Membuat jejak untuk organisasi dengan AWS CLI - AWS CloudTrail
Membuat atau memperbarui bucket Amazon S3 yang akan digunakan untuk menyimpan file log untuk jejak organisasiMengaktifkan CloudTrail sebagai layanan tepercaya di AWS OrganizationsMenggunakan create-trailBerjalan update-trail untuk memperbarui jejak organisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat jejak untuk organisasi dengan AWS CLI

Anda dapat membuat jejak organisasi dengan menggunakan AWS CLI. AWS CLI Ini diperbarui secara berkala dengan fungsionalitas dan perintah tambahan. Untuk membantu memastikan kesuksesan, pastikan bahwa Anda telah menginstal atau memperbarui ke AWS CLI versi terbaru sebelum Anda mulai.

catatan

Contoh di bagian ini khusus untuk membuat dan memperbarui jejak organisasi. Untuk contoh menggunakan AWS CLI untuk mengelola jalur, lihat Mengelola jalur dengan AWS CLI danMengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI. Saat membuat atau memperbarui jejak organisasi dengan AWS CLI, Anda harus menggunakan AWS CLI profil di akun manajemen atau akun administrator yang didelegasikan dengan izin yang memadai. Jika Anda mengubah jejak organisasi menjadi jejak non-organisasi, Anda harus menggunakan akun manajemen untuk organisasi tersebut.

Anda harus mengonfigurasi bucket Amazon S3 yang digunakan untuk jejak organisasi dengan izin yang memadai.

Membuat atau memperbarui bucket Amazon S3 yang akan digunakan untuk menyimpan file log untuk jejak organisasi

Anda harus menentukan bucket Amazon S3 untuk menerima file log untuk jejak organisasi. Bucket ini harus memiliki kebijakan yang memungkinkan CloudTrail untuk menempatkan file log untuk organisasi ke dalam bucket.

Berikut ini adalah contoh kebijakan untuk bucket Amazon S3 bernama DOC-EXAMPLE-BUCKET, yang dimiliki oleh akun manajemen organisasi. Ganti DOC-EXAMPLE-BUCKET, region, ManagementAccountID, trailName, dan O-OrganizationId dengan nilai untuk organisasi Anda

Kebijakan bucket ini berisi tiga pernyataan.

  • Pernyataan pertama memungkinkan CloudTrail untuk memanggil GetBucketAcl tindakan Amazon S3 di ember Amazon S3.

  • Pernyataan kedua memungkinkan pencatatan jika jejak diubah dari jejak organisasi menjadi jejak untuk akun itu saja.

  • Pernyataan ketiga memungkinkan pencatatan untuk jejak organisasi.

Kebijakan contoh menyertakan kunci aws:SourceArn kondisi untuk kebijakan bucket Amazon S3. Kunci kondisi global IAM aws:SourceArn membantu memastikan bahwa CloudTrail menulis ke bucket S3 hanya untuk jejak atau jalur tertentu. Dalam jejak organisasi, nilai aws:SourceArn harus berupa jejak ARN yang dimiliki oleh akun manajemen, dan menggunakan ID akun manajemen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailOrganizationWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        }
    ]
}

Kebijakan contoh ini tidak mengizinkan pengguna dari akun anggota untuk mengakses file log yang dibuat untuk organisasi. Secara default, file log organisasi hanya dapat diakses oleh akun manajemen. Untuk informasi tentang cara mengizinkan akses baca ke bucket Amazon S3 untuk pengguna IAM di akun anggota, lihat. Berbagi file CloudTrail log antar AWS akun

Mengaktifkan CloudTrail sebagai layanan tepercaya di AWS Organizations

Sebelum Anda dapat membuat jejak organisasi, Anda harus terlebih dahulu mengaktifkan semua fitur di Organizations. Untuk informasi selengkapnya, lihat Mengaktifkan Semua Fitur di Organisasi Anda, atau jalankan perintah berikut menggunakan profil dengan izin yang memadai di akun manajemen:

aws organizations enable-all-features

Setelah mengaktifkan semua fitur, Anda harus mengonfigurasi Organizations agar dipercaya CloudTrail sebagai layanan tepercaya.

Untuk membuat hubungan layanan tepercaya antara AWS Organizations dan CloudTrail, buka terminal atau baris perintah dan gunakan profil di akun manajemen. Jalankan aws organizations enable-aws-service-access perintah, seperti yang ditunjukkan dalam contoh berikut.

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Menggunakan create-trail

Membuat jejak organisasi yang berlaku untuk semua Wilayah

Untuk membuat jejak organisasi yang berlaku untuk semua Wilayah, tambahkan --is-organization-trail dan --is-multi-region-trail opsi.

catatan

Saat Anda membuat jejak organisasi dengan AWS CLI, Anda harus menggunakan AWS CLI profil di akun manajemen atau akun administrator yang didelegasikan dengan izin yang memadai.

Contoh berikut membuat jejak organisasi yang mengirimkan log dari semua Wilayah ke bucket yang sudah ada bernamaDOC-EXAMPLE-BUCKET:

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail --is-multi-region-trail

Untuk mengonfirmasi bahwa jejak Anda ada di semua Wilayah, IsMultiRegionTrail parameter IsOrganizationTrail dan dalam output disetel ketrue:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
catatan

Jalankan start-logging perintah untuk mulai mencatat jejak Anda. Untuk informasi selengkapnya, lihat Menghentikan dan memulai pencatatan untuk jalan setapak.

Membuat jejak organisasi sebagai jalur Single-region

Perintah berikut membuat jejak organisasi yang hanya mencatat peristiwa dalam satu Wilayah AWS, juga dikenal sebagai jejak wilayah Tunggal. AWS Wilayah tempat peristiwa dicatat adalah Wilayah yang ditentukan dalam profil konfigurasi untuk AWS CLI.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail

Untuk informasi selengkapnya, lihat Persyaratan penamaan untuk CloudTrail sumber daya, bucket S3, dan kunci KMS.

Contoh output:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Secara default, create-trail perintah membuat jejak wilayah Tunggal yang tidak mengaktifkan validasi file log.

catatan

Jalankan start-logging perintah untuk mulai mencatat jejak Anda.

Berjalan update-trail untuk memperbarui jejak organisasi

Anda dapat menjalankan update-trail perintah untuk mengubah pengaturan konfigurasi untuk jejak organisasi, atau menerapkan jejak yang ada untuk satu AWS akun ke seluruh organisasi. Ingatlah bahwa Anda dapat menjalankan update-trail perintah hanya dari Wilayah tempat jejak itu dibuat.

catatan

Jika Anda menggunakan AWS CLI atau salah satu AWS SDK untuk memperbarui jejak, pastikan bahwa kebijakan bucket trail tersebut. up-to-date Untuk informasi selengkapnya, lihat Membuat jejak untuk organisasi dengan AWS CLI.

Ketika Anda memperbarui jejak organisasi dengan AWS CLI, Anda harus menggunakan AWS CLI profil di akun manajemen atau akun administrator yang didelegasikan dengan izin yang memadai. Jika Anda ingin mengubah jejak organisasi menjadi jejak non-organisasi, Anda harus menggunakan akun manajemen untuk organisasi, karena akun manajemen adalah pemilik semua sumber daya organisasi.

CloudTrail memperbarui jejak organisasi di akun anggota meskipun validasi sumber daya gagal. Contoh kegagalan validasi meliputi:

  • kebijakan bucket Amazon S3 yang salah

  • kebijakan topik Amazon SNS yang salah

  • ketidakmampuan untuk mengirimkan ke grup CloudWatch log Log

  • izin yang tidak memadai untuk mengenkripsi menggunakan kunci KMS

Akun anggota dengan CloudTrail izin dapat melihat kegagalan validasi untuk jejak organisasi dengan melihat halaman detail jejak di CloudTrail konsol, atau dengan menjalankan perintah. AWS CLI get-trail-status

Menerapkan jejak yang ada ke organisasi

Untuk mengubah jejak yang ada sehingga juga berlaku untuk organisasi, bukan satu AWS akun, tambahkan --is-organization-trail opsi, seperti yang ditunjukkan pada contoh berikut.

catatan

Gunakan akun manajemen untuk mengubah jejak non-organisasi yang ada menjadi jejak organisasi.

aws cloudtrail update-trail --name my-trail --is-organization-trail

Untuk mengonfirmasi bahwa jejak sekarang berlaku untuk organisasi, IsOrganizationTrail parameter dalam output memiliki nilaitrue.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Pada contoh sebelumnya, jejak dikonfigurasi untuk diterapkan ke semua Regions ()"IsMultiRegionTrail": true. Jejak yang diterapkan hanya pada satu Wilayah akan ditampilkan "IsMultiRegionTrail": false dalam output.

Mengonversi jejak organisasi yang berlaku untuk satu Wilayah untuk diterapkan ke semua Wilayah

Untuk mengubah jejak organisasi yang ada sehingga berlaku untuk semua Wilayah, tambahkan --is-multi-region-trail opsi seperti yang ditunjukkan pada contoh berikut.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Untuk mengonfirmasi bahwa jejak sekarang berlaku untuk semua Wilayah, IsMultiRegionTrail parameter dalam output memiliki nilaitrue.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}