Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Rivedi e aggiorna le configurazioni per consentire ad AMS Accelerate di utilizzare il tuo trail CloudTrail
AMS Accelerate si affida alla AWS CloudTrail registrazione per gestire gli audit e la conformità per tutte le risorse del tuo account. Durante l'onboarding, scegli se Accelerate distribuisca un CloudTrail percorso nella tua AWS regione principale o utilizzi gli eventi generati dal tuo account o percorso organizzativo esistente. CloudTrail Se sul tuo account non è configurato un trail, Accelerate implementerà un percorso gestito CloudTrail durante l'onboarding.
Importante
CloudTrail la configurazione della gestione dei registri è richiesta solo quando scegli di integrare AMS Accelerate con il tuo CloudTrail account o Organization trail.
Rivedi le configurazioni dei CloudTrail percorsi, la policy sui bucket di Amazon S3 AWS KMS e la politica chiave per CloudTrail la destinazione di consegna degli eventi con Cloud Architect (CA)
Prima che Accelerate possa utilizzare il tuo CloudTrail trail, devi collaborare con Cloud Architect (CA) per rivedere e aggiornare le configurazioni per soddisfare i requisiti di Accelerate. Se scegli di integrare Accelerate con la tua CloudTrail organizzazione, il tuo CA collaborerà con te per aggiornare il bucket Amazon S3 della destinazione di distribuzione CloudTrail degli eventi e le politiche AWS KMS chiave per abilitare le query su più account dal tuo account Accelerate. Il tuo bucket Amazon S3 può trovarsi in un account gestito da Accelerate o in un account che gestisci tu. Durante l'onboarding, Accelerate verifica che sia possibile effettuare query verso la destinazione di consegna degli eventi di tracciamento CloudTrail dell'organizzazione e sospende l'onboarding se le richieste non riescono. Collaborate con la vostra CA per correggere queste configurazioni in modo che l'onboarding possa riprendere.
Rivedi e aggiorna le configurazioni CloudTrail dell'account o dell'organizzazione
Le seguenti configurazioni sono necessarie per integrare Accelerate CloudTrail log management, il tuo CloudTrail account o le risorse Organization trail:
Il CloudTrail percorso è configurato per registrare tutti Regioni AWS gli eventi.
Il tuo CloudTrail percorso ha gli eventi di servizio globali abilitati.
Il percorso dell' CloudTrail account o dell'organizzazione registra tutti gli eventi di gestione, inclusi gli eventi di lettura e scrittura, AWS KMS e la registrazione degli eventi di Amazon RDS Data API è abilitata.
Il CloudTrail percorso ha la convalida dell'integrità dei file di registro abilitata.
Il bucket Amazon S3 che CloudTrail percorri fornisce eventi per crittografare gli eventi utilizzando la crittografia SSE-S3 o SSE-KMS.
Il bucket Amazon S3 a cui il CloudTrail percorso consegna l'evento ha la registrazione degli accessi al server abilitata.
Il bucket Amazon S3 a cui distribuisci CloudTrail l'evento ha una configurazione del ciclo di vita che conserva i dati del CloudTrail percorso per almeno 18 mesi.
Il bucket Amazon S3 a cui il CloudTrail percorso consegna l'evento ha Object Ownership impostato su Bucket owner applicato.
Il bucket Amazon S3 a cui il CloudTrail percorso fornisce l'evento è accessibile da Accelerate.
Rivedi e aggiorna la policy sui bucket di Amazon S3 per la destinazione di consegna dei tuoi eventi CloudTrail
Durante l'onboarding, collabori con il tuo Cloud Architect (CA) per aggiungere dichiarazioni sulle policy relative ai bucket di Amazon S3 alla CloudTrail destinazione di distribuzione degli eventi. Per consentire ai tuoi utenti di richiedere le modifiche nel bucket Amazon S3 di destinazione di distribuzione CloudTrail degli eventi dal tuo account Accelerate, puoi implementare un ruolo IAM denominato in modo uniforme in ogni account dell'organizzazione gestito da Accelerate e aggiungerlo all'elenco in aws:PrincipalArn tutte le dichiarazioni politiche sui bucket di Amazon S3. Con questa configurazione, gli utenti possono interrogare e analizzare gli eventi del percorso CloudTrail organizzativo del tuo account in Accelerate utilizzando Athena. Per ulteriori informazioni su come aggiornare una policy sui bucket di Amazon S3, consulta Aggiungere una policy bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.
Importante
L'aggiornamento della policy sui bucket Amazon S3 è necessario solo quando Accelerate si integra con un CloudTrail trail che fornisce eventi a un bucket S3 centralizzato. Accelerate non supporta l'integrazione con un CloudTrail trail che effettua consegne a un bucket centralizzato ma non dispone di account sotto un'organizzazione. AWS
Nota
Prima di aggiornare la tua policy sui bucket di Amazon S3, sostituisci red i campi con i valori applicabili:
amzn-s3-demo-bucketcon il nome del bucket Amazon S3 che contiene gli eventi trail dei tuoi account.your-organization-idcon l'ID dell' AWS organizzazione di cui i tuoi account sono membri.your-optional-s3-log-delievery-prefixcon il CloudTrail prefisso di consegna del bucket Amazon S3 del percorso. Ad esempiomy-bucket-prefix, che potresti aver impostato al momento della creazione del percorso. CloudTrailSe non hai configurato un prefisso Amazon S3 bucket Delivery per il tuo percorso, rimuovi "
your-optional-s3-log-delievery-prefix" e la barra progressiva ()/dalle seguenti istruzioni sulla politica relativa ai bucket di Amazon S3.
Le seguenti tre dichiarazioni sulla politica dei bucket Amazon S3 concedono ad Accelerate l'accesso per recuperare le configurazioni ed eseguire query AWS Athena per analizzare gli eventi nel bucket Amazon S3 di destinazione di distribuzione degli eventi dal CloudTrail tuo account Accelerate.
{ "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetLifecycleConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringLike": { "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
Rivedi e aggiorna la politica chiave per la destinazione di distribuzione degli eventi AWS KMS CloudTrail
Durante l'onboarding, collabori con il tuo Cloud Architect (CA) per aggiornare la policy AWS KMS chiave utilizzata per crittografare gli eventi CloudTrail trail distribuiti al tuo bucket Amazon S3. Assicurati di aggiungere le dichiarazioni politiche AWS KMS chiave di riferimento alla chiave esistente. AWS KMS Ciò configura Accelerate per l'integrazione con il bucket Amazon S3 di distribuzione di eventi CloudTrail trail esistente e decrittografa gli eventi. Per consentire ai tuoi utenti di richiedere le modifiche nel bucket Amazon S3 di destinazione di distribuzione CloudTrail degli eventi dal tuo account Accelerate, puoi implementare un ruolo IAM denominato in modo uniforme in ogni account dell'organizzazione gestito da Accelerate e aggiungerlo all'elenco «aws:». PrincipalArn Con questa configurazione, gli utenti possono interrogare gli eventi.
Esistono diversi scenari AWS KMS chiave di aggiornamento delle politiche da prendere in considerazione. Potresti avere solo una AWS KMS chiave configurata per il tuo CloudTrail percorso per crittografare tutti gli eventi e non avere una AWS KMS chiave che crittografa gli oggetti nel tuo bucket Amazon S3. In alternativa, potresti avere una AWS KMS chiave che crittografa gli eventi forniti da CloudTrail e un'altra AWS KMS chiave che crittografa tutti gli oggetti archiviati nel tuo bucket Amazon S3. Se disponi di due AWS KMS chiavi, aggiorni la policy delle chiavi per ciascuna AWS KMS chiave per concedere ad Accelerate l'accesso ai tuoi eventi. CloudTrail Assicurati di modificare la dichiarazione politica AWS KMS chiave di riferimento con la politica AWS KMS chiave esistente prima di aggiornare la politica. Per ulteriori informazioni su come aggiornare una politica AWS KMS chiave, consulta Modifica di una politica chiave nella Guida per l'AWS Key Management Service utente.
Importante
È necessario aggiornare la politica AWS KMS chiave solo quando Accelerate si integra con un CloudTrail percorso con la crittografia SSE-KMS dei file di registro abilitata.
Nota
Prima di applicare questa dichiarazione sulla politica AWS KMS chiave alla AWS KMS chiave utilizzata per crittografare AWS CloudTrail gli eventi distribuiti al bucket Amazon S3, sostituisci i red seguenti campi con i valori applicabili:
YOUR-ORGANIZATION-IDcon l'ID dell' AWS organizzazione di cui i tuoi account sono membri.
{ "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
