¿Cómo puedo cambiar mi seguimiento de CloudTrail a un seguimiento de AWS Organizations?

4 minutos de lectura
0

En lugar de crear un nuevo seguimiento de organización de AWS Organizations, quiero cambiar mi seguimiento de AWS CloudTrail actual por un seguimiento de organización. ¿Cómo cambio mi seguimiento de CloudTrail a un seguimiento de organización?

Resolución

(Requisito previo) Active el acceso a servicios de confianza con CloudTrail

Siga las instrucciones que se indican en Activar el acceso de confianza con CloudTrail de la Guía del usuario de AWS Organizations.

Para más información sobre la integración de CloudTrail en Organizations, consulte AWS CloudTrail y AWS Organizations.

Actualice la política de bucket de Amazon S3 para sus archivos de registro de CloudTrail para permitir lo siguiente:

  • El seguimiento de CloudTrail para entregar los archivos de registro al bucket de Amazon Simple Storage Service (Amazon S3).
  • El seguimiento de CloudTrail para entregar los registros de las cuentas de la organización al bucket de Amazon S3.

1.    Abra la consola de Amazon S3.

2.    Elija Buckets.

3.    En Nombre del bucket, elija el bucket de S3 que contenga los archivos de registro de CloudTrail.

4.    Seleccione Permisos. A continuación, elija Política de bucket.

5.    Copie y pegue el siguiente ejemplo de declaración de política de bucket en el editor de políticas y, a continuación, seleccione Guardar.

Importante: Sustituya primary-account-id por su identificador de cuenta principal de Organizations. Sustituya bucket-name por el nombre del bucket de S3. Sustituya org-id por su ID de Organizations. Sustituya your-region por su región de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(Opcional) Configure los permisos para supervisar los archivos de registro de CloudTrail de la organización mediante Registros de CloudWatch.

Nota: Los siguientes pasos solo son necesarios si supervisa los archivos de registro de CloudTrail con Registros de Amazon CloudWatch.

1.    Asegúrese de que su organización tenga todas las características activadas.

2.    Siga las instrucciones de Activar CloudTrail como servicio de confianza en AWS Organizations.

3.    Abra la consola de AWS Identity and Access Management (IAM).

4.    Elija Políticas.

5.    En Nombre de la política, elija la política de IAM asociada a su cuenta principal de AWS del grupo de registros de CloudWatch.

6.    Elija Editar política, copie y pegue el siguiente ejemplo de declaración de política de IAM y, a continuación, elija Guardar.

Importante: Sustituya your-region por su región de AWS. Sustituya primary-account-id por su identificador de cuenta principal de Organizations. Sustituya org-id por su ID de organización. Sustituya log-group-name por el nombre del grupo de registro de CloudWatch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    Abra la consola de CloudTrail.

8.    En el panel de navegación, seleccione Seguimientos.

9.    En Nombre del seguimiento, elija el nombre del seguimiento.

10.    En registros de CloudWatch, seleccione el icono de edición. A continuación, seleccione Continuar.

11.    En Resumen del rol, elija Permitir.

Actualice su seguimiento de CloudTrail por un seguimiento de organización

1.    Abra la consola de CloudTrail y, a continuación, seleccione Seguimientos en el panel de navegación.

2.    En Nombre del seguimiento, elija su seguimiento.

3.    En Configuración del seguimiento, seleccione el icono de edición.

4.    En Aplicar seguimiento a mi organización, seleccione . A continuación, seleccione ** Guardar**.


Información relacionada

¿Cómo puedo empezar a utilizar AWS Organizations?

Ejecutar update-trail para actualizar un seguimiento de la organización

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años