CloudTrail 추적을 AWS Organizations 추적으로 변경하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 2월 9일

새로운 AWS Organizations Organization 추적을 생성하는 대신 기존 AWS CloudTrail 추적을 Organization 추적으로 변경하고 싶습니다. CloudTrail 추적을 Organization 추적으로 변경하려면 어떻게 해야 합니까?

해결 방법

(전제 조건) CloudTrail로 신뢰할 수 있는 서비스 액세스 활성화

AWS Organizations 사용 설명서의 CloudTrail을 사용하여 신뢰할 수 있는 액세스 활성화의 지침을 따릅니다.

CloudTrail을 Organizations에 통합하는 방법에 대한 자세한 내용은 AWS CloudTrail 및 AWS Organizations를 참조하세요.

다음을 허용하도록 CloudTrail 로그 파일에 대한 Amazon S3 버킷 정책을 업데이트합니다.

  • 로그 파일을 Amazon Simple Storage Service(Amazon S3) 버킷으로 전송하는 CloudTrail 추적.
  • 조직의 계정에 대한 로그를 Amazon S3 버킷으로 전송하는 CloudTrail 추적.

1.    Amazon S3 콘솔을 엽니다.

2.    버킷(Buckets)을 선택합니다.

3.    버킷 이름(Bucket name)에서 CloudTrail 로그 파일이 포함된 S3 버킷을 선택합니다.

4.    권한(Permissions)을 선택합니다. 그런 다음 버킷 정책(Bucket Policy)을 선택합니다.

5.    다음 예제 버킷 정책 문을 복사하여 정책 편집기에 붙여넣은 다음 저장(Save)을 선택합니다.

중요: primary-account-id를 Organizations 기본 계정 ID로 바꿉니다. bucket-name을 S3 버킷 이름으로 바꿉니다. org-id를 Organizations ID로 바꿉니다. your-region을 해당 AWS 리전으로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(선택 사항) CloudWatch Logs를 사용하여 조직의 CloudTrail 로그 파일을 모니터링할 권한을 구성합니다.

참고: 다음의 단계는 Amazon CloudWatch Logs를 사용하여 CloudTrail 로그 파일을 모니터링하는 경우에만 필요합니다.

1.    조직에서 모든 기능이 활성화되어 있는지 확인합니다.

2.    AWS Organizations에서 CloudTrail을 신뢰할 수 있는 서비스로 활성화 지침을 따릅니다.

3.    AWS Identity and Access Management(IAM) 콘솔을 엽니다.

4.    정책(Policies)를 선택합니다.

5.    정책 이름(Policy name)에서 CloudWatch 로그 그룹 AWS 기본 계정과 연결된 IAM 정책을 선택합니다.

6.    정책 편집(Edit policy)을 선택하고 다음 예제 IAM 정책 문을 복사하여 붙여넣은 다음 저장(Save)을 선택합니다.

중요: your-region을 사용자의 AWS 리전으로 바꿉니다. primary-account-id를 Organizations 기본 계정 ID로 바꿉니다. org-id를 조직 ID로 바꿉니다. log-group-name을 CloudWatch 로그 그룹 이름으로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    CloudTrail 콘솔을 엽니다.

8.    탐색 창에서 추적(Trails)을 선택합니다.

9.    추적 이름(Trail name)에서 추적의 이름을 선택합니다.

10.    CloudWatch 로그의 경우 편집 아이콘을 선택합니다. 계속(Continue)을 선택합니다.

11.    역할 요약(Role Summary)에서 허용(Allow)을 선택합니다.

CloudTrail 추적을 Organization 추적으로 업데이트

1.    CloudTrail 콘솔을 열고 탐색 창에서 [Trails(추적)]를 선택합니다.

2.    추적 이름(Trail name)에서 추적을 선택합니다.

3.    추적 설정(Trail settings)에서 편집 아이콘을 선택합니다.

4.    내 조직에 추적 적용(Apply trail to my organization)에서 예(Yes)를 선택합니다. 그런 다음 저장(Save)을 선택합니다.