(Atualizado para referência futura)
Digamos que sua distribuição do CloudFront esteja na conta 123456789012 com o registro em log configurado para um intervalo your-logging-bucket
em uma conta diferente.
-
Crie uma Política de bucket do S3 que forneça à conta 123456789012 do CloudFront permissões para fazer
s3:GetBucketAcl
es3:PutBucketAcl
onyour-logging-bucket
.Esta é a Política de balde exigida:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" << the CloudFront account }, "Action": [ "s3:GetBucketAcl", "s3:PutBucketAcl" ], "Resource": "arn:aws:s3:::your-logging-bucket" } ] }
-
Com essa Política de bucket do S3 no lugar * crie uma nova distribuição do CloudFront na conta 1223456789012 e no wizard de criação ative o logging para
your-logging-bucket
. Graças à Política de buckets acima, ela criará as ACLs apropriadas para você.Você pode verificar se a conta oficial do CloudFront
c4c1ede66af...8632f77d2d0
recebeu acesso visualizando S3 - > seu log-balde - > Permissões - > ACL -
Configure todas as suas outras distribuições CF na conta 123 ... para efetuar login em
your-logging-bucket
- agora ele deve funcionar para todas as distintas CFs pré-existentes.
Espero que ajude:)