準備建立組織追蹤 - AWS CloudTrail
組織追蹤中的安全最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

準備建立組織追蹤

在建立組織的追蹤之前,請確保已正確設定您的組織管理帳戶或委派的管理員帳戶,以便建立追蹤。

  • 您組織中的所有功能必須都預先啟用,您才能為其建立追蹤。如需詳細資訊,請參閱啟用組織中的所有功能

  • 管理帳戶必須具有 AWSServiceRoleForOrganizations 角色。這個角色是您在建立組織時由 Organizations 所自動建立,而且是 CloudTrail 用來記錄組織事件的必要角色。如需詳細資訊,請參閱 Organizations 和服務連結角色

  • 在管理或委派的管理員帳戶中建立組織追蹤的使用者或角色,必須擁有可建立組織追蹤的足夠許可。您必須至少將 AWSCloudTrail_FullAccess 政策,或同等政策套用至該角色或使用者。您還必須擁有 IAM 和 Organizations 的足夠許可,才能建立服務連結角色,以及啟用受信任存取。如果您選擇使用 CloudTrail 主控台為組織追蹤建立新的 S3 儲存貯體,
 您的政策也需要包含 s3:PutEncryptionConfiguration
 動作,因為預設會為儲存貯體啟用伺服器端加密。下列範例政策顯示最少的必要許可。

    注意

    您不應該在 之間廣泛共用AWSCloudTrail_FullAccess政策 AWS 帳戶。由於 CloudTrail 會收集高度敏感的資訊,您應限制僅 AWS 帳戶 管理員才能使用這類政策。使用此角色的使用者能夠在自己的 AWS 帳戶中關閉或重新設定最敏感和重要的稽核功能。基於這個原因,您必須嚴密控制和監控對這類政策的存取。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • 若要使用 AWS CLI 或 CloudTrail APIs 建立組織線索,您必須在 Organizations 中啟用 CloudTrail 的受信任存取,而且您必須手動建立 Amazon S3 儲存貯體,其政策允許記錄組織線索。如需詳細資訊,請參閱使用 為組織建立線索 AWS CLI

  • 若要使用現有的 IAM 角色,在 Amazon CloudWatch Logs 中新增組織追蹤的監控,IAM 角色必須透過手動修改,允許將成員帳戶的 CloudWatch Logs 傳遞到管理帳戶的 CloudWatch Logs 群組,如下列範例所示。

    注意

    您必須使用存在於您自己帳戶中的 IAM 角色和 CloudWatch Logs 日誌群組。您無法使用不同帳戶所擁有的 IAM 角色和 CloudWatch Logs 日誌群組。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    您可以在 使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案 中進一步了解 CloudTrail 和 Amazon CloudWatch Logs。此外,請先考慮 CloudWatch Logs 限制和定價考量等因素,再決定啟用組織追蹤的功能。如需詳細資訊,請參閱 CloudWatch Logs 限制Amazon CloudWatch 定價

  • 若要在組織追蹤,記錄成員帳戶中之特定資源的資料事件,請為這些資源準備 Amazon Resource Name (ARN) 清單。建立追蹤時,成員帳戶資源不會顯示在 CloudTrail 主控台中;您可以在支援資料事件收集的管理帳戶中瀏覽資源,例如 S3 儲存貯體。同樣地,建立或更新組織追蹤時,如果要在命令列中新增特定的成員資源,這時您將需要這些資源的 ARN。

    注意

    記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱 AWS CloudTrail 定價

您也應該先考慮管理帳戶與成員帳戶中已存在多少個線索,再建立組織線索。CloudTrail 會限制每個區域內能夠建立的追蹤數目。您在管理帳戶中建立組織追蹤的區域不能超過這個限制。不過,即使成員帳戶已達到區域內追蹤限制,成員帳戶中仍會建立該追蹤。任何區域中的第一個管理事件追蹤都是免費的,接著新增的任何追蹤將予以計費。若要降低組織追蹤的可能成本,請考慮刪除管理帳戶和成員帳戶中的任何不需要追蹤。如需 CloudTrail 定價的詳細資訊,請參閱 AWS CloudTrail 定價

組織追蹤中的安全最佳實務

我們建議的安全最佳實務是,將 aws:SourceArn 條件金鑰新增至您與組織追蹤搭配使用的資源政策 (例如 S3 儲存貯體、KMS 金鑰或 SNS 主題的政策)。aws:SourceArn 的值是組織追蹤 ARN (或多個 ARN,如果您為多個追蹤使用相同的資源,例如相同的 S3 儲存貯體,以存放多個追蹤的日誌)。這可確保資源 (例如 S3 儲存貯體) 僅接受與特定追蹤相關聯的資料。追蹤 ARN 必須使用管理帳戶的帳戶 ID。下列政策片段顯示有一個以上的追蹤正在使用資源的範例。

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

如需將條件金鑰新增至資源政策的詳細資訊,請參閱下列內容: