本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢閱並更新您的組態,讓 AMS Accelerate 使用您的 CloudTrail 追蹤
AMS Accelerate 倚賴 AWS CloudTrail 記錄來管理您帳戶中所有資源的稽核和合規。在加入期間,您可以選擇 Accelerate 在主要 AWS 區域中部署 CloudTrail 追蹤,還是使用現有 CloudTrail 帳戶或 Organization 追蹤所產生的事件。如果您的帳戶未設定線索,則 Accelerate 將在加入期間部署受管 CloudTrail 線索。
重要
只有在您選擇將 AMS Accelerate 與您的 CloudTrail 帳戶或 Organization 追蹤整合時,才需要 CloudTrail 日誌管理組態。
使用 Cloud Architect (CA) 檢閱 CloudTrail 追蹤組態、Amazon S3 儲存貯體政策和 CloudTrail 事件交付目的地的 AWS KMS 金鑰政策
在 Accelerate 可以使用您的 CloudTrail 追蹤之前,您必須與 Cloud Architect (CA) 合作來檢閱和更新組態,以符合 Accelerate 要求。如果您選擇將 Accelerate 與您的 CloudTrail Organization 追蹤整合,則您的 CA 會與您一起更新 CloudTrail 事件交付目的地 Amazon S3 儲存貯體和 AWS KMS 金鑰政策,以從您的 Accelerate 帳戶啟用跨帳戶查詢。您的 Amazon S3 儲存貯體可以位於由 Accelerate 管理的帳戶或您管理的帳戶。在加入期間,加速會驗證是否可以對您的 CloudTrail Organization 追蹤事件交付目的地進行查詢,並在查詢失敗時暫停加入。您可以使用 CA 來更正這些組態,以便繼續加入。
檢閱和更新您的 CloudTrail 帳戶或組織追蹤組態
需要下列組態才能整合 Accelerate CloudTrail 日誌管理 CloudTrail 帳戶或組織追蹤資源:
您的 CloudTrail 追蹤已設定為記錄所有 的事件 AWS 區域。
您的 CloudTrail 追蹤已啟用全域服務事件。
您的 CloudTrail 帳戶或組織追蹤會記錄所有管理事件,包括讀取和寫入事件,並啟用 AWS KMS 和 Amazon RDS Data API 事件記錄。
您的 CloudTrail 追蹤已啟用日誌檔案完整性驗證。
CloudTrail 追蹤的 Amazon S3 儲存貯體會提供事件,以使用 SSE-S3 或 SSE-KMS 加密來加密事件。
CloudTrail 線索交付事件至 的 Amazon S3 儲存貯體已啟用伺服器存取記錄。
CloudTrail 線索交付事件至 的 Amazon S3 儲存貯體具有生命週期組態,可保留您的 CloudTrail 線索資料至少 18 個月。
CloudTrail 追蹤交付事件的 Amazon S3 儲存貯體已強制執行物件擁有權設定為儲存貯體擁有者。
您的 CloudTrail 線索交付事件的 Amazon S3 儲存貯體可透過 Accelerate 存取。
檢閱和更新 CloudTrail 事件交付目的地的 Amazon S3 儲存貯體政策
在加入期間,您會與 Cloud Architect (CA) 合作,將 Amazon S3 儲存貯體政策陳述式新增至 CloudTrail 事件交付目的地。若要讓使用者從 Accelerate 帳戶查詢 CloudTrail 事件交付目的地 Amazon S3 儲存貯體中的變更,您可以在 Accelerate 管理的組織的每個帳戶中部署統一命名的 IAM 角色,並將其新增至所有 Amazon S3 儲存貯體政策陳述式中的aws:PrincipalArn清單。透過此組態,您的使用者可以在 Accelerate using Athena 中查詢和分析帳戶的 CloudTrail Organization 追蹤事件。如需如何更新 Amazon S3 儲存貯體政策的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 主控台新增儲存貯體政策。
重要
只有在 Accelerate 與將事件交付至集中式 Amazon S3儲存貯體的 CloudTrail 追蹤整合時,才需要更新您的 Amazon S3 儲存貯體政策。Accelerate 不支援與交付至集中式儲存貯體的 CloudTrail 追蹤整合,但組織下沒有帳戶 AWS 。
注意
更新 Amazon S3 儲存貯體政策之前,請以適用的值取代紅色欄位:
amzn-s3-demo-bucket,其中包含來自您帳戶的追蹤事件的 Amazon S3 儲存貯體名稱。your-organization-id,其中包含您帳戶所屬 AWS 組織 ID。your-optional-s3-log-delievery-prefix搭配 CloudTrail 追蹤的 Amazon S3 儲存貯體交付字首。例如,my-bucket-prefix您在建立 CloudTrail 追蹤時可能已設定的 。如果您尚未為線索設定 Amazon S3 儲存貯體交付字首,請從下列 Amazon S3 儲存貯體政策陳述式中移除「
your-Optional-s3-log-delievery-prefix」和繼續斜線 (/)。
以下三個 Amazon S3 儲存貯體政策陳述式授予 Accelerate 存取權,以擷取 的組態並執行 AWS Athena 查詢,以從您的 Accelerate 帳戶分析事件交付目的地 Amazon S3 儲存貯體中的 CloudTrail 事件。 Amazon S3
{ "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetBucketLogging", "s3:GetBucketObjectLockConfiguration", "s3:GetLifecycleConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringLike": { "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }, { "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "your-organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
檢閱和更新 CloudTrail 事件交付目的地的 AWS KMS 金鑰政策
在加入期間,您會與 Cloud Architect (CA) 合作,更新用於加密交付至 Amazon S3 儲存貯體之 CloudTrail 追蹤事件的 AWS KMS 金鑰政策。請務必將參考 AWS KMS 金鑰政策陳述式附加到現有的 AWS KMS 金鑰。這會將 Accelerate 設定為與您現有的 CloudTrail 追蹤事件交付目的地 Amazon S3 儲存貯體整合,並解密事件。若要讓使用者從 Accelerate 帳戶查詢 CloudTrail 事件交付目的地 Amazon S3 儲存貯體中的變更,您可以在 Accelerate 管理的每個組織中部署統一命名的 IAM 角色,並將其新增至「aws:PrincipalArn」清單。透過此組態,您的使用者可以查詢事件。
有不同的 AWS KMS 金鑰政策更新案例需要考慮。您可能只會將 AWS KMS 金鑰設定為 CloudTrail 追蹤以加密所有事件,而且沒有 AWS KMS 金鑰可加密 Amazon S3 儲存貯體中的物件。或者,您可能有一個 AWS KMS 金鑰會加密 CloudTrail 交付的事件,另一個 AWS KMS 金鑰則會加密存放在 Amazon S3 儲存貯體中的所有物件。當您有兩個 AWS KMS 金鑰時,請更新每個金鑰的 AWS KMS 金鑰政策,以授予加速存取您的 CloudTrail 事件。更新政策之前,請務必將參考 AWS KMS 金鑰政策陳述式修改為現有的 AWS KMS 金鑰政策。如需如何更新 AWS KMS 金鑰政策的詳細資訊,請參閱AWS Key Management Service 《 使用者指南》中的變更金鑰政策。
重要
只有在 Accelerate 與啟用日誌檔案 SSE-KMS 加密的 CloudTrail 追蹤整合時,才需要更新 AWS KMS 金鑰政策。
注意
將此 AWS KMS 金鑰政策陳述式套用至用來加密交付至 Amazon S3 儲存貯體 AWS CloudTrail 之事件的 AWS KMS 金鑰之前,請將下列紅色欄位取代為適用的值:
YOUR-ORGANIZATION-ID包含您帳戶所屬 AWS 組織 ID。
此 AWS KMS 金鑰政策陳述式授予 Accelerate 存取權,以解密和查詢從組織中每個帳戶交付至 Amazon S3 儲存貯體的線索事件,並僅限 Athena 存取,供 Accelerate 用於查詢和分析 CloudTrail 事件。
{ "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" }, "StringEquals": { "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/ams-access-*" ] } } }
