Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Bersiaplah untuk membuat jejak untuk organisasi Anda

PDF
RSS
Mode fokus
Bersiaplah untuk membuat jejak untuk organisasi Anda - AWS CloudTrail
Praktik terbaik keamanan di jalur organisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sebelum membuat jejak untuk organisasi, pastikan akun manajemen organisasi atau akun administrator yang didelegasikan disiapkan dengan benar untuk pembuatan jejak.

  • Organisasi Anda harus mengaktifkan semua fitur sebelum Anda dapat membuat jejak untuk itu. Untuk informasi selengkapnya, lihat Mengaktifkan Semua Fitur di Organisasi Anda.

  • Akun manajemen harus memiliki AWSServiceRoleForOrganizationsperan. Peran ini dibuat secara otomatis oleh Organizations saat Anda membuat organisasi, dan diperlukan CloudTrail untuk mencatat peristiwa untuk organisasi. Untuk informasi selengkapnya, lihat Organizations and service-linked role.

  • Pengguna atau peran yang membuat jejak organisasi di akun administrator manajemen atau yang didelegasikan harus memiliki izin yang cukup untuk membuat jejak organisasi. Anda setidaknya harus menerapkan salah satu AWSCloudTrail_FullAccesskebijakan, atau kebijakan yang setara, untuk peran atau pengguna tersebut. Anda juga harus memiliki izin yang memadai di IAM dan Organizations untuk membuat peran terkait layanan dan mengaktifkan akses tepercaya. Jika Anda memilih untuk membuat bucket S3 baru untuk jejak organisasi menggunakan CloudTrail konsol, Kebijakan Anda juga harus menyertakan s3:PutEncryptionConfiguration tindakan karena secara default enkripsi sisi server diaktifkan untuk bucket. Contoh kebijakan berikut menunjukkan izin minimum yang diperlukan.

    catatan

    Anda tidak harus berbagi AWSCloudTrail_FullAccesskebijakan secara luas di seluruh Anda Akun AWS. Sebaliknya, Anda harus membatasinya kepada Akun AWS administrator karena sifat sangat sensitif dari informasi yang dikumpulkan oleh. CloudTrail Pengguna dengan peran ini memiliki kemampuan untuk mematikan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di dalamnya. Akun AWS Untuk alasan ini, Anda harus mengontrol dan memantau akses ke kebijakan ini dengan cermat.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • Untuk menggunakan AWS CLI atau CloudTrail APIs untuk membuat jejak organisasi, Anda harus mengaktifkan akses tepercaya untuk CloudTrail di Organizations, dan Anda harus membuat bucket Amazon S3 secara manual dengan kebijakan yang memungkinkan pencatatan untuk jejak organisasi. Untuk informasi selengkapnya, lihat Membuat jejak untuk organisasi dengan AWS CLI.

  • Untuk menggunakan peran IAM yang ada untuk menambahkan pemantauan jejak organisasi ke CloudWatch Log Amazon, Anda harus mengubah peran IAM secara manual untuk mengizinkan pengiriman CloudWatch Log untuk akun anggota ke grup CloudWatch Log untuk akun manajemen, seperti yang ditunjukkan pada contoh berikut.

    catatan

    Anda harus menggunakan peran IAM dan grup CloudWatch log Log yang ada di akun Anda sendiri. Anda tidak dapat menggunakan peran IAM atau grup CloudWatch log Log yang dimiliki oleh akun lain. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    Anda dapat mempelajari lebih lanjut tentang CloudTrail dan Amazon CloudWatch Logs inMemantau File CloudTrail Log dengan CloudWatch Log Amazon. Selain itu, pertimbangkan batasan pada CloudWatch Log dan pertimbangan harga untuk layanan sebelum memutuskan untuk mengaktifkan pengalaman untuk jejak organisasi. Untuk informasi selengkapnya, lihat Batas CloudWatch Log dan CloudWatchHarga Amazon.

  • Untuk mencatat peristiwa data di jejak organisasi Anda untuk sumber daya tertentu di akun anggota, siapkan daftar Nama Sumber Daya Amazon (ARNs) untuk masing-masing sumber daya tersebut. Sumber daya akun anggota tidak ditampilkan di CloudTrail konsol saat Anda membuat jejak; Anda dapat menelusuri sumber daya di akun manajemen tempat pengumpulan peristiwa data didukung, seperti bucket S3. Demikian pula, jika Anda ingin menambahkan sumber daya anggota tertentu saat membuat atau memperbarui jejak organisasi di baris perintah, Anda memerlukan sumber daya tersebut. ARNs

    catatan

    Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

Anda juga harus mempertimbangkan untuk meninjau berapa banyak jejak yang sudah ada di akun manajemen dan di akun anggota sebelum membuat jejak organisasi. CloudTrail membatasi jumlah jalur yang dapat dibuat di setiap Wilayah. Anda tidak dapat melampaui batas ini di Wilayah tempat Anda membuat jejak organisasi di akun manajemen. Namun, jejak akan dibuat di akun anggota meskipun akun anggota telah mencapai batas jejak di Wilayah. Meskipun jejak pertama acara manajemen di Wilayah mana pun gratis, biaya berlaku untuk jalur tambahan. Untuk mengurangi potensi biaya jejak organisasi, pertimbangkan untuk menghapus jejak yang tidak dibutuhkan di akun manajemen dan anggota. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Praktik terbaik keamanan di jalur organisasi

Sebagai praktik terbaik keamanan, sebaiknya tambahkan kunci aws:SourceArn kondisi ke kebijakan sumber daya (seperti untuk bucket S3, kunci KMS, atau topik SNS) yang Anda gunakan dengan jejak organisasi. Nilai aws:SourceArn adalah jejak organisasi ARN (atau ARNs, jika Anda menggunakan sumber daya yang sama untuk lebih dari satu jejak, seperti bucket S3 yang sama untuk menyimpan log untuk lebih dari satu jejak). Ini memastikan bahwa sumber daya, seperti bucket S3, hanya menerima data yang terkait dengan jejak tertentu. Trail ARN harus menggunakan ID akun akun manajemen. Cuplikan kebijakan berikut menunjukkan contoh di mana lebih dari satu jejak menggunakan sumber daya.

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Untuk informasi tentang cara menambahkan kunci kondisi ke kebijakan sumber daya, lihat berikut ini:

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.