Membuat penyimpanan data acara organisasi Menerapkan penyimpanan data peristiwa tingkat akun ke organisasi Kebijakan sumber daya default untuk administrator yang didelegasikan Sumber daya tambahan

Memahami penyimpanan data acara organisasi

Jika Anda telah membuat organisasi di AWS Organizations, Anda dapat membuat penyimpanan data acara organisasi yang mencatat semua peristiwa untuk semua Akun AWS di organisasi tersebut. Penyimpanan data acara organisasi dapat berlaku untuk semua Wilayah AWS, atau Wilayah saat ini. Anda tidak dapat menggunakan penyimpanan data acara organisasi untuk mengumpulkan acara dari luar AWS.

Anda dapat membuat penyimpanan data acara organisasi dengan menggunakan akun manajemen atau akun administrator yang didelegasikan. Ketika administrator yang didelegasikan membuat penyimpanan data peristiwa organisasi, penyimpanan data peristiwa organisasi ada di akun manajemen untuk organisasi. Pendekatan ini karena akun manajemen mempertahankan kepemilikan semua sumber daya organisasi.

Akun manajemen untuk organisasi dapat memperbarui penyimpanan data peristiwa tingkat akun untuk menerapkannya ke organisasi.

Ketika penyimpanan data acara organisasi ditetapkan sebagai berlaku untuk organisasi, itu secara otomatis diterapkan ke semua akun anggota di organisasi. Akun anggota tidak dapat melihat penyimpanan data acara organisasi, juga tidak dapat memodifikasi atau menghapusnya. Secara default, akun anggota tidak memiliki akses ke penyimpanan data acara organisasi, juga tidak dapat menjalankan kueri pada penyimpanan data acara organisasi.

Tabel berikut menunjukkan kemampuan akun manajemen dan akun administrator yang didelegasikan dalam AWS Organizations organisasi.

Kemampuan	Akun manajemen	Akun administrator yang didelegasikan
Daftarkan atau hapus akun administrator yang didelegasikan.	Ya	Tidak
Buat penyimpanan data acara organisasi untuk AWS CloudTrail acara atau item AWS Config konfigurasi.	Ya	Ya
Aktifkan Wawasan tentang penyimpanan data acara organisasi.	Ya	Tidak
Perbarui penyimpanan data acara organisasi.	Ya	Ya ¹
Mulai dan hentikan konsumsi acara di penyimpanan data acara organisasi.	Ya	Ya
Aktifkan federasi kueri Danau di penyimpanan data acara organisasi. ²	Ya	Ya
Nonaktifkan federasi kueri Danau di penyimpanan data acara organisasi.	Ya	Ya
Hapus penyimpanan data acara organisasi.	Ya	Ya
Salin peristiwa jejak ke penyimpanan data acara.	Ya	Tidak
Jalankan kueri pada penyimpanan data acara organisasi.	Ya	Ya
Melihat dasbor terkelola untuk penyimpanan data acara organisasi.	Ya	Tidak
Aktifkan dasbor Sorotan untuk penyimpanan data acara organisasi.	Ya	Tidak
Buat widget untuk dasbor kustom yang menanyakan penyimpanan data acara organisasi.	Ya	Tidak

¹ Hanya akun manajemen yang dapat mengonversi penyimpanan data acara organisasi ke penyimpanan data peristiwa tingkat akun, atau mengonversi penyimpanan data peristiwa tingkat akun menjadi penyimpanan data acara organisasi. Tindakan ini tidak diizinkan untuk administrator yang didelegasikan karena penyimpanan data acara organisasi hanya ada di akun manajemen. Ketika penyimpanan data acara organisasi dikonversi ke penyimpanan data peristiwa tingkat akun, hanya akun manajemen yang memiliki akses ke penyimpanan data acara. Demikian juga, hanya penyimpanan data peristiwa tingkat akun di akun manajemen yang dapat dikonversi ke penyimpanan data acara organisasi.

² Hanya satu akun administrator yang didelegasikan atau akun manajemen yang dapat mengaktifkan federasi pada penyimpanan data acara organisasi. Akun administrator lain yang didelegasikan dapat menanyakan dan berbagi informasi menggunakan fitur berbagi data Lake Formation. Setiap akun administrator yang didelegasikan serta akun manajemen organisasi dapat menonaktifkan federasi.

Membuat penyimpanan data acara organisasi

Akun manajemen atau akun administrator yang didelegasikan untuk organisasi dapat membuat penyimpanan data acara organisasi untuk mengumpulkan CloudTrail peristiwa (peristiwa manajemen, peristiwa data) atau item AWS Config konfigurasi.

catatan

Hanya akun manajemen organisasi yang dapat menyalin peristiwa jejak ke penyimpanan data acara.

CloudTrail console

Untuk membuat penyimpanan data acara organisasi menggunakan konsol

Ikuti langkah-langkah dalam membuat penyimpanan data acara untuk prosedur CloudTrail acara untuk membuat penyimpanan data acara organisasi untuk CloudTrail manajemen atau peristiwa data.

ATAU

Ikuti langkah-langkah dalam membuat penyimpanan data peristiwa untuk prosedur item AWS Config konfigurasi untuk membuat penyimpanan data acara organisasi untuk item AWS Config konfigurasi.
Pada halaman Pilih acara, pilih Aktifkan untuk semua akun di organisasi saya.

AWS CLI

Untuk membuat penyimpanan data acara organisasi, jalankan create-event-data-storeperintah dan sertakan --organization-enabled opsi.

AWS CLI create-event-data-storePerintah contoh berikut membuat penyimpanan data acara organisasi yang mengumpulkan semua peristiwa manajemen. Karena peristiwa manajemen CloudTrail log secara default, Anda tidak perlu menentukan pemilih peristiwa lanjutan jika penyimpanan data acara Anda mencatat semua peristiwa manajemen dan tidak mengumpulkan peristiwa data apa pun.


aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

Berikut ini adalah contoh respons.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

AWS CLI create-event-data-storePerintah contoh berikutnya membuat penyimpanan data acara organisasi bernama config-items-org-eds yang mengumpulkan item AWS Config konfigurasi. Untuk mengumpulkan item konfigurasi, tentukan bahwa eventCategory ConfigurationItem bidang sama dengan pemilih acara lanjutan.


aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Menerapkan penyimpanan data peristiwa tingkat akun ke organisasi

Akun manajemen organisasi dapat mengonversi penyimpanan data peristiwa tingkat akun untuk menerapkannya ke organisasi.

Kebijakan sumber daya default untuk administrator yang didelegasikan

CloudTrail secara otomatis menghasilkan kebijakan sumber daya yang dinamai DelegatedAdminResourcePolicy untuk penyimpanan data peristiwa organisasi yang mencantumkan tindakan yang diizinkan dilakukan oleh akun administrator yang didelegasikan pada penyimpanan data peristiwa organisasi. Izin DelegatedAdminResourcePolicy berasal dari izin administrator yang didelegasikan di. AWS Organizations

Tujuannya DelegatedAdminResourcePolicy adalah untuk memastikan bahwa akun administrator yang didelegasikan dapat mengelola penyimpanan data acara organisasi atas nama organisasi dan tidak secara tidak sengaja ditolak akses ke penyimpanan data acara organisasi ketika kebijakan berbasis sumber daya dilampirkan ke penyimpanan data acara organisasi yang memungkinkan atau menyangkal kepala sekolah melakukan tindakan pada penyimpanan data acara organisasi.

CloudTrail mengevaluasi bersama-sama DelegatedAdminResourcePolicy dengan kebijakan berbasis sumber daya yang disediakan untuk penyimpanan data acara organisasi. Akun administrator yang didelegasikan hanya akan ditolak aksesnya jika kebijakan berbasis sumber daya yang disediakan menyertakan pernyataan yang secara eksplisit menolak akun administrator yang didelegasikan melakukan tindakan pada penyimpanan data peristiwa organisasi yang seharusnya dapat dilakukan oleh akun administrator yang didelegasikan.

DelegatedAdminResourcePolicyKebijakan ini diperbarui secara otomatis ketika:

Akun manajemen mengonversi penyimpanan data acara organisasi ke penyimpanan data peristiwa tingkat akun, atau mengonversi penyimpanan data peristiwa tingkat akun menjadi penyimpanan data acara organisasi.
Ada perubahan organisasi. Misalnya, akun manajemen mendaftarkan atau menghapus akun administrator yang CloudTrail didelegasikan.

Anda dapat melihat up-to-date kebijakan di bagian Kebijakan sumber daya administrator yang didelegasikan di CloudTrail konsol, atau dengan menjalankan AWS CLI get-resource-policy perintah dan meneruskan penyimpanan data peristiwa organisasi. ARN

Contoh berikut menjalankan get-resource-policy perintah pada penyimpanan data acara organisasi.


aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

Output contoh berikut menunjukkan kebijakan berbasis sumber daya yang disediakan dan yang DelegatedAdminResourcePolicy dihasilkan untuk akun administrator yang didelegasikan dan. 333333333333 111111111111


{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Sumber daya tambahan

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation

Integrasi