Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come posso cambiare il mio trail CloudTrail in un trail di AWS Organizations?

3 minuti di lettura
0

Invece di creare un nuovo trail dell'organizzazione di AWS Organizations, voglio cambiare il mio trail AWS CloudTrail esistente in un trail dell'organizzazione. Come faccio a cambiare il mio trail CloudTrail in un trail dell'organizzazione?

Risoluzione

(Prerequisito) Attiva l'accesso al servizio attendibile con CloudTrail

Segui le istruzioni in Attivazione dell'accesso attendibile con CloudTrail nella Guida per l'utente di AWS Organizations.

Per ulteriori informazioni sull'integrazione di CloudTrail in Organizations, consulta AWS CloudTrail e AWS Organizations.

Aggiorna la policy dei bucket di Amazon S3 per i tuoi file di log di CloudTrail per consentire quanto segue:

  • Il trail CloudTrail per distribuire i file di log al bucket Amazon Simple Storage Service (Amazon S3).
  • Il trail CloudTrail per inviare i log degli account dell'organizzazione al bucket Amazon S3.

1.    Apri la console di Amazon S3.

2.    Scegli Buckets.

3.    Per Nome del bucket, scegli il bucket S3 che contiene i file di log di CloudTrail.

4.    Scegli Autorizzazioni. Quindi, scegli Policy del bucket.

5.    Copia e incolla il seguente esempio di dichiarazione sulla policy del bucket nell'editor delle policy, quindi scegli Salva.

Importante: Sostituisci primary-account-id con l'ID dell'account principale di Organizations. Sostituisci bucket-name con il nome del tuo bucket S3. Sostituisci org-id con il tuo ID Organizations. Sostituisci your-region con la tua regione AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(Facoltativo) Configura le autorizzazioni per monitorare i file di log di CloudTrail dell'organizzazione utilizzando CloudWatch Logs.

Nota: I seguenti passaggi sono necessari solo se stai monitorando i file di log di CloudTrail con Amazon CloudWatch Logs.

1.    Assicurati che la tua organizzazione abbia tutte le funzionalità attivate.

2.    Segui le istruzioni Attiva CloudTrail come servizio attendibile in AWS Organizations.

3.    Apri la console AWS Identity and Access Management (IAM).

4.    Scegli Policies.

5.    Per Nome della policy, scegli la policy IAM associata all'account principale AWS del gruppo di log di CloudWatch.

6.    Scegli Modifica policy, copia e incolla la seguente dichiarazione sulla policy IAM di esempio, quindi scegli Salva.

Importante: Sostituisci your-region con la tua regione AWS. Sostituisci primary-account-id con l'ID dell'account principale di Organizations. Sostituisci org-id con l'ID della tua organizzazione. Sostituisci log-group-name con il nome del tuo gruppo di log di CloudWatch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    Apri la console CloudTrail.

8.    Nel pannello di navigazione, scegli Trail.

9.    Per Nome del trail, scegli il nome del trail.

10.    Per i log di CloudWatch, scegli l'icona di modifica. Quindi, scegli Continua.

11.    Per Riepilogo del ruolo, scegli Consenti.

Aggiorna il tuo trail CloudTrail in un trail dell'organizzazione

1.    Apri la console CloudTrail, quindi scegli Trails nel riquadro di navigazione.

2.    Per Nome del trail, scegli il tuo trail.

3.    Per Impostazioni del trail, scegli l'icona di modifica.

4.    Per Applica trail alla mia organizzazione, scegli . Quindi, scegli Salva.

Informazioni correlate

Come posso iniziare a usare AWS Organizations?

Esecuzione di update-trail per aggiornare un trail dell'organizzazione

Argomenti
Gestione e amministrazione
Tag
AWS CloudTrail
Lingua
Italiano

Video correlati

Guarda il video di Simran per saperne di più (9:38)
Guarda il video di Simran per saperne di più (9:38)
AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente