Configurez les ressources de vos CloudTrail sentiers pour intégrer Accelerate à votre CloudTrail sentier

Passez en revue et mettez à jour vos configurations pour permettre à AMS Accelerate d'utiliser votre CloudTrail parcours

AMS Accelerate s'appuie sur la AWS CloudTrail connexion pour gérer les audits et la conformité de toutes les ressources de votre compte. Lors de l'intégration, vous choisissez si Accelerate déploie un suivi dans CloudTrail votre AWS région principale ou utilise les événements générés par votre CloudTrail compte existant ou le journal de votre organisation. Si aucun suivi n'est configuré sur votre compte, Accelerate déploiera un suivi géré lors CloudTrail de l'intégration.

Important

CloudTrail la configuration de la gestion des journaux n'est requise que lorsque vous choisissez d'intégrer AMS Accelerate à votre CloudTrail compte ou à votre historique d'organisation.

Passez en revue les configurations de vos CloudTrail sentiers, la politique relative aux compartiments Amazon S3 et les politiques AWS KMS clés relatives à la destination de diffusion de vos CloudTrail événements avec votre architecte cloud (CA)

Avant qu'Accelerate puisse utiliser CloudTrail votre historique, vous devez travailler avec votre architecte cloud (CA) pour revoir et mettre à jour vos configurations afin de répondre aux exigences d'Accelerate. Si vous choisissez d'intégrer Accelerate à votre historique d' CloudTrail organisation, votre autorité de certification travaille avec vous pour mettre à jour le bucket Amazon S3 de destination de diffusion des CloudTrail événements et les politiques AWS KMS clés afin de permettre les requêtes entre comptes depuis votre compte Accelerate. Votre compartiment Amazon S3 peut se trouver dans un compte géré par Accelerate ou dans un compte que vous gérez. Pendant l'intégration, Accelerate vérifie que des requêtes peuvent être adressées à la destination de diffusion des événements de suivi de votre CloudTrail organisation, et suspend l'intégration si les requêtes échouent. Vous collaborez avec votre autorité de certification pour corriger ces configurations afin que l'intégration puisse reprendre.

Vérifiez et mettez à jour les configurations de suivi de votre CloudTrail compte ou de votre organisation

Les configurations suivantes sont requises pour intégrer la gestion accélérée des CloudTrail journaux à votre CloudTrail compte ou aux ressources de suivi de l'organisation :

Votre CloudTrail parcours est configuré pour enregistrer les événements de tous Régions AWS.
Les événements de service mondiaux sont activés sur votre CloudTrail parcours.
Le journal de votre CloudTrail compte ou de votre organisation enregistre tous les événements de gestion, y compris les événements de lecture et d'écriture, AWS KMS et la journalisation des événements de l'API Amazon RDS Data est activée.
La validation de l'intégrité du fichier journal est activée sur votre CloudTrail trace.
Le compartiment Amazon S3 que vous suivez fournit CloudTrail des événements pour chiffrer les événements à l'aide du chiffrement SSE-S3 ou SSE-KMS.
La journalisation des accès au serveur est activée dans le compartiment Amazon S3 auquel votre CloudTrail trace envoie un événement.
Le compartiment Amazon S3 auquel votre CloudTrail trace envoie un événement possède une configuration de cycle de vie qui conserve les données de votre CloudTrail trace pendant au moins 18 mois.
La propriété de l'objet définie sur le propriétaire du compartiment (bucket owner) est appliquée au bucket (propriétaire du compartiment) Amazon S3 vers lequel votre CloudTrail trace envoie un événement.
Le compartiment Amazon S3 auquel votre CloudTrail trace envoie un événement est accessible par Accelerate.

Passez en revue et mettez à jour la politique relative aux compartiments Amazon S3 pour la destination de diffusion de vos CloudTrail événements

Lors de l'intégration, vous collaborez avec votre architecte cloud (CA) pour ajouter les déclarations de politique relatives aux compartiments Amazon S3 à la destination de diffusion de vos CloudTrail événements. Pour permettre à vos utilisateurs de demander des modifications dans le compartiment Amazon S3 de destination de diffusion de vos CloudTrail événements depuis votre compte Accelerate, vous pouvez déployer un rôle IAM portant le même nom dans chaque compte de votre organisation géré par Accelerate, et l'ajouter à la aws:PrincipalArn liste figurant dans toutes les déclarations de politique relatives aux compartiments Amazon S3. Grâce à cette configuration, vos utilisateurs peuvent interroger et analyser les événements de suivi de CloudTrail l'organisation de votre compte dans Accelerate using Athena. Pour plus d'informations sur la mise à jour d'une politique de compartiment Amazon S3, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Important

La mise à jour de votre politique de compartiment Amazon S3 n'est requise que lorsque Accelerate s'intègre à un CloudTrail journal qui transmet les événements à un compartiment S3 centralisé. Accelerate ne prend pas en charge l'intégration à un CloudTrail suivi qui livre vers un compartiment centralisé mais qui ne possède pas les comptes d'une AWS organisation.

Note

Avant de mettre à jour votre politique relative aux compartiments Amazon S3, remplacez red les champs par les valeurs applicables :

amzn-s3-demo-bucketavec le nom du compartiment Amazon S3 qui contient les événements de suivi de vos comptes.
your-organization-idavec l'identifiant de l' AWS organisation dont vos comptes sont membres.
your-optional-s3-log-delievery-prefixavec le préfixe de livraison du compartiment Amazon S3 de votre CloudTrail parcours. Par exemplemy-bucket-prefix, celui que vous avez peut-être défini lors de la création de votre CloudTrail parcours.

Si vous n'avez pas configuré de préfixe de livraison de compartiment Amazon S3 pour votre parcours, supprimez « your-optional-s3-log-delievery-prefix » et la barre oblique (/) des déclarations de politique relatives aux compartiments Amazon S3 suivantes.

Les trois déclarations de politique relatives aux compartiments Amazon S3 suivantes accordent à Accelerate l'accès pour récupérer les configurations et exécuter des requêtes AWS Athena afin d'analyser les CloudTrail événements dans le compartiment Amazon S3 de destination de diffusion des événements à partir de votre compte Accelerate.


{
    "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringLike": {
            "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

Passez en revue et mettez à jour la politique AWS KMS clé pour la destination de livraison de vos CloudTrail événements

Lors de l'intégration, vous collaborez avec votre architecte cloud (CA) pour mettre à jour la politique AWS KMS clé utilisée pour chiffrer les événements de CloudTrail suivi transmis à votre compartiment Amazon S3. Assurez-vous d'ajouter les déclarations de politique AWS KMS clés de référence à votre AWS KMS clé existante. Cela permet de configurer Accelerate pour l'intégrer à votre compartiment Amazon S3 CloudTrail de destination de diffusion d'événements de suivi existant et pour déchiffrer les événements. Pour permettre à vos utilisateurs de demander des modifications dans le compartiment Amazon S3 de destination de diffusion de vos CloudTrail événements depuis votre compte Accelerate, vous pouvez déployer un rôle IAM portant le même nom dans chaque compte de votre organisation géré par Accelerate, et l'ajouter à la liste « aws : PrincipalArn ». Avec cette configuration, vos utilisateurs peuvent interroger les événements.

Il existe différents scénarios AWS KMS clés de mise à jour des politiques à envisager. Il se peut que vous n'ayez configuré qu'une AWS KMS clé pour votre CloudTrail parcours afin de chiffrer tous les événements, et qu'aucune AWS KMS clé ne chiffre les objets de votre compartiment Amazon S3. Vous pouvez également avoir une AWS KMS clé qui chiffre les événements transmis par CloudTrail, et une autre AWS KMS clé qui chiffre tous les objets stockés dans votre compartiment Amazon S3. Lorsque vous disposez de deux AWS KMS clés, vous mettez à jour la politique AWS KMS clé pour chaque clé afin d'autoriser Accelerate à accéder à vos CloudTrail événements. Assurez-vous de modifier la déclaration de politique AWS KMS clé de référence par rapport à votre politique AWS KMS clé existante avant de mettre à jour la politique. Pour plus d'informations sur la mise à jour d'une politique AWS KMS clé, consultez la section Modification d'une politique clé dans le Guide de AWS Key Management Service l'utilisateur.

Important

Vous êtes tenu de mettre à jour votre politique en matière de AWS KMS clés uniquement lorsque Accelerate s'intègre à un journal CloudTrail avec le chiffrement SSE-KMS des fichiers journaux activé.

Note

Avant d'appliquer cette déclaration de politique AWS KMS clé à la AWS KMS clé utilisée pour chiffrer vos AWS CloudTrail événements transmis à votre compartiment Amazon S3, remplacez les red champs suivants par les valeurs applicables :

YOUR-ORGANIZATION-IDavec l'identifiant de l' AWS organisation dont vos comptes sont membres.

Cette déclaration de politique AWS KMS clé accorde à Accelerate l'accès au déchiffrement et à l'interrogation des événements transmis au compartiment Amazon S3 à partir de chaque compte de votre organisation avec un accès restreint à Athena, utilisée par Accelerate pour interroger et CloudTrail analyser les événements. .


{
    "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 2. Ressources de gestion de l'intégration

Modèle de création de rôles