本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看并更新您的配置,让 AMS Accelerate 能够使用您的 CloudTrail 跟踪
AMS Acc AWS CloudTrail elerate 依靠登录来管理您账户中所有资源的审计和合规性。在入职期间,您可以选择 Accelerate 是在您的主要 AWS 区域部署 CloudTrail 跟踪,还是使用现有 CloudTrail 账户或组织跟踪生成的事件。如果您的账户未配置跟踪,则 Accelerate 将在入职期间部署托管 CloudTrail 跟踪。
重要
CloudTrail 只有当您选择将 AMS Accelerate 与您的 CloudTrail 账户或组织跟踪集成时,才需要进行日志管理配置。
与您的云架构师 (CA) 一起查看您的 CloudTrail 跟踪配置、Amazon S3 存储桶策略和 CloudTrail 活动交付目的地的 AWS KMS 密钥策略
在 Accelerate 可以使用您的 CloudTrail 跟踪之前,您必须与您的云架构师 (CA) 合作审查和更新您的配置以满足 Accelerate 的要求。如果您选择将 Accelerate 与您的 CloudTrail 组织跟踪集成,则您的 CA 会与您合作更新您的 CloudTrail 事件交付目标 Amazon S3 存储桶和 AWS KMS 密钥策略,以允许从您的 Accelerate 账户进行跨账户查询。您的 Amazon S3 存储桶可以位于由 Accelerate 管理的账户中,也可以位于您管理的账户中。在入职期间,Accelerate 会验证是否可以向您的 CloudTrail 组织跟踪事件交付目的地进行查询,如果查询失败,则会暂停入门。您与您的 CA 合作更正这些配置,以便可以恢复入职流程。
查看并更新您的 CloudTrail 账户或组织跟踪配置
要集成加速 CloudTrail 日志管理您的 CloudTrail 账户或组织跟踪资源,需要进行以下配置:
您的 CloudTrail 跟踪已配置为记录所有事件 AWS 区域。
您的 CloudTrail 跟踪已启用全局服务事件。
您的 CloudTrail 账户或组织跟踪记录所有管理事件,包括读取和写入事件, AWS KMS 并且 Amazon RDS Data API 事件日志已启用。
您的 CloudTrail 跟踪已启用日志文件完整性验证。
您的 CloudTrail 跟踪的 Amazon S3 存储桶使用 SSE-S3 或 SS E-KMS 加密来传输事件以加密事件。
您的 CloudTrail 跟踪向其发送事件的 Amazon S3 存储桶已启用服务器访问日志记录。
您的 CloudTrail 跟踪发送事件的 Amazon S3 存储桶的生命周期配置可将您的 CloudTrail 跟踪数据保留至少 18 个月。
您的 CloudTrail 跟踪向其发送事件的 Amazon S3 存储桶已将对象所有权设置为强制存储桶所有者。
Accelerate 可以访问您的 CloudTrail 跟踪向其发送事件的 Amazon S3 存储桶。
查看并更新您的 CloudTrail 活动交付目的地的 Amazon S3 存储桶政策
在入职期间,您需要与您的云架构师 (CA) 合作,将 Amazon S3 存储桶策略声明添加到您的 CloudTrail 活动交付目的地。为了让您的用户能够从您的 Accelerate 账户中查询 CloudTrail 事件交付目标 Amazon S3 存储桶中的更改,您可以在组织中由 Accelerate 管理的每个账户中部署一个统一命名的 IAM 角色,并将其添加到所有 Amazon S3 存储桶策略声明的aws:PrincipalArn列表中。使用此配置,您的用户可以使用 Athena 在 Accelerate 中查询和分析您账户的 CloudTrail 组织跟踪事件。有关如何更新 Amazon S3 存储桶策略的更多信息,请参阅亚马逊简单存储服务用户指南中的使用 Amazon S3 控制台添加存储桶策略。
重要
只有在 Accelerate 与将事件传送到集中式 S3 存储桶的 CloudTrail 跟踪集成时,才需要更新您的 Amazon S3 存储桶策略。Accelerate 不支持与传送到集中存储桶但 AWS 组织下没有账户的 CloudTrail 跟踪集成。
注意
在更新您的 Amazon S3 存储桶策略之前,请将red字段替换为适用的值:
amzn-s3-demo-bucket使用包含您账户中的跟踪事件的 Amazon S3 存储桶的名称。your-organization-id使用您的账户所属 AWS 组织的 ID。your-optional-s3-log-delievery-prefix使用您的 CloudTrail 跟踪的 Amazon S3 存储桶传送前缀。例如my-bucket-prefix,您在创建 CloudTrail 跟踪时可能已设置的内容。如果您尚未为跟踪配置 Amazon S3 存储桶传送前缀,请从以下 Amazon S3 存储桶策略声明中删除
your-optional-s3-log-delievery-prefix“” 和继续的正斜杠 (/)。
以下三个 Amazon S3 存储桶策略声明授予 Accelerate 访问权限,可以从您的 AWS Accelerate 账户中检索配置并运行 Athena 查询,以分析 CloudTrail 您的事件交付目标 Amazon S3 存储桶中的事件。
{ "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetLifecycleConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringLike": { "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
查看并更新 CloudTrail 活动投递目的地的 AWS KMS 关键政策
在入职期间,您需要与您的云架构师 (CA) 合作更新用于加密传送到您的 Amazon S3 存储桶的 CloudTrail 跟踪事件的 AWS KMS 密钥策略。确保将引用 AWS KMS 密钥策略声明附加到现有 AWS KMS 密钥中。这会将 Accelerate 配置为与您现有的 CloudTrail 跟踪事件传输目标 Amazon S3 存储桶集成并解密事件。为了让您的用户能够从您的 Accelerate 账户中查询 CloudTrail 事件交付目标 Amazon S3 存储桶中的更改,您可以在组织中由 Accelerate 管理的每个账户中部署一个统一命名的 IAM 角色,并将其添加到 “aws:PrincipalArn” 列表中。使用此配置,您的用户可以查询事件。
有不同的 AWS KMS 关键政策更新方案需要考虑。您可能只为 CloudTrail 跟踪配置了用于加密所有事件的 AWS KMS 密钥,而没有加密您的 Amazon S3 存储桶中对象的 AWS KMS 密钥。或者,您可能有一个 AWS KMS 密钥用于加密传递的事件 CloudTrail,另一个 AWS KMS 密钥用于加密存储在您的 Amazon S3 存储桶中的所有对象。当您有两个 AWS KMS 密钥时,您可以更新每个密钥的密 AWS KMS 钥策略,以授予 Accelerate 访问您的 CloudTrail 事件的权限。在更新策略之前,请务必将参考 AWS KMS 密 AWS KMS 钥政策声明修改为现有密钥策略。有关如何更新 AWS KMS 密钥策略的更多信息,请参阅AWS Key Management Service 用户指南中的更改密钥策略。
重要
只有在 Accelerate 与启用了日志文件 SSE-KMS 加密的 CloudTrail 跟踪集成时,您才需要更新密 AWS KMS 钥策略。
注意
在将此 AWS KMS 密钥策略声明应用于用于加密发送到 Amazon S3 存储桶 AWS CloudTrail 的事件的 AWS KMS 密钥之前,请将以下red字段替换为适用的值:
YOUR-ORGANIZATION-ID使用您的账户所属 AWS 组织的 ID。
{ "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
