Erstellen eines Trails für eine Organisation mit dem AWS CLI - AWS CloudTrail
Erstellen oder Aktualisieren eines Amazon-S3-Buckets zum Speichern der Protokolldateien für einen Organisations-TrailAktivierung CloudTrail als vertrauenswürdiger Dienst in AWS OrganizationsVerwendung von „create-trail”update-trail ausführen, um einen Organisations-Trail zu aktualisieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines Trails für eine Organisation mit dem AWS CLI

Sie können mit der AWS CLI einen Organisations-Trail erstellen. Das AWS CLI wird regelmäßig mit zusätzlichen Funktionen und Befehlen aktualisiert. Um den Erfolg sicherzustellen, stellen Sie sicher, dass Sie eine aktuelle Version installiert oder auf eine aktuelle AWS CLI Version aktualisiert haben, bevor Sie beginnen.

Anmerkung

Die Beispiele in diesem Abschnitt gelten speziell für das Erstellen und Aktualisieren von Organisations-Trails. Beispiele für die Verwendung von AWS CLI zur Verwaltung von Pfaden finden Sie unter Verwaltung von Wanderwegen mit dem AWS CLI undKonfiguration der CloudWatch Protokollüberwachung mit dem AWS CLI. Wenn Sie einen Organisationspfad mit dem erstellen oder aktualisieren AWS CLI, müssen Sie ein AWS CLI Profil im Verwaltungskonto oder ein delegiertes Administratorkonto mit ausreichenden Berechtigungen verwenden. Wenn Sie einen Organisations-Trail in einen Nicht-Organisations-Trail umwandeln, müssen Sie das Verwaltungskonto der Organisation verwenden.

Sie müssen den für einen Organisationstrail verwendeten Amazon-S3-Bucket mit ausreichenden Berechtigungen kopnfigurieren.

Erstellen oder Aktualisieren eines Amazon-S3-Buckets zum Speichern der Protokolldateien für einen Organisations-Trail

Sie müssen einen Amazon-S3-Bucket für den Empfang der Protokolldateien für einen Organisationstrail angeben. Dieser Bucket muss über eine Richtlinie verfügen, die es CloudTrail ermöglicht, die Protokolldateien für die Organisation in den Bucket zu übernehmen.

Im Folgenden finden Sie eine Beispielrichtlinie für einen Amazon S3 S3-Bucket mit dem Namen DOC-EXAMPLE-BUCKET, der dem Verwaltungskonto der Organisation gehört. Ersetzen Sie DOC-EXAMPLE-BUCKET, Region, ManagementAccountID, TrailName und O-OrganizationId durch die Werte für Ihre Organisation

Diese Bucket-Richtlinie besteht aus drei Anweisungen:

  • Die erste Anweisung ermöglicht CloudTrail den Aufruf der Amazon S3 GetBucketAcl S3-Aktion im Amazon S3 S3-Bucket.

  • Die zweite Anweisung ermöglicht die Protokollierung des Ereignisses für den Fall, dass der Trail von einem Organisations-Trail zu einem kontospezifischen Trail geändert wird.

  • Die dritte Anweisung ermöglicht die Protokollierung eines Organisations-Trails.

Die Beispielrichtlinie enthält einen aws:SourceArn-Bedingungsschlüssel für die Richtlinie von Amazon-S3-Bucket. Der globale IAM-Bedingungsschlüssel aws:SourceArn trägt dazu bei, dass nur für einen oder mehrere bestimmte Pfade in den S3-Bucket CloudTrail geschrieben wird. In einem Organisations-Trail muss der Wert von aws:SourceArn ein Trail-ARN sein, der im Besitz des Verwaltungskontos ist und die Verwaltungskonto-ID verwendet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailOrganizationWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        }
    ]
}

Diese Beispielrichtlinie sieht nicht vor, dass beliebige Benutzer über Mitgliedskonten auf die für die Organisation erstellten Protokolldateien zugreifen können. Standardmäßig ist der Zugriff auf die Protokolldateien der Organisation nur über das Verwaltungskonto möglich. Weitere Informationen dazu, wie Sie IAM-Benutzern in Mitgliedskonten den Lesezugriff auf den Amazon-S3-Bucket gewähren, finden Sie unter CloudTrail Protokolldateien zwischen AWS Konten teilen.

Aktivierung CloudTrail als vertrauenswürdiger Dienst in AWS Organizations

Sie müssen zunächst in Organizations alle Funktionen aktivieren, bevor Sie einen Organisations-Trail erstellen können. Weitere Informationen finden Sie unter Aktivieren aller Funktionen in der Organisation. Alternativ führen Sie anhand eines Profils mit ausreichenden Berechtigungen im Verwaltungskonto den folgenden Befehl aus:

aws organizations enable-all-features

Nachdem Sie alle Funktionen aktiviert haben, müssen Sie Organizations so konfigurieren, dass es sich um einen vertrauenswürdigen Dienst handelt. CloudTrail

Um die vertrauenswürdige Dienstbeziehung zwischen AWS Organizations und herzustellen CloudTrail, öffnen Sie ein Terminal oder eine Befehlszeile und verwenden Sie ein Profil im Verwaltungskonto. Führen Sie den Befehl aws organizations enable-aws-service-access wie im folgenden Beispiel beschrieben aus.

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Verwendung von „create-trail”

Erstellen eines für alle Regionen geltenden Organisations-Trails

Zum Erstellen eines für alle Regionen geltenden Organisations-Trails verwenden Sie die Optionen --is-organization-trail und --is-multi-region-trail.

Anmerkung

Wenn Sie einen Organisationspfad mit dem erstellen AWS CLI, müssen Sie ein AWS CLI Profil im Verwaltungskonto oder ein delegiertes Administratorkonto mit ausreichenden Berechtigungen verwenden.

Im folgenden Beispiel wird ein Organisations-Trail angelegt, der Protokolle aus allen Regionen an einen vorhandenen Bucket mit dem Namen DOC-EXAMPLE-BUCKET übermittelt:

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail --is-multi-region-trail

Die Parameter IsOrganizationTrail und IsMultiRegionTrail in der Ausgabe sind auf true festgelegt, um zu bestätigen, dass Ihr Trail in allen Regionen vorhanden ist:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
Anmerkung

Führen Sie den Befehl start-logging aus, um die Protokollierung für den Trail zu starten. Weitere Informationen finden Sie unter Anhalten und Starten der Protokollierung für einen Trail.

Erstellen eines Organisations-Trails als Trail für eine einzelne Region

Mit dem folgenden Befehl wird ein Organisationspfad erstellt, der nur Ereignisse in einem einzigen Pfad protokolliert AWS-Region, der auch als Einzelregionspfad bezeichnet wird. Die AWS Region, in der Ereignisse protokolliert werden, ist die Region, die im Konfigurationsprofil für angegeben ist. AWS CLI

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail

Weitere Informationen finden Sie unter Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und KMS-Schlüssel.

Beispielausgabe:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Standardmäßig erstellt der Befehl create-trail einen Trail für eine einzelne Region, der die Validierung von Protokolldateien nicht aktiviert.

Anmerkung

Führen Sie den Befehl start-logging aus, um die Protokollierung für den Trail zu starten.

update-trail ausführen, um einen Organisations-Trail zu aktualisieren

Sie können mit dem Befehl update-trail die Konfigurationseinstellungen eines Organisations-Trails ändern oder einen vorhandenen Trail für ein einzelnes AWS -Konto auf eine gesamte Organisation anwenden. Beachten Sie, dass Sie den Befehl update-trail nur in der Region ausführen können, in der der Trail erstellt wurde.

Anmerkung

Wenn Sie das AWS CLI oder eines der AWS SDKs verwenden, um einen Trail zu aktualisieren, stellen Sie sicher, dass die Bucket-Richtlinie des Trails aktiviert ist up-to-date. Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation mit dem AWS CLI.

Wenn Sie einen Organisationspfad mit dem aktualisieren AWS CLI, müssen Sie ein AWS CLI Profil im Verwaltungskonto oder im delegierten Administratorkonto mit ausreichenden Berechtigungen verwenden. Wenn Sie einen Organisations-Trail in ein Nicht-Organisations-Trail umwandeln möchten, müssen Sie das Verwaltungskonto der Organisation verwenden, da dieses Konto der Besitzer aller Organisationsressourcen ist.

CloudTrail aktualisiert die Organisationspfade in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt. Beispiele für fehlgeschlagene Überprüfungen sind:

  • eine falsche Amazon S3 S3-Bucket-Richtlinie

  • eine falsche Amazon SNS SNS-Themenrichtlinie

  • Unfähigkeit, an eine CloudWatch Logs-Protokollgruppe zu liefern

  • unzureichende Rechte zur Verschlüsselung mit einem KMS-Schlüssel

Ein Mitgliedskonto mit CloudTrail Berechtigungen kann alle Validierungsfehler für einen Organisationspfad anzeigen, indem es die Detailseite des Trails in der CloudTrail Konsole aufruft oder den AWS CLI get-trail-statusBefehl ausführt.

Anwenden eines vorhandenen Trails auf eine Organisation

Um einen vorhandenen Trail so zu ändern, dass er auch für eine Organisation und nicht für ein einzelnes AWS Konto gilt, fügen Sie die --is-organization-trail Option hinzu, wie im folgenden Beispiel gezeigt.

Anmerkung

Verwenden Sie das Verwaltungskonto, um einen vorhandenen Nicht-Organisations-Trail in einen Organisations-Trail umzuwandeln.

aws cloudtrail update-trail --name my-trail --is-organization-trail

Um zu bestätigen, dass der Trail jetzt für die Organisation gilt, hat der IsOrganizationTrail-Parameter in der Ausgabe den Wert true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Im vorherigen Beispiel wurde der Trail so konfiguriert, dass er für alle Regionen gilt ("IsMultiRegionTrail": true). Ein Trail, der nur für eine einzelne Region gilt, würde in der Ausgabe den Wert "IsMultiRegionTrail": false anzeigen.

Umwandeln eines für eine Region geltenden Organisations-Trails, damit er für alle Regionen gilt

Um einen vorhandenen Organisations-Trail so zu ändern, dass er für alle Regionen gilt, fügen Sie die Option --is-multi-region-trail wie im folgenden Beispiel gezeigt hinzu.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Um zu bestätigen, dass der Trail jetzt für alle Regionen gilt, hat der IsMultiRegionTrail-Parameter in der Ausgabe den Wert true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}