"></a>

Historicamente, se CloudTrail os eventos de dados fossem ativados em um chamador Conta da AWS da API de eventos de dados do Amazon S3 CloudTrail , mostrava o ID da conta do proprietário do bucket do S3 no evento de dados (como). `PutObject` Isso ocorria mesmo quando a conta do proprietário do bucket não tinha eventos de dados do S3 habilitados.

Agora, CloudTrail remove o ID da conta do proprietário do bucket do S3 no `resources` bloco se as duas condições a seguir forem atendidas:
+ A chamada da API do evento de dados é de um proprietário Conta da AWS diferente do proprietário do bucket do Amazon S3.
+ O chamador da API recebia um erro `AccessDenied` que era apenas para a conta do chamador.

O proprietário do recurso no qual a chamada de API era feita ainda recebe o evento completo.

Os trechos de registro de eventos a seguir são um exemplo do comportamento esperado. No snippet `Historic`, o ID da conta 123456789012 do proprietário do bucket S3 é mostrado para um chamador de API de uma conta diferente. No exemplo do comportamento atual, o ID da conta do proprietário do bucket não é mostrado.

```
# Historic

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "123456789012",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
```

O comportamento atual é mostrado a seguir.

```
# Current

"resources": [
    {
        "type": "AWS::S3::Object",
        "ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
    },
    {
        "accountId": "",
        "type": "AWS::S3::Bucket",
        "ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
    }
]
```

**Topics**
+ [

## Editando a conta do proprietário do bucket IDs para eventos de dados chamados por outras contas
](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [

# Definir a política de bucket para várias contas
](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [

# Criar trilhas em contas adicionais
](turn-on-cloudtrail-in-additional-accounts.md)

# Definir a política de bucket para várias contas
<a name="cloudtrail-set-bucket-policy-for-multiple-accounts"></a>

Para que um bucket receba arquivos de log de várias contas, sua política de bucket precisa conceder ao CloudTrail permissão para gravar os arquivos de log de todas as contas que você especificar. Isso significa que você deve modificar a política do bucket em seu bucket de destino para conceder CloudTrail permissão para gravar arquivos de log de cada conta especificada.

**nota**  
Por motivos de segurança, usuários não autorizados não podem criar uma trilha que inclua`AWSLogs/` como o parâmetro `S3KeyPrefix`.

**Para modificar as permissões do bucket para que os arquivos possam ser recebidos de várias contas**

1.  Faça login Console de gerenciamento da AWS usando a conta que possui o bucket (111111111111 neste exemplo) e abra o console do Amazon S3. 

1. Escolha o bucket onde CloudTrail entrega seus arquivos de log e, em seguida, escolha **Permissões**. 

1. Em **Bucket policy** (Política de bucket), escolha **Edit** (Editar).

1. Modifique a política existente para adicionar uma linha para cada conta adicional cujos arquivos de log devem ser fornecidos a esse bucket. Veja o exemplo de política a seguir e observe a linha `Resource` sublinhada especificando o ID de uma segunda conta. Como uma prática recomendada de segurança, adicione uma `aws:SourceArn` chave de condição para a política de bucket do Amazon S3. Isso ajuda a impedir o acesso não autorizado à conta do seu bucket do S3. Se você tiver trilhas existentes, certifique-se de adicionar uma ou mais chaves de condição.
**nota**  
O ID AWS da conta é um número de doze dígitos, incluindo zeros à esquerda. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AWSCloudTrailAclCheck20131101",
               "Effect": "Allow",
               "Principal": {
                   "Service": "cloudtrail.amazonaws.com"
               },
               "Action": "s3:GetBucketAcl",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceArn": [
                           "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
                           "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
                       ]
                   }
               }
           },
           {
               "Sid": "AWSCloudTrailWrite20131101",
               "Effect": "Allow",
               "Principal": {
                   "Service": "cloudtrail.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
               ],
               "Condition": {
                   "StringEquals": {
                       "aws:SourceArn": [
                           "arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
                           "arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
                       ],
                       "s3:x-amz-acl": "bucket-owner-full-control"
                   }
               }
           }
       ]
   }
   ```

------

# Criar trilhas em contas adicionais
<a name="turn-on-cloudtrail-in-additional-accounts"></a>

Você pode usar o console ou o AWS CLI para criar trilhas adicionais Contas da AWS e agregar seus arquivos de log em um bucket do Amazon S3. Como alternativa, você pode criar uma trilha organizacional para registrar todos os Contas da AWS que fazem parte de uma organização AWS Organizations. Para obter mais informações, consulte [Criar uma trilha para uma organização](creating-trail-organization.md).

## Usando o console para criar trilhas em AWS contas adicionais
<a name="turn-on-cloudtrail-in-additional-accounts-console"></a>

Você pode usar o CloudTrail console para criar trilhas em contas adicionais.

1. Faça login Console de gerenciamento da AWS com a conta para a qual você deseja criar uma trilha. Siga estas etapas em [Criar uma trilha com o console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console) para criar uma trilha usando o console.

1. Em **Storage location** (Local de armazenamento), escolha **Use existing S3 bucket** (Usar bucket S3 existente). Use a caixa de texto para inserir o nome do bucket que você está usando para armazenar arquivos de log nas contas.
**nota**  
A política do bucket deve conceder CloudTrail permissão para gravar nela. Para obter informações sobre como editar manualmente a política de bucket, consulte [Definir a política de bucket para várias contas](cloudtrail-set-bucket-policy-for-multiple-accounts.md).  
![\[Usar bucket doo S3 existente\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-use-existing-bucket.png)

1. Em **Prefixo**, insira o prefixo que você está usando para armazenar arquivos de log nas contas. Se você optar por usar um prefixo diferente do especificado na política do bucket, deverá editar a política do bucket no bucket de destino CloudTrail para permitir a gravação de arquivos de log no bucket usando esse novo prefixo.

## Usando a CLI para criar uma trilha em contas adicionais AWS
<a name="turn-on-cloudtrail-in-additional-accounts-cli"></a>

Você pode usar as ferramentas de linha de AWS comando para criar trilhas em contas adicionais e agregar seus arquivos de log em um bucket do Amazon S3. Para obter mais informações sobre essas ferramentas, consulte [cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) na *Referência de comandos da AWS CLI *.

Para criar uma trilha usando o comando **create-trail**, especifique o seguinte:
+ `--name` especifica o nome da trilha. 
+ `--s3-bucket-name` especifica o bucket do Amazon S3 que você está usando para armazenar arquivos de log entre contas. 
+ `--s3-prefix` especifica um prefixo para o caminho de entrega de arquivos de log (opcional).
+ `--is-multi-region-trail`especifica que essa trilha registrará eventos em todas as AWS regiões na partição em que você está trabalhando.

Você pode criar uma trilha para cada região na qual uma conta está administrando AWS recursos. 

O exemplo de comando a seguir mostra como criar uma trilha para suas contas adicionais usando a AWS CLI. Para que os arquivos de log dessa conta sejam fornecidos ao bucket que você criou em sua primeira conta (neste exemplo, 111111111111), especifique o nome do bucket na opção `--s3-bucket-name`. Os nomes dos buckets do Amazon S3 são globalmente exclusivos. 

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail
```

Quando você executar o comando, verá um resultado semelhante a este:

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

Para obter mais informações sobre como usar as ferramentas CloudTrail da linha de AWS comando, consulte a [referência da linha de CloudTrail comando](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html).