如何將 CloudTrail 追蹤變更為 AWS Organizations 追蹤?

2 分的閱讀內容
0

我想要將現有的 AWS CloudTrail 追蹤變更為組織追蹤,而不是建立新的 AWS Organizations 組織追蹤。如何將 CloudTrail 追蹤變更為組織追蹤?

解決方案

(先決條件) 使用 CloudTrail 啟用可信服務存取

請遵循「AWS Organizations 使用者手冊」的使用 CloudTrail 啟用信任存取中的指示。

如需將 CloudTrail 整合到組織中的詳細資訊,請參閱 AWS CloudTrail 和 AWS Organizations

更新 CloudTrail 日誌檔案的 Amazon S3 儲存貯體政策,以允許下列動作:

  • CloudTrail 追蹤將日誌檔案傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
  • CloudTrail 追蹤將組織中帳戶的日誌傳送至 Amazon S3 儲存貯體。

1.    開啟 Amazon S3 主控台

2.    選擇「儲存貯體」。

3.    針對「儲存貯體名稱」,請選擇包含 CloudTrail 日誌檔案的 S3 儲存貯體。

4.    選擇「許可」。然後,選擇「儲存貯體政策」。

5.    將下列範例儲存貯體政策陳述式複製並貼上政策編輯器,然後選擇「儲存」。

重要事項:primary-account-id 取代為您的組織主要帳戶 ID。將 bucket-name 取代為您的 S3 儲存貯體名稱。將 org-id 取代為您的組織 ID。將 your-region 取代為您的 AWS 區域。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(選用) 設定許可,以使用 CloudWatch Logs 監控組織的 CloudTrail 日誌檔案。

**注意事項:**僅限您使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案時,才需要下列步驟。

1.    確保您的組織已啟用所有功能

2.    遵循將 CloudTrail 啟用為 AWS Organizations 中的可信服務指示。

3.    開啟 AWS Identity and Access Management (IAM) 主控台

4.    選擇「政策」。

5.    針對「政策名稱」,選擇與您的 CloudWatch 日誌群組 AWS 主要帳戶相關聯的 IAM 政策。

6.    選擇「編輯政策」,複製並貼上下列範例 IAM 政策陳述式,然後選擇「儲存」。

**重要事項:**將 your-region 取代為您的 AWS 區域。將 primary-account-id 取代為您的組織主要帳戶 ID。將 org-id 取代為您的組織 ID。將 log-group-name 取代為您的 CloudWatch 日誌群組名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    開啟 CloudTrail 主控台

8.    在導覽窗格中,選擇「追蹤」。

9.    針對「追蹤名稱」,選擇您的追蹤名稱。

10.    針對 CloudWatch 日誌,選擇編輯圖示。然後,選擇「繼續」。

11.    針對「角色摘要」,選擇「允許」。

將您的 CloudTrail 追蹤更新為組織追蹤

1.    開啟 CloudTrail 主控台,然後在導覽窗格中選擇「追蹤」。

2.    針對「追蹤名稱」,選擇您的追蹤。

3.    針對「追蹤設定」,選擇編輯圖示。

4.    針對「將追蹤套用至我的組織」,選擇「」。然後,選擇「儲存」。


相關資訊

如何開始使用 AWS Organizations?

執行 update-trail 以更新組織追蹤

AWS 官方
AWS 官方已更新 2 年前