CloudTrail 추적을 AWS Organization 추적으로 변경하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 8월 14일

새 추적을 생성하는 대신 AWS CloudTrail 추적을 AWS Organizations 추적으로 변경하고 싶습니다.  

해결 방법

CloudTrail 로그 파일에 대한 Amazon Simple Storage Service(Amazon S3) 버킷 정책 권한을 수정합니다. 그런 다음 AWS 기본 계정에서 CloudTrail 추적을 수정하고 이를 Organizations 추적으로 변경합니다.

아직 수행하지 않은 경우 지침에 따라 조직에 대한 추적 생성을 준비합니다.

Amazon S3 버킷 정책 수정

1.    Amazon S3 콘솔을 열고 [Buckets(버킷)]을 선택합니다.

2.    [Bucket name(버킷 이름)]에서 CloudTrail 로그 파일이 포함된 S3 버킷을 선택합니다.

3.    [Permissions(권한)]을 선택한 다음, [Bucket Policy(버킷 정책)]을 선택합니다.

4.    다음 예제 정책을 복사하여 붙여넣은 다음, [저장]을 선택합니다.

참고: 다음 값을 바꿉니다.
primary-account-id를 Organizations 기본 계정 ID로 바꿉니다.
bucket-name을 S3 버킷 이름으로 바꿉니다.
org-id를 Organizations ID로 바꿉니다.
your-region을 해당 AWS 리전으로 대체합니다.  

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

AWS Identity and Access Management(IAM) 역할 수정

참고: 이 단계는 Amazon CloudWatch Logs를 사용하여 CloudTrail 로그 파일을 모니터링하는 경우에만 필요합니다.

1.    조직에서 모든 기능이 활성화되어 있는지 확인합니다.

2.    지침에 따라 CloudTrail을 신뢰할 수 있는 서비스로 신뢰하도록 Organizations를 구성합니다.

3.    IAM 콘솔을 열고 [Policies(정책)]를 선택합니다.

4.    [Policy name(정책 이름)]에서 CloudWatch 로그 그룹 AWS 기본 계정과 연결된 IAM 정책을 선택합니다.

5.    [Edit policy(정책 편집)]를 선택하고 다음 예제 정책을 복사하여 붙여넣은 다음, [저장]을 선택합니다.

참고: 다음 값을 바꿉니다.
your-region을 해당 AWS 리전으로 대체합니다.
primary-account-id를 Organizations 기본 계정 ID로 바꿉니다.
org-id를 Organizations ID로 바꿉니다.
log-group-name을 CloudWatch 로그 그룹 이름으로 바꿉니다.  

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

6.    CloudTrail 콘솔을 열고 탐색 창에서 [Trails(추적)]를 선택합니다.

7.    [Trail name(추적 이름)]에서 추적을 선택합니다.

8.    CloudWatch 로그에서 편집 아이콘을 선택한 다음 [계속]을 선택합니다.

9.    [Role Summary(역할 요약)]에서 [Allow(허용)]를 선택합니다.  

CloudTrail 추적을 Organization 추적으로 업데이트

1.    CloudTrail 콘솔을 열고 탐색 창에서 [Trails(추적)]를 선택합니다.

2.    [Trail name(추적 이름)]에서 추적을 선택합니다.

3.    [Trail settings(추적 설정)]에서 편집 아이콘을 선택합니다.

4.    [Apply trail to my organization(추적을 내 조직에 적용)]에서 Yes를 선택한 다음 [저장]을 선택합니다.