Informationen zu den Datenspeichern von Organisationsereignissen - AWS CloudTrail
Erstellen Sie einen Datenspeicher für OrganisationsereignisseWenden Sie einen Ereignisdatenspeicher auf Kontoebene auf eine Organisation anStandard-Ressourcenrichtlinie für delegierte AdministratorenWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Informationen zu den Datenspeichern von Organisationsereignissen

Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie einen Datenspeicher für Organisationsereignisse erstellen, der alle Ereignisse für alle Mitglieder AWS-Konten dieser Organisation protokolliert. Datenspeicher für Organisationsereignisse können für alle AWS-Regionen oder für die aktuelle Region gelten. Ereignisdatenspeicher einer Organisation können nicht zum Sammeln von Ereignissen außerhalb von AWS verwendet werden.

Sie können einen Datenspeicher für Organisationsereignisse entweder mithilfe des Verwaltungskontos oder des delegierten Administratorkontos erstellen. Wenn ein delegierter Administrator einen Ereignisdatenspeicher einer Organisation erstellt, ist der Ereignisdatenspeicher im Verwaltungskonto der Organisation vorhanden. Dieser Ansatz ist darauf zurückzuführen, dass das Verwaltungskonto das Eigentum an allen Ressourcen der Organisation behält.

Das Verwaltungskonto für eine Organisation kann einen Ereignisdatenspeicher auf Kontoebene aktualisieren, um ihn auf eine Organisation anzuwenden.

Wenn der Ereignisdatenspeicher für eine Organisation angegeben wird, wird er automatisch auf alle Mitgliedskonten der Organisation angewendet. Mitgliedskonten können den Ereignisdatenspeicher einer Organisation sehen, diesen aber weder ändern noch löschen. Standardmäßig haben Mitgliedskonten weder Zugriff auf den Ereignisdatenspeicher einer Organisation, noch können sie Abfragen in Ereignisdatenspeichern einer Organisation ausführen.

Die folgende Tabelle zeigt die Funktionen des Verwaltungskontos und der delegierten Administratorkonten innerhalb der Organisation. AWS Organizations

Funktionen Verwaltungskonto Delegiertes Administratorkonto

Registrieren oder entfernen Sie delegierte Administratorkonten.

Ja

Nein

Erstellen Sie einen Organisationsereignisdatenspeicher für AWS CloudTrail Ereignisse oder AWS Config Konfigurationselemente.

Ja

Ja

Insights im Ereignisdatenspeicher einer Organisation aktivieren

Ja

Nein

Ereignisdatenspeicher einer Organisation aktualisieren

Ja

Ja 1

Startet und stoppt die Erfassung von Ereignissen in einem Ereignisdatenspeicher einer Organisation.

Ja

Ja

Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation aktivieren2

Ja

Ja

Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation deaktivieren

Ja

Ja

Ereignisdatenspeicher einer Organisation löschen

Ja

Ja

Trail-Ereignisse in einen Ereignisdatenspeicher kopieren

Ja

Nein

Abfragen in Ereignisdatenspeichern einer Organisation ausführen

Ja

Ja

Zeigen Sie ein verwaltetes Dashboard für den Ereignisdatenspeicher einer Organisation an.

Ja

Nein

Aktivieren Sie das Highlights-Dashboard für Datenspeicher von Organisationsereignissen.

Ja

Nein

Erstellen Sie ein Widget für ein benutzerdefiniertes Dashboard, das den Datenspeicher eines Organisationsereignisses abfragt.

Ja

Nein

1 Nur das Verwaltungskonto kann einen Ereignisdatenspeicher einer Organisation in einen Ereignisdatenspeicher auf Kontoebene oder einen Ereignisdatenspeicher auf Kontoebene in einen Organisationsdatenspeicher für Ereignisse konvertieren. Diese Aktionen sind für den delegierten Administrator nicht zulässig, da Ereignisdatenspeicher von Organisationen nur im Verwaltungskonto vorhanden sind. Wenn ein Organisationsereignisdatenspeicher in einen Ereignisdatenspeicher auf Kontoebene konvertiert wird, hat nur das Verwaltungskonto Zugriff auf den Ereignisdatenspeicher. Ebenso kann nur ein Ereignisdatenspeicher auf Kontoebene im Verwaltungskonto in einen Organisationsereignisdatenspeicher konvertiert werden.

2Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des Lake-Formation-Datenfreigabefeatures Informationen abfragen und austauschen. Jedes delegierte Administratorkonto sowie das Verwaltungskonto der Organisation können den Verbund deaktivieren.

Erstellen Sie einen Datenspeicher für Organisationsereignisse

Das Verwaltungskonto oder das delegierte Administratorkonto einer Organisation kann einen Datenspeicher für Organisationsereignisse erstellen, um entweder CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse) oder AWS Config Konfigurationselemente zu sammeln.

Anmerkung

Nur das Verwaltungskonto der Organisation kann Trail-Ereignisse in einen Ereignisdatenspeicher kopieren.

CloudTrail console
So erstellen Sie mithilfe der Konsole einen Veranstaltungsdatenspeicher für Organisationen

  1. Folgen Sie den Schritten im Verfahren Erstellen eines Ereignisdatenspeichers für CloudTrail Ereignisse, um einen Organisationsdatenspeicher für CloudTrail Verwaltungs- oder Datenereignisse zu erstellen.

    ODER

    Folgen Sie den Schritten im Verfahren Erstellen eines Ereignisdatenspeichers für AWS Config Konfigurationselemente, um einen Organisationsereignisdatenspeicher für AWS Config Konfigurationselemente zu erstellen.

  2. Wählen Sie auf der Seite Ereignisse auswählen die Option Für alle Konten in meiner Organisation aktivieren aus.

AWS CLI

Um einen Datenspeicher für Organisationsereignisse zu erstellen, führen Sie den create-event-data-storeBefehl und schließen Sie die --organization-enabled Option ein.

Der folgende AWS CLI create-event-data-store Beispielbefehl erstellt einen Datenspeicher für Organisationsereignisse, der alle Verwaltungsereignisse sammelt. Da Verwaltungsereignisse standardmäßig CloudTrail protokolliert werden, müssen Sie keine erweiterten Ereignisauswahlen angeben, wenn Ihr Ereignisdatenspeicher alle Verwaltungsereignisse protokolliert und keine Datenereignisse sammelt.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

Nachfolgend finden Sie eine Beispielantwort.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Der nächste AWS CLI create-event-data-store Beispielbefehl erstellt einen Organisationsereignisdatenspeicher mit dem Namenconfig-items-org-eds, der AWS Config Konfigurationselemente sammelt. Um Konfigurationselemente zu sammeln, geben Sie ConfigurationItem in den erweiterten Event-Selektoren an, dass das eventCategory Feld „Gleich“ ist.

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Wenden Sie einen Ereignisdatenspeicher auf Kontoebene auf eine Organisation an

Das Verwaltungskonto der Organisation kann einen Ereignisdatenspeicher auf Kontoebene konvertieren, um ihn auf eine Organisation anzuwenden.

CloudTrail console
Um einen Ereignisdatenspeicher auf Kontoebene mithilfe der Konsole zu aktualisieren

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter. https://console.aws.amazon.com/cloudtrail/

  2. Wählen Sie im Navigationsbereich unter Lake die Option Ereignisdatenspeicher aus.

  3. Wählen Sie den Ereignisdatenspeicher, den Sie aktualisieren möchten. Diese Aktion öffnet die Detailseite des Ereignisdatenspeichers.

  4. Wählen Sie unter Allgemeine Details Bearbeiten aus.

  5. Wählen Sie „Für alle Konten in meiner Organisation aktivieren“.

  6. Wählen Sie Änderungen speichern.

Weitere Informationen zum Aktualisieren eines Ereignisdatenspeichers finden Sie unterAktualisieren Sie einen Ereignisdatenspeicher mit der Konsole.

AWS CLI

Um einen Ereignisdatenspeicher auf Kontoebene so zu aktualisieren, dass er für eine Organisation gilt, führen Sie den update-event-data-storeBefehl aus und fügen Sie die Option hinzu. --organization-enabled

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Standard-Ressourcenrichtlinie für delegierte Administratoren

CloudTrail generiert automatisch eine DelegatedAdminResourcePolicy nach Organisationsereignisdatenspeichern benannte Ressourcenrichtlinie, in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten an Organisationsereignisdatenspeichern ausführen dürfen. Die Berechtigungen in DelegatedAdminResourcePolicy werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations

Damit DelegatedAdminResourcePolicy soll sichergestellt werden, dass die delegierten Administratorkonten den Organisationsereignisdatenspeicher im Namen der Organisation verwalten können und dass ihnen nicht versehentlich der Zugriff auf den Organisationsereignisdatenspeicher verweigert wird, wenn dem Organisationsereignisdatenspeicher eine ressourcenbasierte Richtlinie angehängt wird, die es Prinzipalen erlaubt oder verweigert, eine Aktion im Organisationsereignisdatenspeicher auszuführen.

CloudTrail wird zusammen mit allen DelegatedAdminResourcePolicy ressourcenbasierten Richtlinien ausgewertet, die für den Ereignisdatenspeicher der Organisation bereitgestellt werden. Den delegierten Administratorkonten würde der Zugriff nur verweigert, wenn die bereitgestellte ressourcenbasierte Richtlinie eine Erklärung enthalten würde, die den delegierten Administratorkonten ausdrücklich untersagt, eine Aktion am Organisationsereignisdatenspeicher auszuführen, die die delegierten Administratorkonten andernfalls ausführen könnten.

Diese DelegatedAdminResourcePolicy Richtlinie wird automatisch aktualisiert, wenn:

  • Das Verwaltungskonto konvertiert einen Ereignisdatenspeicher einer Organisation in einen Ereignisdatenspeicher auf Kontoebene oder konvertiert einen Ereignisdatenspeicher auf Kontoebene in einen Ereignisdatenspeicher der Organisation.

  • Es gibt organisatorische Änderungen. Beispielsweise registriert oder entfernt das Verwaltungskonto ein CloudTrail delegiertes Administratorkonto.

Sie können die up-to-date Richtlinie im Bereich Ressourcenrichtlinie für delegierte Administratoren auf der CloudTrail Konsole anzeigen oder indem Sie den AWS CLI get-resource-policy Befehl ausführen und den Datenspeicher für das ARN Organisationsereignis übergeben.

Im folgenden Beispiel wird der get-resource-policy Befehl für den Datenspeicher eines Organisationsereignisses ausgeführt.

aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

Die folgende Beispielausgabe zeigt sowohl die bereitgestellte ressourcenbasierte Richtlinie als auch die für die delegierten Administratorkonten und DelegatedAdminResourcePolicy generierten. 333333333333 111111111111

{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Weitere Ressourcen