Revise y actualice sus configuraciones para permitir que AMS Accelerate utilice su CloudTrail sendero - Guía del usuario de AMS Accelerate
Configure los recursos de sus CloudTrail rutas para integrar Accelerate con su CloudTrail ruta

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revise y actualice sus configuraciones para permitir que AMS Accelerate utilice su CloudTrail sendero

AMS Accelerate se basa en el AWS CloudTrail registro para gestionar las auditorías y el cumplimiento de todos los recursos de su cuenta. Durante la incorporación, usted decide si Accelerate despliega un CloudTrail registro en su AWS región principal o utiliza los eventos generados por su CloudTrail cuenta o registro organizacional existente. Si su cuenta no tiene una ruta configurada, Accelerate implementará una CloudTrail ruta gestionada durante la incorporación.

importante

CloudTrail La configuración de administración de registros solo es necesaria si decide integrar AMS Accelerate con su CloudTrail cuenta o el registro de su organización.

Revise las configuraciones CloudTrail de las rutas, la política de bucket de Amazon S3 y la política AWS KMS clave del destino de entrega de sus CloudTrail eventos con su Cloud Architect (CA)

Antes de que Accelerate pueda CloudTrail usar su registro, debe trabajar con su arquitecto de nube (CA) para revisar y actualizar sus configuraciones a fin de cumplir con los requisitos de Accelerate. Si decide integrar Accelerate con el registro de su CloudTrail organización, su CA trabajará con usted para actualizar su destino de entrega de CloudTrail eventos, el bucket de Amazon S3 y las políticas AWS KMS clave para permitir las consultas entre cuentas desde su cuenta de Accelerate. Su bucket de Amazon S3 puede estar en una cuenta gestionada por Accelerate o en una cuenta que usted administre. Durante la incorporación, Accelerate valida si las consultas se pueden realizar en el destino de entrega de los eventos de seguimiento de su CloudTrail organización y detiene la incorporación si las consultas fallan. Usted trabaja con su CA para corregir estas configuraciones de modo que se pueda reanudar la incorporación.

Revise y actualice las configuraciones de su CloudTrail cuenta o registro organizacional

Se requieren las siguientes configuraciones para integrar Accelerate CloudTrail Log Management en su CloudTrail cuenta o los recursos de registro de su organización:

Revise y actualice la política de buckets de Amazon S3 para el destino de entrega de sus CloudTrail eventos

Durante la incorporación, trabajas con tu arquitecto de nube (CA) para añadir las declaraciones de política de bucket de Amazon S3 al destino de entrega de tus CloudTrail eventos. Para permitir que sus usuarios consulten los cambios en el bucket de Amazon S3 de destino de entrega de CloudTrail eventos desde su cuenta de Accelerate, puede implementar una función de IAM con un nombre uniforme en cada cuenta de su organización que Accelerate administre y añadirla a la aws:PrincipalArn lista de todas las declaraciones de política de bucket de Amazon S3. Con esta configuración, sus usuarios pueden consultar y analizar los eventos del registro de la CloudTrail organización de su cuenta en Accelerate mediante Athena. Para obtener más información sobre cómo actualizar una política de bucket de Amazon S3, consulte Añadir una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

importante

La actualización de la política de buckets de Amazon S3 solo es necesaria cuando Accelerate se integra con una CloudTrail ruta que envía eventos a un bucket de S3 centralizado. Accelerate no admite la integración con una CloudTrail ruta que realice entregas a un bucket centralizado, pero que no tenga las cuentas de una AWS organización.

nota

Antes de actualizar su política de buckets de Amazon S3, sustituya red los campos por los valores aplicables:

  • amzn-s3-demo-bucketcon el nombre del bucket de Amazon S3 que contiene los eventos de seguimiento de sus cuentas.

  • your-organization-idcon el ID de la AWS organización a la que pertenecen sus cuentas.

  • your-optional-s3-log-delievery-prefixcon el prefijo de entrega de cubos Amazon S3 de tu CloudTrail ruta. Por ejemplomy-bucket-prefix, el que puede haber establecido al crear el CloudTrail sendero.

    Si no ha configurado un prefijo de entrega de buckets de Amazon S3 para su ruta, elimine «your-optional-s3-log-delievery-prefix» y la barra diagonal correspondiente (/) de las siguientes declaraciones de política de buckets de Amazon S3.

Las siguientes tres declaraciones de política de bucket de Amazon S3 otorgan a Accelerate acceso para recuperar las configuraciones y ejecutar consultas de AWS Athena para analizar los CloudTrail eventos en el bucket de Amazon S3 de destino de entrega de eventos desde su cuenta de Accelerate.

{
    "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringLike": {
            "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

Revise y actualice la política AWS KMS clave del destino de entrega de sus CloudTrail eventos

Durante la incorporación, trabajas con tu arquitecto de nube (CA) para actualizar la política de AWS KMS claves utilizada para cifrar los eventos de CloudTrail seguimiento que se envían a tu bucket de Amazon S3. Asegúrese de adjuntar las declaraciones de política AWS KMS clave de referencia a su clave actual. AWS KMS Esto configura Accelerate para que se integre con el bucket de Amazon S3 de destino de entrega de eventos de CloudTrail seguimiento existente y descifre los eventos. Para permitir que sus usuarios consulten los cambios en el bucket de Amazon S3 de destino de entrega de CloudTrail eventos desde su cuenta de Accelerate, puede implementar un rol de IAM con un nombre uniforme en cada cuenta de su organización que Accelerate administre y añadirlo a la lista «aws:PrincipalArn». Con esta configuración, sus usuarios pueden consultar eventos.

Hay diferentes escenarios AWS KMS clave de actualización de políticas que hay que tener en cuenta. Es posible que solo tenga una AWS KMS clave configurada en su CloudTrail ruta para cifrar todos los eventos y no tenga una AWS KMS clave que cifre los objetos de su bucket de Amazon S3. O bien, puede tener una AWS KMS clave que cifra los eventos enviados por CloudTrail y otra AWS KMS clave que cifra todos los objetos almacenados en su bucket de Amazon S3. Cuando tiene dos AWS KMS claves, actualiza la política de claves de cada AWS KMS clave para que Accelerate pueda acceder a sus CloudTrail eventos. Asegúrese de modificar la declaración de política AWS KMS clave de referencia por la política AWS KMS clave existente antes de actualizar la política. Para obtener más información sobre cómo actualizar una política AWS KMS clave, consulte Cambiar una política clave en la Guía del AWS Key Management Service usuario.

importante

Solo debe actualizar su política de AWS KMS claves cuando Accelerate se integre en un CloudTrail registro con el cifrado SSE-KMS de los archivos de registro activado.

nota

Antes de aplicar esta declaración de política AWS KMS clave a la AWS KMS clave utilizada para cifrar los AWS CloudTrail eventos que se envían a su bucket de Amazon S3, sustituya los siguientes red campos por los valores aplicables:

  • YOUR-ORGANIZATION-IDcon el ID de la AWS organización a la que pertenecen tus cuentas.

Esta declaración de política AWS KMS clave otorga a Accelerate el acceso para descifrar y consultar los eventos de seguimiento enviados al bucket de Amazon S3 desde cada cuenta de su organización, con acceso restringido a Athena, que Accelerate utiliza para consultar y CloudTrail analizar eventos. .

{
    "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}