AWS CloudTrail und AWS Organizations

AWS CloudTrail ist ein AWS Service, der Ihnen dabei hilft, Unternehmensführung, Compliance sowie Betriebs- und Risikoprüfungen Ihrer zu ermöglichen AWS-Konto. Damit AWS CloudTrail kann ein Benutzer in einem Verwaltungskonto einen Organisationspfad erstellen, AWS-Konten in dem alle Ereignisse für alle Mitglieder dieser Organisation protokolliert werden. Organisations-Trails werden automatisch auf alle Mitgliedskonten in der Organisation angewendet. Mitgliedskonten können den Organisations-Trail sehen, diesen aber weder ändern noch löschen. Standardmäßig haben Mitgliedskonten keinen Zugriff auf die Protokolldateien für den Organisations-Trail im Amazon-S3-Bucket. So können Sie Ihre Ereignisprotokollstrategie einheitlich auf die Konten in Ihrer Organisation anwenden und durchsetzen.

Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation im AWS CloudTrail -Benutzerhandbuch.

Verwenden Sie die folgenden Informationen zur Unterstützung bei der Integration AWS CloudTrail mit AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rolle CloudTrail ermöglicht es, unterstützte Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen CloudTrail und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

• AWSServiceRoleForCloudTrail

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von verwendeten dienstbezogenen Rollen CloudTrail gewähren Zugriff auf die folgenden Dienstprinzipale:

• cloudtrail.amazonaws.com

Den vertrauenswürdigen Zugriff mit CloudTrail aktivieren

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Wenn Sie vertrauenswürdigen Zugriff aktivieren, indem Sie von der AWS CloudTrail Konsole aus einen Pfad erstellen, wird der vertrauenswürdige Zugriff automatisch für Sie konfiguriert (empfohlen). Sie können den vertrauenswürdigen Zugriff auch über die AWS Organizations Konsole aktivieren. Sie müssen sich mit Ihrem AWS Organizations Verwaltungskonto anmelden, um einen Organization Trail zu erstellen.

Wenn Sie sich dafür entscheiden, einen Organisationspfad mit dem AWS CLI oder dem zu erstellen AWS API, müssen Sie den vertrauenswürdigen Zugriff manuell konfigurieren. Weitere Informationen finden Sie unter CloudTrail Als vertrauenswürdigen Dienst aktivieren AWS Organizations im AWS CloudTrail Benutzerhandbuch.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS CloudTrail Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder indem Sie einen API Organizations-Vorgang in einem der Befehle aufrufen AWS SDKs.

AWS CLI, AWS API

Um den vertrauenswürdigen Dienstzugriff mithilfe der Organizations zu aktivierenCLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API Operationen, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

• AWS CLI: enable-aws-service-access

  Führen Sie den folgenden Befehl aus, um ihn AWS CloudTrail als vertrauenswürdigen Dienst bei Organizations zu aktivieren.

  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: E nableAWSService Access

Deaktivieren des vertrauenswürdigen Zugriffs mit CloudTrail

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

AWS CloudTrail erfordert vertrauenswürdigen Zugriff AWS Organizations , um mit Organisationstrails und Datenspeichern von Organisationsereignissen arbeiten zu können. Wenn Sie den vertrauenswürdigen Zugriff AWS Organizations während der Nutzung deaktivieren AWS CloudTrail, werden alle Organisationspfade für Mitgliedskonten gelöscht, da CloudTrail kein Zugriff auf die Organisation möglich ist. Alle Organisations- und Organisationsdatenspeicher für Verwaltungskonten und Organisationsereignisse werden in Pfade- und Ereignisdatenspeicher auf Kontoebene umgewandelt. Die AWSServiceRoleForCloudTrail Rolle, die für die Integration zwischen dem Konto erstellt wurde, CloudTrail AWS Organizations verbleibt im Konto. Wenn Sie den vertrauenswürdigen Zugriff erneut aktivieren, CloudTrail werden keine Maßnahmen für bestehende Pfade und Ereignisdatenspeicher ergriffen. Das Verwaltungskonto muss alle Pfade- und Ereignisdatenspeicher auf Kontoebene aktualisieren, um sie auf die Organisation anwenden zu können.

Gehen Sie wie folgt vor, um einen Trail- oder Ereignisdatenspeicher auf Kontoebene in einen Datenspeicher für Organisations- oder Organisationsereignisse zu konvertieren:

• Aktualisieren Sie in der CloudTrail Konsole den Pfad - oder Ereignisdatenspeicher und wählen Sie die Option Für alle Konten in meiner Organisation aktivieren aus.

• Gehen Sie von AWS CLI der aus wie folgt vor:

  • Um einen Trail zu aktualisieren, führen Sie den update-trailBefehl und fügen Sie den --is-organization-trail Parameter hinzu.

  • Um einen Ereignisdatenspeicher zu aktualisieren, führen Sie den update-event-data-storeBefehl und schließen Sie den --organization-enabled Parameter ein.

Nur ein Administrator im AWS Organizations Verwaltungskonto kann den vertrauenswürdigen Zugriff mit deaktivieren AWS CloudTrail. Sie können den vertrauenswürdigen Zugriff nur mit den Organisationstools deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen API Organizations-Vorgang in einem der Tools aufrufen AWS SDKs.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen API Organizations-Vorgang in einem der AWS SDKs.

AWS Management Console

So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

2. Wählen Sie im Navigationsbereich Services.

3. Wählen Sie AWS CloudTrailin der Liste der Dienste aus.

4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

5. Geben Sie im AWS CloudTrail Dialogfeld „Vertrauenswürdigen Zugriff deaktivieren für“ zur Bestätigung „Deaktivieren“ ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.

6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator mit AWS CloudTrail , dass er diesen Dienst jetzt AWS Organizations mithilfe der Servicekonsole oder der Tools deaktivieren kann.

AWS CLI, AWS API

Um den Zugriff auf vertrauenswürdige Dienste mithilfe der Organizations zu deaktivierenCLI/SDK

Sie können die folgenden AWS CLI Befehle oder API Operationen verwenden, um den Zugriff auf vertrauenswürdige Dienste zu deaktivieren:

• AWS CLI: disable-aws-service-access

  Führen Sie den folgenden Befehl aus, um ihn AWS CloudTrail als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: D isableAWSService Zugriff

Aktivierung eines delegierten Administratorkontos für CloudTrail

Bei der Verwendung CloudTrail mit Organizations können Sie jedes Konto innerhalb der Organisation registrieren, um als CloudTrail delegierter Administrator die Trails und Event-Datenspeicher der Organisation im Namen der Organisation zu verwalten. Ein delegierter Administrator ist ein Mitgliedskonto in einer Organisation, das dieselben Verwaltungsaufgaben ausführen kann CloudTrail wie das Verwaltungskonto.

Mindestberechtigungen

Nur ein Administrator im Organisationsverwaltungskonto kann einen delegierten Administrator für CloudTrail registrieren.

Sie können ein delegiertes Administratorkonto mithilfe der CloudTrail Konsole oder mithilfe der Operation Organizations oder mithilfe der SDK Operation Organisationen RegisterDelegatedAdministrator CLI registrieren. Informationen zur Registrierung eines delegierten Administrators mithilfe der CloudTrail Konsole finden Sie unter Hinzufügen eines CloudTrail delegierten Administrators.

Deaktivieren eines delegierten Administrators für CloudTrail

Nur ein Administrator im Organisationsverwaltungskonto kann einen delegierten Administrator für CloudTrail entfernen. Sie können den delegierten Administrator entweder über die CloudTrail Konsole oder mithilfe des Vorgangs Organizations oder mithilfe des SDK Vorgangs Organisationen DeregisterDelegatedAdministrator CLI oder entfernen. Informationen zum Entfernen eines delegierten Administrators mithilfe der CloudTrail Konsole finden Sie unter CloudTrail Delegierten Administrator entfernen.