Erstellen eines Trails für eine Organisation - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines Trails für eine Organisation

Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie einen Trail erstellen, der alle Ereignisse für alle AWS-Konten Mitglieder dieser Organisation protokolliert. Ein solcher Trail wird manchmal als Organisations-Trail bezeichnet.

Über das Verwaltungskonto einer Organisation können delegierte Administratoren für die Erstellung neuer Organisations-Trails oder die Verwaltung bestehender Organisations-Trails zugewiesen werden. Weitere Informationen zum Hinzufügen delegierter Administratoren finden Sie unter Einen CloudTrail delegierten Administrator hinzufügen.

Das Verwaltungskonto der Organisation kann einen vorhandenen Trail im Konto eines delegierten Administrators bearbeiten und ihn auf eine Organisation anwenden, wodurch ein Organisations-Trail entsteht. Organisations-Trails protokollieren Ereignisse für das Verwaltungskonto und alle Mitgliedskonten in der Organisation. Weitere Informationen zu finden Sie AWS Organizations unter Terminologie und Konzepte für Organizations.

Anmerkung

Zum Erstellen eines Organisations-Trails müssen Sie sich mit dem Verwaltungskonto oder dem Konto eines delegierten Administrators einer Organisation anmelden. Sie müssen außerdem über ausreichende Berechtigungen für den Benutzer oder die Rolle im Verwaltungs- oder delegierten Administratorkonto verfügen, um den Trail erstellen zu können. Wenn Sie nicht über ausreichende Berechtigungen verfügen, haben Sie nicht die Option, den Trail auf eine Organisation anzuwenden.

Bei allen mit der Konsole erstellten Organisationspfaden handelt es sich um regionsübergreifende Organisationspfade, in denen Ereignisse von Konten protokolliert werden, die AWS-Regionen in jedem Mitgliedskonto der Organisation aktiviert sind. Um Ereignisse in allen AWS Partitionen Ihrer Organisation zu protokollieren, erstellen Sie in jeder Partition einen regionsübergreifenden Organisationspfad. Sie können entweder einen Organisationspfad mit einer Region oder mit mehreren Regionen erstellen, indem Sie den verwenden. AWS CLI Wenn Sie einen Pfad mit nur einer Region erstellen, protokollieren Sie nur Aktivitäten in den Pfaden AWS-Region (auch als Heimatregion bezeichnet).

Obwohl die meisten Regionen standardmäßig für dich aktiviert AWS-Regionen sind AWS-Konto, musst du bestimmte Regionen (auch als Opt-in-Regionen bezeichnet) manuell aktivieren. Informationen darüber, welche Regionen standardmäßig aktiviert sind, finden Sie im AWS -Kontenverwaltung Referenzhandbuch unter Überlegungen vor dem Aktivieren und Deaktivieren von Regionen. Eine Liste der CloudTrail unterstützten Regionen finden Sie unterCloudTrail unterstützte Regionen.

Wenn Sie einen Organisationspfad erstellen, wird in den Mitgliedskonten, die zu Ihrer Organisation gehören, eine Kopie des Trails mit dem Namen erstellt, den Sie ihm geben.

  • Wenn sich der Organisationspfad auf eine einzelne Region bezieht und die Heimatregion des Trails keine optionale Region ist, wird in jedem Mitgliedskonto eine Kopie des Trails in der Heimatregion des Organisationstrails erstellt.

  • Wenn sich der Organisationspfad auf eine einzelne Region bezieht und es sich bei der Heimatregion des Trails um eine optionale Region handelt, wird eine Kopie des Trails in der Heimatregion des Organisationstrails in den Mitgliedskonten erstellt, die diese Region aktiviert haben.

  • Wenn es sich bei dem Organigationspfad um einen Multi-Region-Trail handelt und die Heimatregion des Trails keine Region ist, in der sich der Trail angemeldet hat, wird in jedem Mitgliedskonto, das aktiviert AWS-Region ist, eine Kopie des Trails erstellt. Wenn ein Mitgliedskonto eine Opt-in-Region aktiviert, wird nach Abschluss der Aktivierung dieser Region eine Kopie des Multi-Region-Trails in der neu angemeldeten Region für das Mitgliedskonto erstellt.

  • Wenn es sich bei dem Organigationspfad um einen Multi-Region-Trail handelt und die Heimatregion eine optionale Region ist, senden Mitgliedskonten keine Aktivitäten an den Organisationspfad, es sei denn, sie entscheiden sich für den Ort, an AWS-Region dem der Multi-Region-Trail erstellt wurde. Wenn Sie beispielsweise einen Trail mit mehreren Regionen erstellen und die Region Europa (Spanien) als Heimatregion für den Trail auswählen, senden nur Mitgliedskonten, die die Region Europa (Spanien) für ihr Konto aktiviert haben, ihre Kontoaktivitäten an den Organisationspfad.

Anmerkung

CloudTrail erstellt Organisationspfade in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt. Zu den Beispielen für fehlgeschlagene Überprüfungen gehören:

  • eine falsche Amazon S3 S3-Bucket-Richtlinie

  • eine falsche Amazon SNS SNS-Themenrichtlinie

  • Unfähigkeit, an eine CloudWatch Logs-Protokollgruppe zu liefern

  • unzureichende Rechte zur Verschlüsselung mit einem KMS-Schlüssel

Ein Mitgliedskonto mit CloudTrail Berechtigungen kann alle Validierungsfehler für einen Organisationspfad anzeigen, indem es die Detailseite des Trails in der CloudTrail Konsole aufruft oder den AWS CLI get-trail-statusBefehl ausführt.

Benutzer mit CloudTrail Berechtigungen in Mitgliedskonten können Organisationspfade sehen AWS-Konten, wenn sie sich von ihrem Konto aus bei der CloudTrail Konsole anmelden oder wenn sie AWS CLI Befehle wie ausführendescribe-trails. Benutzer mit Mitgliedskonten verfügen jedoch nicht über ausreichende Berechtigungen, um Organisationspfade zu löschen, die Anmeldung ein- oder auszuschalten, zu ändern, welche Arten von Ereignissen protokolliert werden, oder einen Organisationspfad auf andere Weise zu ändern.

Wenn Sie in der Konsole einen Organisationspfad erstellen, CloudTrail wird eine dienstbezogene Rolle erstellt, um Protokollierungsaufgaben in den Mitgliedskonten Ihrer Organisation durchzuführen. Diese Rolle hat einen Namen und ist erforderlich AWSServiceRoleForCloudTrail, CloudTrail um Ereignisse für eine Organisation zu protokollieren. Wenn einer Organisation eine hinzugefügt AWS-Konto wird, werden der Organisationspfad und die mit dem Dienst verknüpfte Rolle hinzugefügt AWS-Konto, und die Protokollierung für dieses Konto wird automatisch im Organisationspfad gestartet. Wenn ein aus einer Organisation entfernt AWS-Konto wird, werden der Organisationspfad und die mit dem Dienst verknüpfte Rolle aus der Organisation gelöscht AWS-Konto , die nicht mehr Teil der Organisation ist. Allerdings bleiben diesem entfernten Konto zugehörige Protokolldateien, die vor der Entfernung des Kontos erstellt wurden, weiterhin in dem Amazon-S3-Bucket, in dem die Protokolldateien für den Trail gespeichert sind.

Wenn das Verwaltungskonto für eine AWS Organizations Organisation einen Organisationspfad erstellt, anschließend aber als Verwaltungskonto der Organisation entfernt wird, wird jeder mit diesem Konto erstellte Organisationspfad zu einem Nicht-Organisationspfad.

Im folgenden Beispiel erstellt das Verwaltungskonto 111111111111 der Organisation einen Pfad, der nach der Organisation benannt ist. MyOrganizationTrail o-exampleorgid Der Trail protokolliert Aktivitäten für alle Konten der Organisation im selben Amazon-S3-Bucket. Alle Konten in der Organisation können MyOrganizationTrail in ihrer Liste der Pfade angezeigt werden, aber Mitgliedskonten können den Organisationspfad nicht entfernen oder ändern. Nur über das Verwaltungskonto oder das Konto eines delegierten Administrators kann der Trail für die Organisation geändert oder gelöscht werden. Das Entfernen eines Mitgliedskontos aus einer Organisation kann nur über das Verwaltungskonto erfolgen. Ebenso hat standardmäßig nur das Verwaltungskonto Zugriff auf den Amazon S3 S3-Bucket für den Trail und die darin enthaltenen Protokolle. Die übergeordnete Bucket-Struktur für Protokolldateien enthält einen Ordner, der mit der Organisations-ID benannt ist, und Unterordner, die mit dem Konto IDs für jedes Konto in der Organisation benannt sind. Ereignisse für jedes Mitgliedskonto werden in dem Ordner gespeichert, der der Mitgliedskonto-ID entspricht. Wenn das Mitgliedskonto 4444444444 aus der Organisation entfernt wird MyOrganizationTrail und die mit dem Dienst verknüpfte Rolle nicht mehr im AWS Konto 444444444444 erscheint und keine weiteren Ereignisse für dieses Konto im Organisationspfad protokolliert werden. Der Ordner 444444444444 verbleibt jedoch im Amazon-S3-Bucket, zusammen mit allen Protokollen, die vor dem Entfernen des Kontos aus der Organisation erstellt wurden.

Ein konzeptioneller Überblick über eine Beispielorganisation in Organizations.

In diesem Beispiel lautet der ARN des im Verwaltungskonto erstellten Trails aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Dieser ARN bildet auch den ARN für den Trail in allen Mitgliedskonten.

Organisations-Trails sind regulären Trails in vielerlei Hinsicht ähnlich. Sie können mehrere Pfade für Ihre Organisation erstellen und wählen, ob Sie einen Organisationspfad mit mehreren Regionen oder nur einer Region erstellen möchten und welche Arten von Ereignissen Sie in Ihrem Organisationspfad protokollieren möchten, genau wie in jedem anderen Trail. Es gibt jedoch einige Unterschiede. Wenn Sie beispielsweise in der Konsole einen Trail erstellen und auswählen, ob Datenereignisse für Amazon S3 S3-Buckets oder AWS Lambda Funktionen protokolliert werden sollen, werden in der CloudTrail Konsole nur die Ressourcen für das Verwaltungskonto aufgeführt. Sie können jedoch die ARNs für Ressourcen in Mitgliedskonten hinzufügen. Datenereignisse für Ressourcen angegebener Mitgliedskonten werden protokolliert, ohne dass der kontoübergreifende Zugriff auf diese Ressourcen manuell konfiguriert werden muss. Weitere Informationen zur Protokollierung von Verwaltungsereignissen, Insights-Ereignissen und Datenereignissen finden Sie unter Protokollieren von VerwaltungsereignissenProtokollieren von Datenereignissen, undMit CloudTrail Insights arbeiten.

Anmerkung

In der Konsole erstellen Sie einen Trail mit mehreren Regionen. Es wird empfohlen, Aktivitäten in allen aktivierten Regionen in Ihrem zu protokollieren AWS-Konto, da Sie so für mehr Sicherheit in Ihrer AWS Umgebung sorgen können. Um einen Trail für eine einzelne Region zu erstellen, verwenden Sie die AWS CLI.

Wenn Sie Ereignisse im Ereignisverlauf für eine Organisation in anzeigen AWS Organizations, können Sie nur die Ereignisse der Organisation anzeigen, AWS-Konto mit der Sie angemeldet sind. Wenn Sie beispielsweise mit dem Verwaltungskonto der Organisation angemeldet sind, zeigt der Ereignisverlauf die Verwaltungsereignisse der letzten 90 Tage für das Verwaltungskonto an. Ereignisse des Organisationsmitgliedskontos werden im Ereignisverlauf für das Verwaltungskonto nicht angezeigt. Um Mitgliederkontoereignisse im Ereignisverlauf anzuzeigen, melden Sie sich mit dem Mitgliedskonto an.

Sie können andere AWS Dienste so konfigurieren, dass sie die in den CloudTrail Protokollen für ein Organisationsprotokoll gesammelten Ereignisdaten weiter analysieren und darauf reagieren, genauso wie Sie es für jeden anderen Trail tun würden. Beispielsweise können Sie die Daten eines Organisations-Trails mit Amazon Athena analysieren. Weitere Informationen finden Sie unter AWS Serviceintegrationen mit Protokollen CloudTrail .

Themen