Configure o AWS Cloudfront para efetuar login no bucket do S3 em outra conta da AWS

Navegue suas respostas
1

Eu tenho algumas distribuições do AWS Cloudfront espalhadas por diferentes contas da AWS.

Gostaria de armazenar os registros de acesso dessas distribuições em um único bucket S3 em uma única conta da AWS.

Isso é possível, mas não está documentado (que posso encontrar).

Não está claro qual atualização para a ACL é necessária no intervalo de log ou qual (se houver) política de bucket é necessária.

O que parece que preciso é atualizar a ACL no intervalo para fornecer FULL_CONTROL a um ID canônico de qualquer conta na outra conta da AWS que a Cloudfront usa para gravar registros.

Se alguém configurou isso e pode ajudar, eu ficarei muito grato.

    
por Garreth McDaid 03.10.2018 / 17:33

1 resposta

2

(Atualizado para referência futura)

Digamos que sua distribuição do CloudFront esteja na conta 123456789012 com o registro em log configurado para um intervalo your-logging-bucket em uma conta diferente.

  1. Crie uma Política de bucket do S3 que forneça à conta 123456789012 do CloudFront permissões para fazer s3:GetBucketAcl e s3:PutBucketAcl on your-logging-bucket .

    Esta é a Política de balde exigida: 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"     << the CloudFront account
      },
      "Action": [
        "s3:GetBucketAcl",
        "s3:PutBucketAcl"
      ],
      "Resource": "arn:aws:s3:::your-logging-bucket"
    }
  ]
}

  2. Com essa Política de bucket do S3 no lugar * crie uma nova distribuição do CloudFront na conta 1223456789012 e no wizard de criação ative o logging para your-logging-bucket . Graças à Política de buckets acima, ela criará as ACLs apropriadas para você.

    Você pode verificar se a conta oficial do CloudFront c4c1ede66af...8632f77d2d0 recebeu acesso visualizando S3 - > seu log-balde - > Permissões - > ACL

  3. Configure todas as suas outras distribuições CF na conta 123 ... para efetuar login em your-logging-bucket - agora ele deve funcionar para todas as distintas CFs pré-existentes.

Espero que ajude:)

    
por 04.10.2018 / 13:12

Tags

Erro ao configurar duas interfaces de rede no mesmo servidor Erro de controlador de domínio após remover o servidor SBS herdado da rede local