Konfigurieren Sie Ihre CloudTrail Trail-Ressourcen so, dass Accelerate in Ihren CloudTrail Trail integriert wird

Überprüfen und aktualisieren Sie Ihre Konfigurationen, damit AMS Accelerate Ihren CloudTrail Trail nutzen kann

AMS Accelerate stützt sich auf die AWS CloudTrail Protokollierung, um Audits und die Einhaltung von Vorschriften für alle Ressourcen in Ihrem Konto zu verwalten. Während des Onboardings entscheiden Sie, ob Accelerate einen CloudTrail Trail in Ihrer AWS Hauptregion bereitstellt oder Ereignisse verwendet, die durch Ihr bestehendes CloudTrail Konto oder Ihren Organisationspfad generiert wurden. Wenn für Ihr Konto kein Trail konfiguriert ist, stellt Accelerate beim Onboarding einen verwalteten CloudTrail Trail bereit.

Wichtig

CloudTrail Die Konfiguration der Protokollverwaltung ist nur erforderlich, wenn Sie AMS Accelerate in Ihr CloudTrail Konto oder Ihren Organization Trail integrieren möchten.

Überprüfen Sie mit Ihrem Cloud Architect (CA) Ihre CloudTrail Trail-Konfigurationen, die Amazon S3 S3-Bucket-Richtlinie und die AWS KMS wichtigsten Richtlinien für Ihr CloudTrail Event-Lieferziel

Bevor Accelerate Ihren CloudTrail Trail verwenden kann, müssen Sie mit Ihrem Cloud Architect (CA) zusammenarbeiten, um Ihre Konfigurationen zu überprüfen und zu aktualisieren, um die Accelerate-Anforderungen zu erfüllen. Wenn Sie Accelerate in Ihren CloudTrail Organization Trail integrieren möchten, aktualisiert Ihre CA gemeinsam mit Ihnen Ihren CloudTrail Amazon S3 S3-Bucket und die AWS KMS wichtigsten Richtlinien, um kontoübergreifende Abfragen von Ihrem Accelerate-Konto aus zu ermöglichen. Ihr Amazon S3 S3-Bucket kann sich in einem Konto befinden, das von Accelerate verwaltet wird, oder in einem Konto, das Sie verwalten. Während des Onboardings überprüft Accelerate, ob Anfragen an Ihr CloudTrail Unternehmen gestellt werden können, verfolgt Ereignisse, an das sie geliefert werden, und unterbricht das Onboarding, falls die Anfragen fehlschlagen. Sie arbeiten mit Ihrer CA zusammen, um diese Konfigurationen zu korrigieren, sodass das Onboarding wieder aufgenommen werden kann.

Überprüfen und aktualisieren Sie die CloudTrail Trail-Konfigurationen Ihres Kontos oder Ihrer Organisation

Die folgenden Konfigurationen sind erforderlich, um Accelerate CloudTrail Log Management in Ihre CloudTrail Konto- oder Organization-Trail-Ressourcen zu integrieren:

Ihr CloudTrail Trail ist so konfiguriert, dass er Ereignisse von allen protokolliert AWS-Regionen.
Für deinen CloudTrail Trail sind globale Serviceereignisse aktiviert.
Ihr CloudTrail Konto- oder Organisations-Trail protokolliert alle Verwaltungsereignisse, einschließlich Lese- und Schreibereignisse, AWS KMS und die Amazon RDS Data API-Ereignisprotokollierung ist aktiviert.
Für Ihren CloudTrail Trail ist die Überprüfung der Integrität der Protokolldatei aktiviert.
Der Amazon S3 S3-Bucket Your CloudTrail Trail übermittelt Ereignisse, um Ereignisse entweder mit SSE-S3- oder SSE-KMS-Verschlüsselung zu verschlüsseln.
Für den Amazon S3 S3-Bucket, an den Ihr CloudTrail Trail das Ereignis übermittelt, ist die Serverzugriffsprotokollierung aktiviert.
Der Amazon S3 S3-Bucket, an den Ihr CloudTrail Trail ausliefert, hat eine Lebenszykluskonfiguration, die Ihre CloudTrail Trail-Daten für mindestens 18 Monate aufbewahrt.
Für den Amazon S3 S3-Bucket, an den Ihr CloudTrail Trail das Ereignis übermittelt, wurde die Objektverwaltung auf Bucket-Besitzer gesetzt.
Der Amazon S3 S3-Bucket, an den Ihr CloudTrail Trail das Ereignis übermittelt, ist über Accelerate zugänglich.

Überprüfen und aktualisieren Sie die Amazon S3 S3-Bucket-Richtlinie für Ihr CloudTrail Event-Lieferziel

Während des Onboardings arbeiten Sie mit Ihrem Cloud Architect (CA) zusammen, um Amazon S3 S3-Bucket-Richtlinienerklärungen zu Ihrem Lieferziel für CloudTrail Veranstaltungen hinzuzufügen. Damit Ihre Benutzer von Ihrem Accelerate-Konto aus Änderungen an Ihrem Amazon S3 S3-Bucket für die Zustellung von CloudTrail Veranstaltungen abfragen können, können Sie für jedes Konto in Ihrer Organisation, das Accelerate verwaltet, eine einheitlich benannte IAM-Rolle bereitstellen und sie der aws:PrincipalArn Liste in allen Amazon S3 S3-Bucket-Richtlinienerklärungen hinzufügen. Mit dieser Konfiguration können Ihre Benutzer die CloudTrail Organization-Trail-Ereignisse Ihres Kontos in Accelerate mithilfe von Athena abfragen und analysieren. Weitere Informationen zum Aktualisieren einer Amazon S3 S3-Bucket-Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole im Amazon Simple Storage Service-Benutzerhandbuch.

Wichtig

Die Aktualisierung Ihrer Amazon S3 S3-Bucket-Richtlinie ist nur erforderlich, wenn Accelerate in einen CloudTrail Trail integriert ist, der Ereignisse an einen zentralen S3-Bucket weiterleitet. Accelerate unterstützt nicht die Integration mit einem CloudTrail Trail, der an einen zentralen Bucket liefert, aber die Konten nicht unter einer AWS Organisation hat.

Anmerkung

Bevor Sie Ihre Amazon S3 S3-Bucket-Richtlinie aktualisieren, ersetzen Sie red Felder durch entsprechende Werte:

amzn-s3-demo-bucketmit dem Namen des Amazon S3 S3-Buckets, der die Trail-Ereignisse aus Ihren Konten enthält.
your-organization-idmit der ID der AWS Organisation, der Ihre Konten angehören.
your-optional-s3-log-delievery-prefixmit dem Amazon S3 S3-Bucket-Lieferpräfix Ihres CloudTrail Trails. Zum Beispielmy-bucket-prefix, das Sie möglicherweise bei der Erstellung Ihres CloudTrail Trails festgelegt haben.

Wenn Sie kein Amazon S3 S3-Bucket-Lieferpräfix für Ihren Trail konfiguriert haben, entfernen Sie "your-optional-s3-log-delievery-prefix" und den fortlaufenden Schrägstrich (/) aus den folgenden Amazon S3 S3-Bucket-Richtlinienerklärungen.

Die folgenden drei Amazon S3 S3-Bucket-Richtlinienerklärungen gewähren Accelerate Zugriff, um die Konfigurationen von AWS Athena-Abfragen abzurufen und auszuführen, um die CloudTrail Ereignisse in Ihrem Amazon S3 S3-Bucket für die Lieferung von Veranstaltungen von Ihrem Accelerate-Konto aus zu analysieren.


{
    "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringLike": {
            "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

Überprüfen und aktualisieren Sie die AWS KMS wichtigsten Richtlinien für Ihr Lieferziel für CloudTrail Veranstaltungen

Während des Onboardings arbeiten Sie mit Ihrem Cloud Architect (CA) zusammen, um die AWS KMS Schlüsselrichtlinie zu aktualisieren, die zur Verschlüsselung der CloudTrail Trail-Ereignisse verwendet wird, die an Ihren Amazon S3 S3-Bucket gesendet werden. Stellen Sie sicher, dass Sie die Richtlinienerklärungen zu den AWS KMS Referenzschlüsseln an Ihren vorhandenen Schlüssel anhängen. AWS KMS Dadurch wird Accelerate so konfiguriert, dass es in Ihren vorhandenen Amazon S3 S3-Bucket für die Zustellung von CloudTrail Trail-Ereignissen integriert und Ereignisse entschlüsselt werden. Damit Ihre Benutzer von Ihrem Accelerate-Konto aus Änderungen an Ihrem Amazon S3 S3-Bucket für die Zustellung von CloudTrail Veranstaltungen abfragen können, können Sie für jedes Konto in Ihrer Organisation, das Accelerate verwaltet, eine einheitlich benannte IAM-Rolle bereitstellen und sie der Liste „aws:PrincipalArn“ hinzufügen. Mit dieser Konfiguration können Ihre Benutzer Ereignisse abfragen.

Es gibt verschiedene AWS KMS wichtige Szenarien zur Aktualisierung von Richtlinien, die berücksichtigt werden müssen. Möglicherweise haben Sie nur einen AWS KMS Schlüssel für Ihren CloudTrail Trail konfiguriert, um alle Ereignisse zu verschlüsseln, und keinen AWS KMS Schlüssel, der Objekte in Ihrem Amazon S3 S3-Bucket verschlüsselt. Oder vielleicht haben Sie einen AWS KMS Schlüssel, der Ereignisse verschlüsselt, die von übermittelt wurden CloudTrail, und einen anderen AWS KMS Schlüssel, der alle in Ihrem Amazon S3 S3-Bucket gespeicherten Objekte verschlüsselt. Wenn Sie über zwei AWS KMS Schlüssel verfügen, aktualisieren Sie die AWS KMS Schlüsselrichtlinie für jeden Schlüssel, um Accelerate Zugriff auf Ihre CloudTrail Ereignisse zu gewähren. Stellen Sie sicher, dass Sie die AWS KMS Referenzschlüsselrichtlinie an Ihre bestehende AWS KMS wichtige Richtlinie anpassen, bevor Sie die Richtlinie aktualisieren. Weitere Informationen zum Aktualisieren einer AWS KMS wichtigen Richtlinie finden Sie unter Ändern einer wichtigen Richtlinie im AWS Key Management Service Benutzerhandbuch.

Wichtig

Sie müssen Ihre AWS KMS Schlüsselrichtlinie nur aktualisieren, wenn Accelerate in einen CloudTrail Trail integriert ist, bei dem die SSE-KMS-Verschlüsselung für Protokolldateien aktiviert ist.

Anmerkung

Bevor Sie diese AWS KMS wichtige Richtlinienerklärung auf den Schlüssel anwenden, der AWS KMS zur Verschlüsselung Ihrer an Ihren Amazon S3 S3-Bucket übermittelten AWS CloudTrail Ereignisse verwendet wird, ersetzen Sie die folgenden red Felder durch die entsprechenden Werte:

YOUR-ORGANIZATION-IDmit der ID der AWS Organisation, der Ihre Konten angehören.

Diese AWS KMS wichtige Grundsatzerklärung gewährt Accelerate Zugriff auf die Entschlüsselung und Abfrage von Trail-Ereignissen, die von jedem Konto in Ihrer Organisation an den Amazon S3 S3-Bucket gesendet werden, wobei der Zugriff auf Athena beschränkt ist und von Accelerate zur Abfrage und Analyse CloudTrail von Ereignissen verwendet wird. .


{
    "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schritt 2. Ressourcen für das Onboarding-Management

Vorlage zur Erstellung von Rollen