CloudTrail 추적을 AWS Organizations 추적으로 변경하려면 어떻게 해야 합니까?
새로운 AWS Organizations 조직 추적을 생성하는 대신 기존 AWS CloudTrail 추적을 조직 추적으로 변경하고 싶습니다. CloudTrail 추적을 조직 추적으로 변경하려면 어떻게 해야 합니까?
해결 방법
(사전 요구 사항) CloudTrail을 사용하여 신뢰할 수 있는 서비스 액세스 활성화
AWS Organizations 사용 설명서의 CloudTrail을 사용하여 신뢰할 수 있는 액세스 활성화에 나온 지침을 따르십시오.
CloudTrail을 Organizations에 통합하는 방법에 대한 자세한 내용은 AWS CloudTrail 및 AWS Organizations를 참조하십시오.
다음을 허용하도록 CloudTrail 로그 파일의 Amazon S3 버킷 정책을 업데이트하십시오.
- 로그 파일을 Amazon Simple Storage Service(Amazon S3) 버킷으로 전송하는 CloudTrail 추적.
- 조직의 계정에 대한 로그를 Amazon S3 버킷으로 전송하는 CloudTrail 추적.
1. Amazon S3 콘솔을 엽니다.
2. 버킷을 선택합니다.
3. 버킷 이름에서 CloudTrail 로그 파일이 포함된 S3 버킷을 선택합니다.
4. 권한을 선택합니다. 그런 다음, 버킷 정책을 선택합니다.
5. 다음 예제 버킷 정책 문을 복사하여 정책 편집기에 붙여넣은 다음, 저장을 선택합니다.
중요: primary-account-id를 Organizations 기본 계정 ID로 바꿉니다. bucket-name을 S3 버킷 이름으로 바꿉니다. org-id를 Organizations ID로 바꿉니다. your-region을 해당 AWS 리전으로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
(선택 사항) CloudWatch Logs를 사용하여 조직의 CloudTrail 로그 파일을 모니터링할 수 있는 권한을 구성합니다.
참고: 다음 단계는 Amazon CloudWatch Logs를 사용하여 CloudTrail 로그 파일을 모니터링하는 경우에만 필요합니다.
1. 조직에 모든 기능이 활성화되어 있는지 확인합니다.
2. AWS Organizations에서 CloudTrail을 신뢰할 수 있는 서비스로 활성화 지침을 따릅니다.
3. AWS Identity and Access Management(IAM) 콘솔을 엽니다.
4. 정책을 선택합니다.
5. 정책 이름에서 CloudWatch 로그 그룹 AWS 기본 계정과 연결된 IAM 정책을 선택합니다.
6. 정책 편집을 선택하고 다음 예제 IAM 정책 문을 복사하여 붙여넣은 후 저장을 선택합니다.
중요: your-region을 해당 AWS 리전으로 바꿉니다. primary-account-id를 Organizations 기본 계정 ID로 바꿉니다. org-id를 조직 ID로 바꿉니다. log-group-name을 CloudWatch 로그 그룹 이름으로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*", "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*" ] }, { "Sid": "AWSCloudTrailPutLogEvents", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*", "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*" ] } ] }
7. CloudTrail 콘솔을 엽니다.
8. 탐색 창에서 추적을 선택합니다.
9. 추적 이름에서 추적의 이름을 선택합니다.
10. CloudWatch 로그의 경우 편집 아이콘을 선택합니다. 그런 다음, 계속을 선택합니다.
11. 역할 요약에서 허용을 선택합니다.
CloudTrail 추적을 조직 추적으로 업데이트
1. CloudTrail 콘솔을 연 다음, 탐색 창에서 추적을 선택합니다.
2. 추적 이름에서 해당 추적을 선택합니다.
3. 추적 설정에서 편집 아이콘을 선택합니다.
4. 내 조직에 추적 적용에서 예를 선택합니다. 그런 다음, 저장을 선택합니다.
관련 정보
관련 콘텐츠
- 질문됨 4달 전
AWS 공식업데이트됨 2년 전- AWS 공식업데이트됨 3년 전
