Tinjau dan perbarui konfigurasi agar AMS Accelerate dapat menggunakan jejak Anda CloudTrail - Panduan Pengguna AMS Accelerate
Konfigurasikan sumber daya CloudTrail jejak Anda untuk mengintegrasikan Accelerate dengan CloudTrail jejak Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tinjau dan perbarui konfigurasi agar AMS Accelerate dapat menggunakan jejak Anda CloudTrail

AMS Accelerate bergantung pada AWS CloudTrail pencatatan untuk mengelola audit dan kepatuhan untuk semua sumber daya di akun Anda. Selama orientasi, Anda memilih apakah Accelerate menyebarkan CloudTrail jejak di AWS Wilayah utama atau menggunakan peristiwa yang dihasilkan oleh CloudTrail akun atau jejak Organisasi yang ada. Jika akun Anda tidak memiliki jejak yang dikonfigurasi, Accelerate akan menerapkan CloudTrail jejak terkelola selama orientasi.

penting

CloudTrail Konfigurasi manajemen log hanya diperlukan ketika Anda memilih untuk mengintegrasikan AMS Accelerate dengan CloudTrail akun atau jejak Organisasi Anda.

Tinjau konfigurasi CloudTrail jejak Anda, kebijakan bucket Amazon S3, AWS KMS dan kebijakan utama untuk tujuan pengiriman acara CloudTrail Anda dengan Cloud Architect (CA) Anda

Sebelum Accelerate dapat menggunakan CloudTrail jejak Anda, Anda harus bekerja dengan Cloud Architect (CA) Anda untuk meninjau dan memperbarui konfigurasi Anda untuk memenuhi persyaratan Accelerate. Jika Anda memilih untuk mengintegrasikan Accelerate dengan jejak CloudTrail Organisasi, CA akan bekerja sama dengan Anda untuk memperbarui bucket Amazon S3 tujuan pengiriman CloudTrail acara dan kebijakan AWS KMS utama untuk mengaktifkan kueri lintas akun dari akun Accelerate Anda. Bucket Amazon S3 Anda dapat berada di akun yang dikelola oleh Accelerate, atau akun yang Anda kelola. Selama orientasi, Accelerate memvalidasi bahwa kueri dapat dibuat ke tujuan pengiriman acara jejak CloudTrail Organisasi Anda, dan menjeda orientasi jika kueri gagal. Anda bekerja dengan CA Anda untuk memperbaiki konfigurasi ini sehingga orientasi dapat dilanjutkan.

Tinjau dan perbarui CloudTrail akun Anda atau konfigurasi jejak Organisasi

Konfigurasi berikut diperlukan untuk mengintegrasikan Mempercepat pengelolaan CloudTrail log CloudTrail akun atau sumber daya jejak Organisasi Anda:

Tinjau dan perbarui kebijakan bucket Amazon S3 untuk tujuan pengiriman CloudTrail acara Anda

Selama orientasi, Anda bekerja sama dengan Cloud Architect (CA) untuk menambahkan pernyataan kebijakan bucket Amazon S3 ke tujuan CloudTrail pengiriman acara. Untuk memungkinkan pengguna menanyakan perubahan di bucket Amazon S3 tujuan pengiriman CloudTrail acara dari akun Accelerate, Anda dapat menerapkan peran IAM bernama seragam di setiap akun di Organisasi yang dikelola Accelerate, dan menambahkannya ke daftar di aws:PrincipalArn semua pernyataan kebijakan bucket Amazon S3. Dengan konfigurasi ini, pengguna dapat melakukan kueri dan menganalisis peristiwa jejak CloudTrail Organisasi akun Anda di Accelerate menggunakan Athena. Untuk informasi selengkapnya tentang cara memperbarui kebijakan bucket Amazon S3, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

penting

Memperbarui kebijakan bucket Amazon S3 Anda hanya diperlukan jika Accelerate terintegrasi dengan CloudTrail jejak yang mengirimkan peristiwa ke bucket S3 terpusat. Accelerate tidak mendukung integrasi dengan CloudTrail jejak yang dikirim ke bucket terpusat tetapi tidak memiliki akun di bawah Organisasi. AWS

catatan

Sebelum memperbarui kebijakan bucket Amazon S3, ganti red bidang dengan nilai yang berlaku:

  • amzn-s3-demo-bucketdengan nama bucket Amazon S3 yang berisi jejak peristiwa dari akun Anda.

  • your-organization-iddengan ID AWS Organisasi tempat akun Anda menjadi anggota.

  • your-optional-s3-log-delievery-prefixdengan awalan pengiriman ember Amazon S3 CloudTrail jejak Anda. Misalnya,my-bucket-prefix, bahwa Anda mungkin telah menetapkan ketika Anda membuat CloudTrail jejak Anda.

    Jika Anda belum mengonfigurasi awalan pengiriman bucket Amazon S3 untuk jejak Anda, hapus "your-optional-s3-log-delievery-prefix" dan garis miring maju (/) dari pernyataan kebijakan bucket Amazon S3 berikut.

Tiga pernyataan kebijakan bucket Amazon S3 berikut memberikan akses Accelerate untuk mengambil konfigurasi dan menjalankan kueri AWS Athena untuk menganalisis peristiwa di bucket Amazon S3 tujuan pengiriman CloudTrail acara Anda dari akun Accelerate Anda.

{
    "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringLike": {
            "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}

Tinjau dan perbarui kebijakan AWS KMS utama untuk tujuan pengiriman CloudTrail acara Anda

Selama orientasi, Anda bekerja dengan Cloud Architect (CA) untuk memperbarui kebijakan AWS KMS utama yang digunakan untuk mengenkripsi peristiwa CloudTrail jejak yang dikirimkan ke bucket Amazon S3 Anda. Pastikan Anda menambahkan pernyataan kebijakan AWS KMS kunci referensi ke AWS KMS kunci yang ada. Ini mengonfigurasi Accelerate untuk berintegrasi dengan bucket Amazon S3 tujuan pengiriman event CloudTrail trail yang ada dan mendekripsi peristiwa. Untuk memungkinkan pengguna melakukan kueri perubahan di bucket Amazon S3 tujuan pengiriman CloudTrail acara dari akun Accelerate, Anda dapat menerapkan Peran IAM bernama seragam di setiap akun di Organisasi yang dikelola Accelerate, dan menambahkannya ke daftar “aws:”. PrincipalArn Dengan konfigurasi ini, pengguna Anda dapat melakukan kueri peristiwa.

Ada berbagai skenario pembaruan kebijakan AWS KMS utama yang perlu dipertimbangkan. Anda mungkin hanya memiliki AWS KMS kunci yang dikonfigurasi ke CloudTrail jejak Anda untuk mengenkripsi semua peristiwa, dan tidak memiliki AWS KMS kunci yang mengenkripsi objek di bucket Amazon S3 Anda. Atau, Anda mungkin memiliki satu AWS KMS kunci yang mengenkripsi peristiwa yang dikirimkan oleh CloudTrail, dan AWS KMS kunci lain yang mengenkripsi semua objek yang disimpan di bucket Amazon S3 Anda. Bila Anda memiliki dua AWS KMS kunci, Anda memperbarui kebijakan AWS KMS kunci untuk setiap kunci untuk memberikan akses Accelerate ke CloudTrail acara Anda. Pastikan Anda mengubah pernyataan kebijakan AWS KMS kunci referensi ke kebijakan AWS KMS kunci yang ada sebelum memperbarui kebijakan. Untuk informasi selengkapnya tentang cara memperbarui kebijakan AWS KMS kunci, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengguna.

penting

Anda harus memperbarui kebijakan AWS KMS kunci hanya jika Accelerate terintegrasi dengan CloudTrail jejak dengan enkripsi SSE-KMS file log diaktifkan.

catatan

Sebelum Anda menerapkan pernyataan kebijakan AWS KMS kunci ini ke AWS KMS kunci yang digunakan untuk mengenkripsi AWS CloudTrail peristiwa yang dikirimkan ke bucket Amazon S3, ganti bidang red berikut dengan nilai yang berlaku:

  • YOUR-ORGANIZATION-IDdengan ID AWS Organisasi, akun Anda adalah anggota.

Pernyataan kebijakan AWS KMS utama ini memberikan Akselerasi akses untuk mendekripsi dan menanyakan peristiwa jejak yang dikirimkan ke bucket Amazon S3 dari setiap akun di Organisasi Anda dengan akses terbatas ke Athena, yang digunakan oleh Accelerate untuk menanyakan dan menganalisis peristiwa. CloudTrail .

{
    "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}