Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vorbereiten der Erstellung eines Trails für Ihre Organisation
Bevor Sie einen Trail für Ihre Organisation erstellen, müssen Sie sich vergewissern, dass das Verwaltungskonto oder das Konto eines delegierten Administrators Ihrer Organisation für die Trail-Erstellung richtig eingerichtet ist.
-
In Ihrer Organisation müssen alle Funktionen aktiviert sein, bevor Sie einen Trail erstellen. Weitere Informationen finden Sie unter Aktivieren aller Funktionen in der Organisation.
-
Das Verwaltungskonto muss über Folgendes verfügen AWSServiceRoleForOrganizations-Rolle. Diese Rolle wird automatisch von Organizations erstellt, wenn Sie Ihre Organisation erstellen, und ist erforderlich, CloudTrail um Ereignisse für eine Organisation zu protokollieren. Weitere Informationen finden Sie unter Organisationen und serviceverknüpfte Rollen.
-
Der Benutzer oder die Rolle, der/die im Verwaltungskonto oder im Konto eines delegierten Administrators den Organisations-Trail erstellt, muss über ausreichende Berechtigungen zum Erstellen eines Organisations-Trails verfügen. Sie müssen mindestens eine der folgenden Optionen anwenden AWSCloudTrail_FullAccessRichtlinie oder eine gleichwertige Richtlinie auf diese Rolle oder diesen Benutzer. Sie müssen außerdem über ausreichende Berechtigungen in IAM und Organizations verfügen, um die serviceverknüpfte Rolle zu erstellen und vertrauenswürdigen Zugriff zu aktivieren. Wenn Sie sich dafür entscheiden, mithilfe der CloudTrail Konsole einen neuen S3-Bucket für einen Organization Trail zu erstellen, Ihre Richtlinie muss auch Folgendes beinhalten
s3:PutEncryptionConfigurationAktion, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist. Die folgende Beispielrichtlinie zeigt die mindestens erforderlichen Berechtigungen.Anmerkung
Du solltest das nicht teilen AWSCloudTrail_FullAccessRichtlinie im Großen und Ganzen in Ihrem AWS-Konto. Stattdessen sollten Sie es aufgrund der hochsensiblen Natur der von gesammelten Informationen auf AWS-Konto Administratoren beschränken CloudTrail. Benutzer mit dieser Rolle haben die Möglichkeit, die sensibelsten und wichtigsten Auditing-Funktionen in ihren AWS-Konten zu deaktivieren oder zu konfigurieren. Aus diesem Grund sollte der Zugriff auf diese Richtlinie sorgfältig kontrolliert und überwacht werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "s3:PutEncryptionConfiguration" ], "Resource": "*" } ] } -
Um den AWS CLI oder den CloudTrail APIs zum Erstellen eines Organisation-Trails zu verwenden, müssen Sie den vertrauenswürdigen Zugriff für CloudTrail in Organizations aktivieren und Sie müssen manuell einen Amazon S3 S3-Bucket mit einer Richtlinie erstellen, die die Protokollierung für einen Organisationspfad ermöglicht. Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation mit dem AWS CLI.
-
Um eine bestehende IAM Rolle zu verwenden, um Amazon CloudWatch Logs die Überwachung eines Organisationstrails hinzuzufügen, müssen Sie die IAM Rolle manuell ändern, um die Übermittlung von CloudWatch Protokollen für Mitgliedskonten an die CloudWatch Logs-Gruppe für das Verwaltungskonto zu ermöglichen, wie im folgenden Beispiel gezeigt.
Anmerkung
Sie müssen eine IAM Rolle und eine CloudWatch Logs-Protokollgruppe verwenden, die in Ihrem eigenen Konto vorhanden sind. Sie können keine IAM Rolle oder CloudWatch Logs-Protokollgruppe verwenden, die einem anderen Konto gehört.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }Sie können mehr darüber erfahren CloudTrail und Amazon CloudWatch loggt sich einÜberwachung von CloudTrail Protokolldateien mit Amazon CloudWatch Logs. Darüber hinaus sollten Sie die Beschränkungen für CloudWatch Logs und die Preisgestaltung für den Service berücksichtigen, bevor Sie sich dafür entscheiden, das Erlebnis für einen Organisationstest zu aktivieren. Weitere Informationen finden Sie unter CloudWatch Log-Limits und CloudWatchAmazon-Preise
. -
Um Datenereignisse in Ihrem Organisations-Trail für bestimmte Ressourcen in Mitgliedskonten zu protokollieren, halten Sie für jede dieser Ressourcen eine Liste mit Amazon-Ressourcennamen (ARNs) bereit. Die Ressourcen des Mitgliedskontos werden nicht in der CloudTrail Konsole angezeigt, wenn Sie einen Trail erstellen. Sie können im Verwaltungskonto nach Ressourcen suchen, für die die Erfassung von Datenereignissen unterstützt wird, z. B. S3-Buckets. Wenn Sie bei der Erstellung oder Aktualisierung eines Organisationstrails über die Befehlszeile bestimmte Mitgliederressourcen hinzufügen möchten, benötigen Sie ebenfalls die ARNs für diese Ressourcen.
Anmerkung
Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Die Preise finden Sie unter AWS CloudTrail Preisgestaltung
.
Sie sollten auch in Betracht ziehen, zu überprüfen, wie viele Trails bereits im Verwaltungskonto und in den Mitgliedskonten existieren, bevor Sie einen Organisations-Trail erstellen. CloudTrail begrenzt die Anzahl der Wanderwege, die in jeder Region erstellt werden können. Sie können diesen Grenzwert in der Region, in der Sie den Organisations-Trail erstellen, im Verwaltungskonto nicht überschreiten. Beachten Sie jedoch, dass der Trail in den Mitgliedskonten auch dann erstellt wird, wenn für ein Mitgliedskonto die maximale Anzahl an Trails in einer Region erreicht ist. Während der erste Trail von Verwaltungsereignissen in jeder Region kostenlos ist, fallen für zusätzliche Trails Gebühren an. Zur Reduzierung der potenziellen Kosten eines Organisations-Trails sollten Sie alle nicht benötigten Trails im Verwaltungskonto und in Mitgliedskonten löschen. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise
Bewährte Sicherheitsmethoden in Organisations-Trails
Aus Sicherheitsgründen empfehlen wir, den aws:SourceArn Bedingungsschlüssel zu Ressourcenrichtlinien hinzuzufügen (z. B. denen für S3-Buckets, KMS Schlüssel oder SNS Themen), die Sie mit einem Organization Trail verwenden. Der Wert von aws:SourceArn ist der Organisationspfad ARN (oderARNs, wenn Sie dieselbe Ressource für mehr als einen Trail verwenden, z. B. denselben S3-Bucket zum Speichern von Protokollen für mehr als einen Trail). Dies stellt sicher, dass die Ressource, z. B. ein S3-Bucket, nur Daten akzeptiert, die mit dem spezifischen Trail verknüpft sind. Der Trail ARN muss die Konto-ID des Verwaltungskontos verwenden. Der folgende Richtlinienausschnitt zeigt ein Beispiel, in dem mehr als ein Trail die Ressource verwendet.
"Condition": { "StringEquals": { "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"] } }
Informationen zum Hinzufügen von Bedingungsschlüsseln zu Ressourcenrichtlinien finden Sie hier:
