如何将 CloudTrail 跟踪更改为 AWS Organizations 跟踪?

上次更新时间:2020 年 8 月 14 日

我要将 AWS CloudTrail 跟踪更改为 AWS Organizations 跟踪,而不是创建新的跟踪。 

解决方法

为 CloudTrail 日志文件修改 Amazon Simple Storage Service (Amazon S3) 存储桶策略权限。然后,对 AWS 主账户中的 CloudTrail 跟踪进行修改,将其更改为 Organizations 跟踪。

如果您尚未执行此操作,请按照说明执行操作,为您的组织创建一个跟踪

修改 Amazon S3 存储桶策略

1.    打开 Amazon S3 控制台,然后选择存储桶

2.    在存储桶名称中,选择包含您的 CloudTrail 日志文件的 S3 存储桶。

3.    选择权限,然后选择存储桶策略

4.    复制并粘贴以下示例实例策略,然后选择保存

注意:请替换以下值:
主账户 ID 替换为您的组织主账户 ID。
bucket-name 替换为您的 S3 存储桶名称。
org-id 替换为您的 Organizations ID。
your-region 替换为您的 AWS 区域。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

修改您的 AWS Identity and Access Management (IAM) 角色

注意:仅当您要使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件时,才需要执行这些步骤。

1.    请确保您的组织已启用所有功能

2.    按照说明进行操作,对 Organizations 进行配置,将信任 CloudTrail 作为可信服务

3.    打开 IAM 控制台,然后选择策略

4.    在策略名称中,选择与您的 CloudWatch Logs 组 AWS 主账户关联的 IAM 策略。

5.    选择编辑策略,复制并粘贴以下示例策略,然后选择保存

注意:请替换以下值:
your-region 替换为您的 AWS 区域。
主账户 ID 替换为您的组织主账户 ID。
org-id 替换为您的 Organizations ID。
log-group-name 替换为您的 CloudWatch 日志组名称。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

6.    打开 CloudTrail 控制台,然后从导航窗格中选择跟踪

7.    在跟踪名称中,选择跟踪。

8.    在 CloudWatch Logs 中,选择编辑图标,然后选择继续

9.    在角色摘要中,选择允许。 

将 CloudTrail 跟踪更新为 Organization 跟踪

1.    打开 CloudTrail 控制台,然后从导航窗格中选择跟踪

2.    在跟踪名称中,选择跟踪。

3.    在跟踪设置中,选择编辑图标。

4.    在将跟踪应用于我的组织中,选择,然后选择保存。 


这篇文章对您有帮助吗?


您是否需要账单或技术支持?