Wie kann ich meinen CloudTrail-Trail in einen AWS Organizations-Trail ändern?

Lesedauer: 3 Minute

Anstatt einen neuen AWS Organizations Organizations Trail zu erstellen, möchte ich meinen vorhandenen AWS CloudTrail-Trail in einen Organizationspfad ändern. Wie ändere ich meinen CloudTrail-Trail in einen Organisationstrail?

Behebung

(Voraussetzung) Aktivieren Sie den vertrauenswürdigen Dienstzugriff mit CloudTrail

Folgen Sie den Anweisungen unter Aktivierung des vertrauenswürdigen Zugriffs mit CloudTrail im Benutzerhandbuch von AWS Organizations.

Weitere Informationen zur Integration von CloudTrail in Organisationen finden Sie unter AWS CloudTrail und AWS Organizations.

Aktualisieren Sie die Amazon S3-Bucket-Richtlinie für Ihre CloudTrail-Protokolldateien, um Folgendes zu ermöglichen:

Der CloudTrail-Trail zur Übertragung von Protokolldateien an den Amazon Simple Storage Service (Amazon S3) -Bucket.
Der CloudTrail-Trail zur Übertragung von Protokollen für die Konten in der Organisation an den Amazon S3-Bucket.

1.Öffnen Sie die Amazon S3-Konsole.

Wählen Sie Buckets.
Wählen Sie als Bucket-Namen den S3-Bucket aus, der Ihre CloudTrail-Protokolldateien enthält.
Wählen Sie Berechtigungen aus. Wählen Sie dann Bucket-Richtlinie aus.
Kopieren Sie die folgende Beispiel-Bucket-Policy-Anweisung, fügen Sie sie in den Richtlinien-Editor ein, und wählen Sie dann Speichern aus.

**Wichtig:**Ersetzen Sie die primäre Konto-ID durch die primäre Konto-ID Ihrer Organisation. Ersetzen Sie den Bucket-Namen durch Ihren S3-Bucket-Namen. Ersetzen Sie org-id durch Ihre Organisations-ID. Ersetzen Sie die Region durch Ihre AWS-Region.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(Optional) Konfigurieren Sie Berechtigungen zur Überwachung der CloudTrail-Protokolldateien der Organisation mithilfe von CloudWatch Logs.

**Hinweis:**Die folgenden Schritte sind nur erforderlich, wenn Sie CloudTrail-Protokolldateien mit Amazon CloudWatch Logs überwachen.

Stellen Sie sicher, dass in Ihrer Organisation alle Funktionen aktiviert sind.
Folgen Sie den Anweisungen: Aktivieren Sie CloudTrail als vertrauenswürdigen Service in AWS Organizations.
Öffnen Sie die AWS Identity and Access Management (IAM) -Konsole.
Wählen Sie Richtlinien aus.
Wählen Sie für den Richtliniennamen die IAM-Richtlinie aus, die Ihrem AWS-Primärkonto der CloudWatch-Logs-Gruppe zugeordnet ist.
Wählen Sie Richtlinie bearbeiten, kopieren Sie die folgende Beispiel-IAM-Richtlinienerklärung und fügen Sie sie ein, und wählen Sie dann Speichern.

Wichtig: Ersetzen Sie die Region durch Ihre AWS-Region. Ersetzen Sie die primäre Konto-ID durch die primäre Konto-ID Ihrer Organisation. Ersetzen Sie org-id durch Ihre Organisations-ID. Ersetzen Sie log-group-name durch Ihren CloudWatch-Loggruppennamen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.Öffnen Sie die CloudTrail-Konsole.

8. Wählen Sie im Navigationsbereich Trails aus.

Wählen Sie als Trailname den Namen Ihres Trails aus.
Wählen Sie für CloudWatch-Logs das Bearbeitungssymbol. Wählen Sie dann Weiter.
Wählen Sie für die Rollenübersicht die Option Zulassen aus.

Aktualisieren Sie Ihren CloudTrail-Trail in einen Organisationspfad

Öffnen Sie die CloudTrail-Konsole und wählen Sie dann im Navigationsbereich Trails aus.
Wählen Sie als Trail-Name Ihren Trail aus.
Wählen Sie für die Trail-Einstellungen das Bearbeitungssymbol.
Wählen Sie für Apply trail to my organization die Option Ja aus. Wählen Sie dann Speichern.