Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat jejak untuk organisasi dengan AWS CLI
Anda dapat membuat jejak organisasi dengan menggunakan AWS CLI. AWS CLI Ini diperbarui secara berkala dengan fungsionalitas dan perintah tambahan. Untuk membantu memastikan kesuksesan, pastikan Anda telah menginstal atau memperbarui ke AWS CLI versi terbaru sebelum memulai.
**catatan**
Contoh di bagian ini khusus untuk membuat dan memperbarui jejak organisasi. Untuk contoh menggunakan AWS CLI untuk mengelola jalur, lihat [Mengelola jalur dengan AWS CLI](cloudtrail-additional-cli-commands.md) dan[Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI](send-cloudtrail-events-to-cloudwatch-logs.md#send-cloudtrail-events-to-cloudwatch-logs-cli). Saat membuat atau memperbarui jejak organisasi dengan AWS CLI, Anda harus menggunakan AWS CLI profil di akun manajemen atau akun administrator yang didelegasikan dengan izin yang memadai. Jika Anda mengubah jejak organisasi menjadi jejak non-organisasi, Anda harus menggunakan akun manajemen untuk organisasi tersebut.
Anda harus mengonfigurasi bucket Amazon S3 yang digunakan untuk jejak organisasi dengan izin yang memadai.
## Membuat atau memperbarui bucket Amazon S3 yang akan digunakan untuk menyimpan file log untuk jejak organisasi
Anda harus menentukan bucket Amazon S3 untuk menerima file log untuk jejak organisasi. Bucket ini harus memiliki kebijakan yang memungkinkan CloudTrail untuk menempatkan file log untuk organisasi ke dalam bucket.
Berikut ini adalah contoh kebijakan untuk bucket Amazon S3 bernama*amzn-s3-demo-bucket*, yang dimiliki oleh akun manajemen organisasi. Ganti *amzn-s3-demo-bucket**region*,*managementAccountID*,*trailName*,, dan *o-organizationID* dengan nilai-nilai untuk organisasi Anda
Kebijakan bucket ini berisi tiga pernyataan.
+ Pernyataan pertama memungkinkan CloudTrail untuk memanggil `GetBucketAcl` tindakan Amazon S3 di ember Amazon S3.
+ Pernyataan kedua memungkinkan pencatatan jika jejak diubah dari jejak organisasi menjadi jejak untuk akun itu saja.
+ Pernyataan ketiga memungkinkan pencatatan untuk jejak organisasi.
Kebijakan contoh menyertakan kunci `aws:SourceArn` kondisi untuk kebijakan bucket Amazon S3. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa CloudTrail menulis ke bucket S3 hanya untuk jejak atau jalur tertentu. Dalam jejak organisasi, nilai `aws:SourceArn` harus berupa jejak ARN yang dimiliki oleh akun manajemen, dan menggunakan ID akun manajemen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
Kebijakan contoh ini tidak mengizinkan pengguna dari akun anggota untuk mengakses file log yang dibuat untuk organisasi. Secara default, file log organisasi hanya dapat diakses oleh akun manajemen. Untuk informasi tentang cara mengizinkan akses baca ke bucket Amazon S3 untuk pengguna IAM di akun anggota, lihat. [Berbagi file CloudTrail log antar AWS akun](cloudtrail-sharing-logs.md)
## Mengaktifkan CloudTrail sebagai layanan tepercaya di AWS Organizations
Sebelum Anda dapat membuat jejak organisasi, Anda harus terlebih dahulu mengaktifkan semua fitur di Organizations. Untuk informasi selengkapnya, lihat [Mengaktifkan Semua Fitur di Organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html), atau jalankan perintah berikut menggunakan profil dengan izin yang memadai di akun manajemen:
```
aws organizations enable-all-features
```
Setelah mengaktifkan semua fitur, Anda harus mengonfigurasi Organizations agar dipercaya CloudTrail sebagai layanan tepercaya.
Untuk membuat hubungan layanan tepercaya antara AWS Organizations dan CloudTrail, buka terminal atau baris perintah dan gunakan profil di akun manajemen. Jalankan `aws organizations enable-aws-service-access` perintah, seperti yang ditunjukkan dalam contoh berikut.
```
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
```
## Menggunakan create-trail
### Membuat jejak organisasi yang berlaku untuk semua Wilayah
Untuk membuat jejak organisasi yang berlaku untuk semua Wilayah, tambahkan `--is-organization-trail` dan `--is-multi-region-trail` opsi.
**catatan**
Saat Anda membuat jejak organisasi dengan AWS CLI, Anda harus menggunakan AWS CLI profil di akun manajemen atau akun administrator yang didelegasikan dengan izin yang memadai.
Contoh berikut membuat jejak organisasi yang mengirimkan log dari semua Wilayah ke bucket yang sudah ada bernama`amzn-s3-demo-bucket`:
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail --is-multi-region-trail
```
Untuk mengonfirmasi bahwa jejak Anda ada di semua Wilayah, `IsMultiRegionTrail` parameter `IsOrganizationTrail` dan dalam output disetel ke`true`:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**catatan**
Jalankan `start-logging` perintah untuk mulai mencatat jejak Anda. Untuk informasi selengkapnya, lihat [Menghentikan dan memulai pencatatan untuk jalan setapak](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands).
### Membuat jejak organisasi sebagai jalur Single-region
Perintah berikut membuat jejak organisasi yang hanya mencatat peristiwa dalam satu Wilayah AWS, juga dikenal sebagai jejak wilayah Tunggal. AWS Wilayah tempat peristiwa dicatat adalah Wilayah yang ditentukan dalam profil konfigurasi untuk AWS CLI.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail
```
Untuk informasi selengkapnya, lihat [Persyaratan penamaan untuk CloudTrail sumber daya, bucket S3, dan kunci KMS](cloudtrail-trail-naming-requirements.md).
Contoh output:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Secara default, `create-trail` perintah membuat jejak wilayah Tunggal yang tidak mengaktifkan validasi file log.
**catatan**
Jalankan `start-logging` perintah untuk mulai mencatat jejak Anda.
## Berjalan **update-trail** untuk memperbarui jejak organisasi
Anda dapat menjalankan `update-trail` perintah untuk mengubah pengaturan konfigurasi untuk jejak organisasi, atau menerapkan jejak yang ada untuk satu AWS akun ke seluruh organisasi. Ingatlah bahwa Anda dapat menjalankan `update-trail` perintah hanya dari Wilayah tempat jejak dibuat.
**catatan**
Jika Anda menggunakan AWS CLI atau salah satu dari AWS SDKs mereka untuk memperbarui jejak, pastikan bahwa kebijakan keranjang jejak tersebut adalah up-to-date. Untuk informasi selengkapnya, lihat [Membuat jejak untuk organisasi dengan AWS CLI](#cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli).
Ketika Anda memperbarui jejak organisasi dengan AWS CLI, Anda harus menggunakan AWS CLI profil di akun manajemen atau akun administrator yang didelegasikan dengan izin yang memadai. Jika Anda ingin mengubah jejak organisasi menjadi jejak non-organisasi, Anda harus menggunakan akun manajemen untuk organisasi, karena akun manajemen adalah pemilik semua sumber daya organisasi.
CloudTrail memperbarui jejak organisasi di akun anggota meskipun validasi sumber daya gagal. Contoh kegagalan validasi meliputi:
kebijakan bucket Amazon S3 yang salah
kebijakan topik Amazon SNS yang salah
ketidakmampuan untuk mengirimkan ke grup CloudWatch log Log
izin yang tidak memadai untuk mengenkripsi menggunakan kunci KMS
Akun anggota dengan CloudTrail izin dapat melihat kegagalan validasi untuk jejak organisasi dengan melihat halaman detail jejak di CloudTrail konsol, atau dengan menjalankan perintah. AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)
### Menerapkan jejak yang ada ke organisasi
Untuk mengubah jejak yang ada sehingga juga berlaku untuk organisasi, bukan satu AWS akun, tambahkan `--is-organization-trail` opsi, seperti yang ditunjukkan pada contoh berikut.
**catatan**
Gunakan akun manajemen untuk mengubah jejak non-organisasi yang ada menjadi jejak organisasi.
```
aws cloudtrail update-trail --name my-trail --is-organization-trail
```
Untuk mengonfirmasi bahwa jejak sekarang berlaku untuk organisasi, `IsOrganizationTrail` parameter dalam output memiliki nilai`true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Pada contoh sebelumnya, jejak dikonfigurasi sebagai jejak Multi-wilayah (). `"IsMultiRegionTrail": true` Jejak yang diterapkan hanya pada satu Wilayah akan ditampilkan `"IsMultiRegionTrail": false` dalam output.
### Mengonversi jejak organisasi Single-region menjadi jejak organisasi Multi-wilayah
Untuk mengonversi jejak organisasi Single-region yang ada ke jejak organisasi Multi-wilayah, tambahkan `--is-multi-region-trail` opsi seperti yang ditunjukkan pada contoh berikut.
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
Untuk mengonfirmasi bahwa jejak sekarang adalah Multi-region, periksa apakah `IsMultiRegionTrail` parameter dalam output memiliki nilai. `true`
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```