As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Revise e atualize suas configurações para permitir que o AMS Accelerate use sua trilha CloudTrail
O AMS Accelerate depende do AWS CloudTrail registro para gerenciar as auditorias e a conformidade de todos os recursos da sua conta. Durante a integração, você escolhe se o Accelerate implanta uma CloudTrail trilha na sua AWS região principal ou usa eventos gerados pela sua CloudTrail conta existente ou pela trilha da organização. Se sua conta não tiver uma trilha configurada, o Accelerate implantará uma CloudTrail trilha gerenciada durante a integração.
Importante
CloudTrail A configuração do gerenciamento de registros só é necessária quando você opta por integrar o AMS Accelerate à sua CloudTrail conta ou trilha da organização.
Revise suas configurações de CloudTrail trilhas, a política de bucket do Amazon S3 AWS KMS e a política principal para o destino de entrega de CloudTrail seus eventos com seu Cloud Architect (CA)
Antes que o Accelerate possa usar sua CloudTrail trilha, você deve trabalhar com seu Cloud Architect (CA) para revisar e atualizar suas configurações para atender aos requisitos do Accelerate. Se você optar por integrar o Accelerate à trilha CloudTrail da sua organização, sua CA trabalhará com você para atualizar o bucket Amazon S3 de destino de entrega de CloudTrail eventos e as AWS KMS principais políticas para permitir consultas entre contas a partir de sua conta do Accelerate. Seu bucket do Amazon S3 pode estar em uma conta gerenciada pelo Accelerate ou em uma conta que você gerencia. Durante a integração, o Accelerate valida se as consultas podem ser feitas no destino de entrega dos eventos de trilha CloudTrail da sua organização e pausa a integração se as consultas falharem. Você trabalha com sua CA para corrigir essas configurações para que a integração possa ser retomada.
Revise e atualize as configurações CloudTrail da sua conta ou trilha da organização
As configurações a seguir são necessárias para integrar o gerenciamento de registros do CloudTrail Accelerate à sua CloudTrail conta ou aos recursos da trilha da organização:
Sua CloudTrail trilha está configurada para registrar eventos de todos Regiões da AWS.
Sua CloudTrail trilha tem eventos de serviço global ativados.
A trilha da sua CloudTrail conta ou organização registra todos os eventos de gerenciamento, incluindo eventos de leitura e gravação, AWS KMS e o registro de eventos da API de dados do Amazon RDS está ativado.
Sua CloudTrail trilha tem a validação da integridade do arquivo de log ativada.
O bucket do Amazon S3, sua CloudTrail trilha, entrega eventos para criptografar eventos usando a criptografia SSE-S3 ou SSE-KMS.
O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento tem o registro de acesso ao servidor ativado.
O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento tem uma configuração de ciclo de vida que retém seus dados de CloudTrail trilha por pelo menos 18 meses.
O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento tem a propriedade do objeto definida como proprietária do bucket aplicada.
O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento pode ser acessado pelo Accelerate.
Revise e atualize a política de bucket do Amazon S3 para seu destino de entrega de CloudTrail eventos
Durante a integração, você trabalha com seu Cloud Architect (CA) para adicionar declarações de política de bucket do Amazon S3 ao CloudTrail seu destino de entrega de eventos. Para permitir que seus usuários consultem alterações no bucket Amazon S3 de destino de entrega de CloudTrail eventos a partir da sua conta do Accelerate, você pode implantar uma função do IAM nomeada uniformemente em cada conta gerenciada pelo Accelerate em sua organização e adicioná-la à aws:PrincipalArn lista em todas as declarações de política do bucket do Amazon S3. Com essa configuração, seus usuários podem consultar e analisar os eventos de trilha da CloudTrail organização da sua conta no Accelerate usando o Athena. Para obter mais informações sobre como atualizar uma política de bucket do Amazon S3, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
Importante
A atualização da sua política de bucket do Amazon S3 é necessária somente quando o Accelerate se integra a uma CloudTrail trilha que entrega eventos a um bucket S3 centralizado. O Accelerate não oferece suporte à integração com uma CloudTrail trilha que entrega em um bucket centralizado, mas não tem as contas em uma AWS organização.
nota
Antes de atualizar sua política de bucket do Amazon S3, substitua red os campos por valores aplicáveis:
amzn-s3-demo-bucketcom o nome do bucket do Amazon S3 que contém os eventos de trilha de suas contas.your-organization-idcom o ID da AWS organização da qual suas contas são membros.your-optional-s3-log-delievery-prefixcom o CloudTrail prefixo de entrega do bucket Amazon S3 da sua trilha. Por exemplomy-bucket-prefix, que você pode ter definido ao criar sua CloudTrail trilha.Se você não configurou um prefixo de entrega de bucket do Amazon S3 para sua trilha, remova "
your-optional-s3-log-delievery-prefix" e a barra contínua (/) das seguintes declarações de política de bucket do Amazon S3.
As três declarações de política de bucket do Amazon S3 a seguir concedem ao Accelerate acesso para recuperar as configurações e executar consultas do AWS Athena para analisar os eventos no bucket Amazon S3 de destino de entrega de CloudTrail eventos a partir da sua conta do Accelerate.
{ "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetLifecycleConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringLike": { "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
Revise e atualize a política AWS KMS principal para seu destino de entrega de CloudTrail eventos
Durante a integração, você trabalha com seu Cloud Architect (CA) para atualizar a política de AWS KMS chaves usada para criptografar os eventos de CloudTrail trilha entregues ao seu bucket do Amazon S3. Certifique-se de anexar as declarações de política de AWS KMS chave de referência à sua chave existente AWS KMS . Isso configura o Accelerate para se integrar ao seu destino atual de entrega de eventos de CloudTrail trilha, bucket do Amazon S3, e descriptografar eventos. Para permitir que seus usuários consultem alterações em seu bucket Amazon S3 de destino de entrega de CloudTrail eventos a partir de sua conta do Accelerate, você pode implantar uma função do IAM nomeada uniformemente em cada conta da sua organização que o Accelerate está gerenciando e adicioná-la à lista “aws:PrincipalArn”. Com essa configuração, seus usuários podem consultar eventos.
Há diferentes cenários AWS KMS principais de atualização de políticas a serem considerados. Você pode ter apenas uma AWS KMS chave configurada em sua CloudTrail trilha para criptografar todos os eventos, e não ter uma AWS KMS chave que criptografe objetos em seu bucket do Amazon S3. Ou você pode ter uma AWS KMS chave que criptografa eventos entregues por CloudTrail e outra AWS KMS chave que criptografa todos os objetos armazenados em seu bucket do Amazon S3. Quando você tem duas AWS KMS chaves, você atualiza a AWS KMS política de chaves de cada chave para conceder ao Accelerate acesso aos seus CloudTrail eventos. Certifique-se de alterar a declaração de política de AWS KMS chaves de referência à sua política de AWS KMS chaves existente antes de atualizar a política. Para obter mais informações sobre como atualizar uma política de AWS KMS chaves, consulte Alterar uma política de chaves no Guia AWS Key Management Service do usuário.
Importante
Você precisa atualizar sua política de AWS KMS chaves somente quando o Accelerate se integra a uma CloudTrail trilha com a criptografia SSE-KMS do arquivo de log ativada.
nota
Antes de aplicar essa declaração de política de AWS KMS chaves à AWS KMS chave usada para criptografar seus AWS CloudTrail eventos entregues ao seu bucket do Amazon S3, substitua os red seguintes campos pelos valores aplicáveis:
YOUR-ORGANIZATION-IDcom o ID da AWS organização da qual suas contas são membros.
{ "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
