准备为您的组织创建跟踪 - AWS CloudTrail
企业跟踪记录安全最佳实践

准备为您的组织创建跟踪

在为贵组织创建跟踪之前,请确保正确设置贵组织的管理账户或委托管理员账户,以便创建跟踪。

  • 您的组织必须先启用所有功能,然后才能为其创建跟踪。有关更多信息,请参阅启用组织中的所有功能

  • 管理账户必须具有 AWSServiceRoleForOrganizations 角色。此角色由 Organizations 在您创建组织时自动创建,并且是 CloudTrail 记录组织事件所必需的。有关更多信息,请参阅 Organizations 和服务相关角色

  • 在管理账户或委托管理员账户中创建组织跟踪的用户或角色必须拥有足够的权限才能创建组织跟踪。您必须至少将 AWSCloudTrail_FullAccess 策略或等效策略应用于该角色或用户。您还必须在 IAM 和 Organizations 中具有足够的权限,才能创建服务相关角色并启用可信访问。如果您选择使用 CloudTrail 控制台为组织跟踪创建新的 S3 存储桶,则您的策略还需要包含 s3:PutEncryptionConfiguration 操作,因为默认情况下该存储桶启用了服务器端加密。以下示例策略显示了所需的最低权限。

    注意

    不应跨 AWS 账户 广泛共享 AWSCloudTrail_FullAccess 策略。相反,因为 CloudTrail 收集的信息高度敏感,应仅限于 AWS 账户管理员使用。拥有此角色的用户能够关闭或重新配置他们的 AWS 账户中最敏感且最重要的审计功能。因此,您必须密切控制和监控对此策略的访问。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • 要使用 AWS CLI 或 CloudTrail API 来创建组织跟踪,必须在 Organizations 中为 CloudTrail 启用可信访问,且必须使用允许对组织跟踪进行日志记录的策略手动创建一个 Simple Storage Service(Amazon S3)存储桶。有关更多信息,请参阅 使用 AWS CLI 为组织创建跟踪

  • 要使用现有 IAM 角色将组织跟踪的监控功能添加到 Amazon CloudWatch Logs 中,您必须手动修改 IAM 角色,以允许将成员账户的 CloudWatch Logs 传送到管理账户的 CloudWatch Logs 组,如以下示例所示。

    注意

    您必须使用自己账户中存在的 IAM 角色和 CloudWatch Logs 日志组。您不能使用其他账户拥有的 IAM 角色或 CloudWatch Logs 日志组。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    您可以在使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件中了解关于 CloudTrail 和 Amazon CloudWatch Logs 的更多信息。此外,在决定启用组织跟踪的体验之前,请考虑对 CloudWatch Logs 的限制和服务的定价注意事项。有关更多信息,请参阅 CloudWatch Logs 限制Amazon CloudWatch 定价

  • 要在组织跟踪中记录成员账户中特定资源的数据事件,请为每项资源准备好 Amazon Resource Name(ARN)列表。创建跟踪时,成员账户资源不会显示在 CloudTrail 控制台中;您可以在支持数据事件收集的管理账户中浏览资源,例如 S3 存储桶。同样,如果要在命令行中创建或更新组织跟踪时添加特定成员资源,则需要这些资源的 ARN。

    注意

    记录数据事件将收取额外费用。有关 CloudTrail 定价的信息,请参阅 AWS CloudTrail 定价

您还应该考虑在创建组织跟踪记录之前查看管理账户和成员账户中已存在的跟踪记录数。CloudTrail 限制可在每个区域中创建的跟踪数量。您在管理账户中创建组织跟踪的区域中不能超出此限制。但是,即使成员账户已达到区域中的跟踪限制,也会在成员账户中创建跟踪。虽然任何区域中的管理事件的第一个跟踪都是免费的,但其他跟踪需要付费。要降低组织跟踪记录的潜在成本,请考虑删除管理账户和成员账户中任何不需要的跟踪记录。有关 CloudTrail 定价的更多信息,请参阅 AWS CloudTrail 定价

企业跟踪记录安全最佳实践

作为安全最佳实践,建议您将 aws:SourceArn 条件密钥添加到用于企业跟踪记录的资源策略(例如 S3 存储桶、KMS 密钥或 SNS 主题的策略)。aws:SourceArn 的值是企业跟踪记录 ARN(或 ARN,如果您使用同一资源进行多个跟踪,例如用同一个 S3 存储桶存储多个跟踪记录的日志)。这可确保资源(例如 S3 存储桶)只接受与特定跟踪记录关联的数据。跟踪 ARN 必须使用管理账户的账户 ID。以下策略代码段显示有多个跟踪记录正在使用该资源的示例。

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

有关如何向资源策略添加条件密钥的信息,请参阅以下内容: