Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como posso mudar minha trilha do CloudTrail para uma trilha do AWS Organizations?

4 minuto de leitura
0

Em vez de criar uma nova trilha da organização do AWS Organizations, quero mudar minha trilha existente do AWS CloudTrail para uma trilha da organização. Como faço para mudar minha trilha do CloudTrail para uma trilha da organização?

Resolução

(Pré-requisito) Ative o acesso confiável ao serviço com o CloudTrail

Siga as instruções em Como ativar o acesso confiável com o CloudTrail no Guia do usuário do AWS Organizations.

Para obter mais informações sobre como integrar o CloudTrail ao Organizations, consulte AWS CloudTrail e AWS Organizations.

Atualize a política de bucket do Amazon S3 para seus arquivos de log do CloudTrail para permitir o seguinte:

  • A trilha do CloudTrail entregar arquivos de log ao bucket do Amazon Simple Storage Service (Amazon S3).
  • A trilha do CloudTrail entregar logs das contas da organização ao bucket do Amazon S3.

1.    Abra o console do Amazon S3.

2.    Escolha Buckets.

3.    Em Nome do bucket, escolha o bucket do S3 que contém seus arquivos de log do CloudTrail.

4.    Escolha Permissões. Depois, escolha a Política do bucket.

5.    Copie e cole o seguinte exemplo de declaração de política do bucket no editor de políticas e escolha Salvar.

**Importante:**Substitua primary-account-id pelo ID da conta principal do Organizations. Substitua bucket-name pelo nome do bucket do S3. Substitua org-id pelo seu ID do Organizations. Substitua your-region pela sua região da AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(Opcional) Configure permissões para monitorar os arquivos de log do CloudTrail da organização usando o CloudWatch Logs.

**Observação:**As etapas a seguir são necessárias somente se você estiver monitorando arquivos de log do CloudTrail com o Amazon CloudWatch Logs.

1.    Certifique-se de que sua organização tenha todos os recursos ativados.

2.    Siga as instruções em Ativar o CloudTrail como um serviço confiável no AWS Organizations.

3.    Abra o console do AWS Identity and Access Management (IAM).

4.    Escolha Políticas.

5.    Em Nome da política, escolha a política do IAM associada à sua conta principal da AWS do grupo de logs do CloudWatch.

6.    Escolha Editar política, copie e cole o seguinte exemplo de instrução de política do IAM e escolha Salvar.

Importante: Substitua your-region pela sua região da AWS. Substitua primary-account-id pelo ID da conta principal do Organizations. Substitua org-id pelo ID da sua organização. Substitua log-group-name pelo nome do seu grupo de logs do CloudWatch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    Abra o console do CloudTrail.

8.    No painel de navegação, selecione Trilhas.

9.    Em Nome da trilha, escolha o nome da trilha.

10.    Em logs do CloudWatch , escolha o ícone de edição. Em seguida, escolha Continuar.

11.    Em Resumo da função, escolha Permitir.

Atualize sua trilha do CloudTrail para uma trilha da organização

1.    Abra o console do CloudTrail e escolha Trilhas no painel de navegação.

2.    Em Nome da trilha, escolha sua trilha.

3.    Em Configurações de trilha, escolha o ícone de edição.

4.    Em Aplicar trilha à minha organização, escolha Sim. Em seguida, escolha Salvar.

Informações relacionadas

Como começar a usar o AWS Organizations?

Como executar update-trail para atualizar uma trilha da organização

Tópicos
Gestão e governança
Tags
AWS CloudTrail
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Simran para saber mais (9:38)
Assista ao vídeo de Simran para saber mais (9:38)
AWS OFICIAL
AWS OFICIALAtualizada há 2 anos

Conteúdo relevante