AWS CloudTrail dan AWS Organizations - AWS Organizations
Peran tertaut layananPrinsipal layananAktifkan akses terpercayaNonaktifkan akses terpercayaAktifkan administrator yang didelegasikanMenonaktifkan administrator yang didelegasikan untuk CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS CloudTrail dan AWS Organizations

AWS CloudTrail adalah AWS layanan yang membantu Anda mengaktifkan tata kelola, kepatuhan, dan audit operasional dan risiko Anda. Akun AWS Dengan menggunakan AWS CloudTrail, pengguna di akun manajemen dapat membuat jejak organisasi yang mencatat semua peristiwa untuk semua Akun AWS di organisasi itu. Jejak organisasi secara otomatis diterapkan ke semua akun anggota dalam organisasi. Akun anggota dapat melihat jejak organisasi, namun tidak dapat mengubah atau menghapusnya. Secara default, akun anggota tidak memiliki akses ke berkas log untuk jejak organisasi di bucket Amazon S3. Ini membantu Anda menerapkan dan menegakkan strategi pencatatan peristiwa Anda secara seragam di seluruh akun di organisasi Anda.

Untuk informasi selengkapnya, lihat Membuat Jejak untuk Organisasi di Panduan Pengguna AWS CloudTrail .

Gunakan informasi berikut untuk membantu Anda AWS CloudTrail berintegrasi AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Peran tertaut layanan berikut secara otomatis dibuat di akun pengelolaan organisasi Anda bila Anda mengaktifkan akses terpercaya. Peran ini memungkinkan CloudTrail untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda.

Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses tepercaya antara CloudTrail dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

  • AWSServiceRoleForCloudTrail

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran terkait layanan yang digunakan oleh CloudTrail memberikan akses ke prinsipal layanan berikut:

  • cloudtrail.amazonaws.com

Mengaktifkan akses terpercaya dengan CloudTrail

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Jika Anda mengaktifkan akses tepercaya dengan membuat jejak dari AWS CloudTrail konsol, akses tepercaya dikonfigurasi secara otomatis untuk Anda (disarankan). Anda juga dapat mengaktifkan akses tepercaya menggunakan AWS Organizations konsol. Anda harus masuk dengan akun AWS Organizations manajemen Anda untuk membuat jejak organisasi.

Jika Anda memilih untuk membuat jejak organisasi menggunakan AWS CLI atau AWS API, Anda harus mengonfigurasi akses tepercaya secara manual. Untuk informasi selengkapnya, lihat Mengaktifkan CloudTrail sebagai layanan tepercaya AWS Organizations di Panduan AWS CloudTrail Pengguna.

penting

Kami sangat menyarankan bahwa bila memungkinkan, Anda menggunakan AWS CloudTrail konsol atau alat untuk mengaktifkan integrasi dengan Organizations.

Anda dapat mengaktifkan akses tepercaya dengan menjalankan AWS CLI perintah Organizations, atau dengan memanggil operasi Organizations API di salah satu AWS SDK.

AWS CLI, AWS API
Untuk mengaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan AWS CLI perintah atau operasi API berikut untuk mengaktifkan akses layanan tepercaya:

  • AWS CLI: enable-aws-service-access

    Anda dapat menjalankan perintah berikut untuk mengaktifkan AWS CloudTrail sebagai layanan tepercaya dengan Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: Aktifkan AWSServiceAccess

Menonaktifkan akses terpercaya dengan CloudTrail

Untuk informasi tentang izin yang diperlukan untuk menonaktifkan akses terpercaya, lihat Izin yang diperlukan untuk menonaktifkan akses terpercaya.

AWS CloudTrail membutuhkan akses tepercaya AWS Organizations untuk bekerja dengan jalur organisasi dan penyimpanan data acara organisasi. Jika Anda menonaktifkan akses tepercaya AWS Organizations saat Anda menggunakan AWS CloudTrail, semua jejak organisasi untuk akun anggota akan dihapus karena tidak CloudTrail dapat mengakses organisasi. Semua jejak organisasi akun manajemen dan penyimpanan data acara organisasi dikonversi ke jalur tingkat akun dan penyimpanan data acara. AWSServiceRoleForCloudTrailPeran yang dibuat untuk integrasi antara CloudTrail dan AWS Organizations tetap di akun. Jika Anda mengaktifkan kembali akses tepercaya, tidak CloudTrail akan mengambil tindakan pada jejak yang ada dan penyimpanan data acara. Akun manajemen harus memperbarui jejak tingkat akun dan penyimpanan data acara apa pun untuk menerapkannya ke organisasi.

Untuk mengonversi jejak tingkat akun atau penyimpanan data peristiwa ke jejak organisasi atau penyimpanan data acara organisasi, lakukan hal berikut:

  • Dari CloudTrail konsol, perbarui penyimpanan data jejak atau peristiwa dan pilih opsi Aktifkan untuk semua akun di organisasi saya.

  • Dari AWS CLI, lakukan hal berikut:

    • Untuk memperbarui jejak, jalankan update-trailperintah dan sertakan --is-organization-trail parameternya.

    • Untuk memperbarui penyimpanan data peristiwa, jalankan update-event-data-storeperintah dan sertakan --organization-enabled parameternya.

Hanya administrator di akun AWS Organizations manajemen yang dapat menonaktifkan akses tepercaya dengan AWS CloudTrail. Anda dapat menonaktifkan akses tepercaya hanya dengan alat Organizations, menggunakan AWS Organizations konsol, menjalankan perintah Organizations AWS CLI, atau memanggil operasi Organizations API di salah satu SDK. AWS

Anda dapat menonaktifkan akses tepercaya dengan menggunakan AWS Organizations konsol, dengan menjalankan AWS CLI perintah Organizations, atau dengan memanggil operasi Organizations API di salah satu AWS SDK.

AWS Management Console
Untuk menonaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih AWS CloudTraildalam daftar layanan.

  4. Pilih Menonaktifkan akses terpercaya.

  5. Di kotak AWS CloudTrail dialog Nonaktifkan akses tepercaya untuk, ketik nonaktifkan untuk mengonfirmasinya, lalu pilih Nonaktifkan akses tepercaya.

  6. Jika Anda hanya administrator AWS Organizations, beri tahu administrator AWS CloudTrail bahwa mereka sekarang dapat menonaktifkan layanan itu menggunakan konsol atau alatnya agar tidak berfungsi AWS Organizations.

AWS CLI, AWS API
Cara menonaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan AWS CLI perintah atau operasi API berikut untuk menonaktifkan akses layanan tepercaya:

  • AWS CLI: disable-aws-service-access

    Anda dapat menjalankan perintah berikut untuk menonaktifkan AWS CloudTrail sebagai layanan tepercaya dengan Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: Nonaktifkan AWSServiceAccess

Mengaktifkan akun administrator yang didelegasikan untuk CloudTrail

Saat menggunakan CloudTrail Organizations, Anda dapat mendaftarkan akun apa pun di dalam organisasi untuk bertindak sebagai administrator yang CloudTrail didelegasikan untuk mengelola jejak organisasi dan penyimpanan data acara atas nama organisasi. Administrator yang didelegasikan adalah akun anggota dalam organisasi yang dapat melakukan tugas administratif yang sama CloudTrail seperti akun manajemen.

Izin minimum

Hanya administrator di akun manajemen Organizations yang dapat mendaftarkan administrator yang didelegasikan. CloudTrail

Anda dapat mendaftarkan akun administrator yang didelegasikan menggunakan CloudTrail konsol, atau dengan menggunakan operasi Organizations RegisterDelegatedAdministrator CLI atau SDK. Untuk mendaftarkan administrator yang didelegasikan menggunakan CloudTrail konsol, lihat Menambahkan administrator yang CloudTrail didelegasikan.

Menonaktifkan administrator yang didelegasikan untuk CloudTrail

Hanya administrator di akun manajemen Organizations yang dapat menghapus administrator yang didelegasikan. CloudTrail Anda dapat menghapus administrator yang didelegasikan menggunakan CloudTrail konsol, atau dengan menggunakan operasi Organizations DeregisterDelegatedAdministrator CLI atau SDK. Untuk informasi tentang cara menghapus administrator yang didelegasikan menggunakan CloudTrail konsol, lihat Menghapus administrator yang CloudTrail didelegasikan.