如何将我的 CloudTrail 跟踪记录更改为 AWS Organizations 跟踪记录?
我不想创建新的 AWS 组织跟踪记录,而是想将我现有的 AWS CloudTrail 跟踪记录更改为组织跟踪记录。如何将我的 CloudTrail 跟踪记录更改为组织跟踪记录?
解决方法
(先决条件)使用 CloudTrail 激活可信服务访问权限
按照 AWS Organizations 用户指南中使用 CloudTrail 激活可信访问权限的说明进行操作。
有关将 CloudTrail 集成到 Organizations 中的详细信息,请参阅 AWS CloudTrail 和 AWS Organizations。
更新您的 CloudTrail 日志文件的 Amazon S3 存储桶策略,以允许以下内容:
- CloudTrail 跟踪记录将日志文件传输到 Amazon Simple Storage Service (Amazon S3) 存储桶。
- CloudTrail 跟踪记录将组织中账户的日志传输到 Amazon S3 存储桶。
- 打开 Amazon S3 控制台。
2.选择 Buckets(存储桶)。
3.对于 Bucket name(存储桶名称),选择包含您的 CloudTrail 日志文件的 S3 存储桶。
4.选择 Permissions(权限)。然后选择 Bucket Policy(存储桶策略)。
5.将以下示例存储桶策略语句复制并粘贴到策略编辑器中,然后选择 Save(保存)。
**重要事项:**将 primary-account-id 替换为您的 Organizations 主账户 ID。将 bucket-name 替换为您的 S3 存储桶名称。将 org-id 替换为您的 Organizations ID。请将 your-region 替换为您的 AWS 区域。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-name" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
(可选)配置权限以使用 CloudWatch Logs 监控组织的 CloudTrail 日志文件。
**注意:**仅当您使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件时,才需要执行以下步骤。
1.确保您的组织已激活所有功能。
2.按照说明](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service)在 AWS Organizations 中将 CloudTrail 作为可信服务激活[。
3.打开 AWS Identity and Access Management (IAM) 控制台。
4.选择 Policies(策略)。
5.对于 Policy name(策略名称),选择与您的 CloudWatch 日志组 AWS 主账户关联的 IAM 策略。
6.选择 Edit policy(编辑策略),复制并粘贴以下 IAM 策略语句示例,然后选择 Save(保存)。
**重要事项:**将 your-region 替换为您的 AWS 区域。将 primary-account-id 替换为您的 Organizations 主账户 ID。将 org-id 替换为您的组织 ID。将 log-group-name 替换为您的 CloudWatch 日志组名称。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*", "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*" ] }, { "Sid": "AWSCloudTrailPutLogEvents", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*", "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*" ] } ] }
7.打开 CloudTrail 控制台。
8.在导航窗格中,选择 Trails(跟踪记录)。
9.对于 Trail name(跟踪记录名称),选择您的跟踪记录名称。
10.对于 CloudWatch 日志,选择编辑图标。然后选择 Continue(继续)。
11.对于 Role Summary(角色摘要),选择 Allow(允许)。
将您的 CloudTrail 跟踪记录更新为组织跟踪记录
1.打开 CloudTrail 控制台,然后在导航窗格中选择 Trails(跟踪记录)。
2.对于 Trail name(跟踪记录名称),选择您的跟踪记录。
3.对于 Trail settings(跟踪记录设置),选择编辑图标。
4.对于 Apply trail to my organization(对我的组织应用跟踪记录),选择 Yes(是)。然后,选择 Save(保存)。
相关信息
相关内容
AWS 官方已更新 3 年前- AWS 官方已更新 3 年前
- AWS 官方已更新 3 个月前
- AWS 官方已更新 7 个月前
