AWS CloudTrail und AWS Organizations

AWS CloudTrail ist ein AWS Service, der Ihnen dabei hilft, Unternehmensführung, Compliance sowie Betriebs- und Risikoprüfungen Ihrer zu ermöglichen AWS-Konto. Damit AWS CloudTrail kann ein Benutzer in einem Verwaltungskonto einen Organisationspfad erstellen, AWS-Konten in dem alle Ereignisse für alle Mitglieder dieser Organisation protokolliert werden. Organisations-Trails werden automatisch auf alle Mitgliedskonten in der Organisation angewendet. Mitgliedskonten können den Organisations-Trail sehen, diesen aber weder ändern noch löschen. Standardmäßig haben Mitgliedskonten keinen Zugriff auf die Protokolldateien für den Organisations-Trail im Amazon-S3-Bucket. So können Sie Ihre Ereignisprotokollstrategie einheitlich auf die Konten in Ihrer Organisation anwenden und durchsetzen.

Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation im AWS CloudTrail -Benutzerhandbuch.

Verwenden Sie die folgenden Informationen zur Unterstützung bei der Integration AWS CloudTrail mit AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rolle CloudTrail ermöglicht es, unterstützte Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen CloudTrail Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.

• AWSServiceRoleForCloudTrail

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von verwendeten dienstbezogenen Rollen CloudTrail gewähren Zugriff auf die folgenden Dienstprinzipale:

• cloudtrail.amazonaws.com

Den vertrauenswürdigen Zugriff mit CloudTrail aktivieren

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Wenn Sie vertrauenswürdigen Zugriff aktivieren, indem Sie von der AWS CloudTrail Konsole aus einen Pfad erstellen, wird der vertrauenswürdige Zugriff automatisch für Sie konfiguriert (empfohlen). Sie können den vertrauenswürdigen Zugriff auch über die AWS Organizations Konsole aktivieren. Sie müssen sich mit Ihrem AWS Organizations Verwaltungskonto anmelden, um einen Organization Trail zu erstellen.

Wenn Sie sich dafür entscheiden, einen Organisationspfad mithilfe der AWS CLI oder der AWS API zu erstellen, müssen Sie den vertrauenswürdigen Zugriff manuell konfigurieren. Weitere Informationen finden Sie AWS Organizations im AWS CloudTrail Benutzerhandbuch unter CloudTrail Als vertrauenswürdigen Dienst aktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS CloudTrail Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder einen API-Vorgang für Organizations in einem der AWS SDKs aufrufen.

AWS CLI, AWS API

So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

• AWS CLI: enable-aws-service-access

  Sie können den folgenden Befehl ausführen, um ihn AWS CloudTrail als vertrauenswürdigen Dienst bei Organizations zu aktivieren.

  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: Aktivieren AWSServiceAccess

Deaktivieren des vertrauenswürdigen Zugriffs mit CloudTrail

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

AWS CloudTrail erfordert vertrauenswürdigen Zugriff mit AWS Organizations , um mit Organisationstrails und Datenspeichern von Organisationsereignissen arbeiten zu können. Wenn Sie den vertrauenswürdigen Zugriff AWS Organizations während der Nutzung deaktivieren AWS CloudTrail, werden alle Organisationspfade für Mitgliedskonten gelöscht, da CloudTrail kein Zugriff auf die Organisation möglich ist. Alle Organisations- und Organisationsdatenspeicher für Verwaltungskonten und Organisationsereignisse werden in Pfade- und Ereignisdatenspeicher auf Kontoebene umgewandelt. Die AWSServiceRoleForCloudTrail Rolle, die für die Integration zwischen dem Konto erstellt wurde, CloudTrail AWS Organizations verbleibt im Konto. Wenn Sie den vertrauenswürdigen Zugriff erneut aktivieren, CloudTrail werden keine Maßnahmen für bestehende Pfade und Ereignisdatenspeicher ergriffen. Das Verwaltungskonto muss alle Pfade- und Ereignisdatenspeicher auf Kontoebene aktualisieren, um sie auf die Organisation anwenden zu können.

Gehen Sie wie folgt vor, um einen Trail- oder Ereignisdatenspeicher auf Kontoebene in einen Datenspeicher für Organisations- oder Organisationsereignisse zu konvertieren:

• Aktualisieren Sie in der CloudTrail Konsole den Pfad - oder Ereignisdatenspeicher und wählen Sie die Option Für alle Konten in meiner Organisation aktivieren aus.

• Gehen Sie von AWS CLI der aus wie folgt vor:

  • Um einen Trail zu aktualisieren, führen Sie den update-trailBefehl aus und fügen Sie den --is-organization-trail Parameter hinzu.

  • Um einen Ereignisdatenspeicher zu aktualisieren, führen Sie den update-event-data-storeBefehl aus und fügen Sie den --organization-enabled Parameter hinzu.

Nur ein Administrator im AWS Organizations Verwaltungskonto kann den vertrauenswürdigen Zugriff mit deaktivieren AWS CloudTrail. Sie können den vertrauenswürdigen Zugriff nur mit den Organisationstools deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI-Befehl für Organizations ausführen oder einen API-Vorgang für Organizations in einem der AWS SDKs aufrufen.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS SDKs aufrufen.

AWS Management Console

So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie im Navigationsbereich Services.

3. Wählen Sie AWS CloudTrailin der Liste der Dienste aus.

4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

5. Geben Sie im AWS CloudTrail Dialogfeld Vertrauenswürdigen Zugriff deaktivieren für zur Bestätigung den Wert disable ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.

6. Wenn Sie nur der Administrator von sind AWS Organizations, teilen Sie dem Administrator mit, AWS CloudTrail dass er diesen Dienst jetzt mithilfe der Konsole oder der Tools deaktivieren kann und nicht mehr verwendet werden kann AWS Organizations.

AWS CLI, AWS API

So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu deaktivieren:

• AWS CLI: disable-aws-service-access

  Sie können den folgenden Befehl ausführen, um ihn AWS CloudTrail als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: Deaktivieren AWSServiceAccess

Aktivierung eines delegierten Administratorkontos für CloudTrail

Bei der Verwendung CloudTrail mit Organizations können Sie jedes Konto innerhalb der Organisation registrieren, um als CloudTrail delegierter Administrator die Trails und Event-Datenspeicher der Organisation im Namen der Organisation zu verwalten. Ein delegierter Administrator ist ein Mitgliedskonto in einer Organisation, das dieselben Verwaltungsaufgaben ausführen kann CloudTrail wie das Verwaltungskonto.

Mindestberechtigungen

Nur ein Administrator im Organisationsverwaltungskonto kann einen delegierten Administrator für CloudTrail registrieren.

Sie können ein delegiertes Administratorkonto über die CloudTrail Konsole oder mithilfe der RegisterDelegatedAdministrator CLI oder des SDK-Vorgangs Organizations registrieren. Informationen zur Registrierung eines delegierten Administrators mithilfe der CloudTrail Konsole finden Sie unter Hinzufügen eines CloudTrail delegierten Administrators.

Deaktivieren eines delegierten Administrators für CloudTrail

Nur ein Administrator im Organisationsverwaltungskonto kann einen delegierten Administrator für CloudTrail entfernen. Sie können den delegierten Administrator entweder über die CloudTrail Konsole oder mithilfe der DeregisterDelegatedAdministrator CLI oder des SDK-Vorgangs Organizations entfernen. Informationen zum Entfernen eines delegierten Administrators mithilfe der CloudTrail Konsole finden Sie unter CloudTrail Delegierten Administrator entfernen.