Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tinjau dan perbarui konfigurasi agar AMS Accelerate dapat menggunakan jejak Anda CloudTrail
AMS Accelerate bergantung pada AWS CloudTrail pencatatan untuk mengelola audit dan kepatuhan untuk semua sumber daya di akun Anda. Selama orientasi, Anda memilih apakah Accelerate menyebarkan CloudTrail jejak di AWS Wilayah utama atau menggunakan peristiwa yang dihasilkan oleh CloudTrail akun atau jejak Organisasi yang ada. Jika akun Anda tidak memiliki jejak yang dikonfigurasi, Accelerate akan menerapkan CloudTrail jejak terkelola selama orientasi.
**penting**
CloudTrail Konfigurasi manajemen log hanya diperlukan ketika Anda memilih untuk mengintegrasikan AMS Accelerate dengan CloudTrail akun atau jejak Organisasi Anda.
## Tinjau konfigurasi CloudTrail jejak Anda, kebijakan bucket Amazon S3, AWS KMS dan kebijakan utama untuk tujuan pengiriman acara CloudTrail Anda dengan Cloud Architect (CA) Anda
Sebelum Accelerate dapat menggunakan CloudTrail jejak Anda, Anda harus bekerja dengan Cloud Architect (CA) Anda untuk meninjau dan memperbarui konfigurasi Anda untuk memenuhi persyaratan Accelerate. Jika Anda memilih untuk mengintegrasikan Accelerate dengan jejak CloudTrail Organisasi, CA akan bekerja sama dengan Anda untuk memperbarui bucket Amazon S3 tujuan pengiriman CloudTrail acara dan kebijakan AWS KMS utama untuk mengaktifkan kueri lintas akun dari akun Accelerate Anda. Bucket Amazon S3 Anda dapat berada di akun yang dikelola oleh Accelerate, atau akun yang Anda kelola. Selama orientasi, Accelerate memvalidasi bahwa kueri dapat dibuat ke tujuan pengiriman acara jejak CloudTrail Organisasi Anda, dan menjeda orientasi jika kueri gagal. Anda bekerja dengan CA Anda untuk memperbaiki konfigurasi ini sehingga orientasi dapat dilanjutkan.
### Tinjau dan perbarui CloudTrail akun Anda atau konfigurasi jejak Organisasi
Konfigurasi berikut diperlukan untuk mengintegrasikan Mempercepat pengelolaan CloudTrail log CloudTrail akun atau sumber daya jejak Organisasi Anda:
+ CloudTrail Jejak Anda dikonfigurasi untuk mencatat peristiwa dari semua Wilayah AWS.
+ CloudTrail Jejak Anda mengaktifkan [acara layanan global](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events).
+ CloudTrail Akun atau jejak Organisasi Anda mencatat semua [peristiwa manajemen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events), termasuk [peristiwa baca dan tulis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt), AWS KMS dan pencatatan peristiwa Amazon RDS Data API diaktifkan.
+ CloudTrail Jejak Anda mengaktifkan [validasi integritas file log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html).
+ [https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)
+ Bucket Amazon S3 yang dikirimkan oleh CloudTrail jejak Anda untuk mengaktifkan pencatatan [akses server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html).
+ Bucket Amazon S3 yang akan dikirimkan oleh CloudTrail jejak Anda memiliki [konfigurasi siklus hidup](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) yang menyimpan data CloudTrail jejak Anda setidaknya selama 18 bulan.
+ Bucket Amazon S3 yang dikirimkan oleh CloudTrail jejak Anda agar [Kepemilikan Objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) disetel ke pemilik Bucket diberlakukan.
+ Bucket Amazon S3 yang dikirimkan oleh CloudTrail jejak Anda dapat diakses oleh Accelerate.
#### Tinjau dan perbarui kebijakan bucket Amazon S3 untuk tujuan pengiriman CloudTrail acara Anda
Selama orientasi, Anda bekerja sama dengan Cloud Architect (CA) untuk menambahkan pernyataan kebijakan bucket Amazon S3 ke tujuan CloudTrail pengiriman acara. Untuk memungkinkan pengguna menanyakan perubahan di bucket Amazon S3 tujuan pengiriman CloudTrail acara dari akun Accelerate, Anda dapat menerapkan peran IAM bernama seragam di setiap akun di Organisasi yang dikelola Accelerate, dan menambahkannya ke daftar di `aws:PrincipalArn` semua pernyataan kebijakan bucket Amazon S3. Dengan konfigurasi ini, pengguna dapat melakukan kueri dan menganalisis peristiwa jejak CloudTrail Organisasi akun Anda di Accelerate menggunakan Athena. Untuk informasi selengkapnya tentang cara memperbarui kebijakan bucket Amazon S3, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di Panduan Pengguna Layanan *Penyimpanan Sederhana Amazon*.
**penting**
Memperbarui kebijakan bucket Amazon S3 Anda hanya diperlukan jika Accelerate terintegrasi dengan CloudTrail jejak yang mengirimkan peristiwa ke bucket S3 terpusat. Accelerate tidak mendukung integrasi dengan CloudTrail jejak yang dikirim ke bucket terpusat tetapi tidak memiliki akun di bawah Organisasi. AWS
**catatan**
Sebelum memperbarui kebijakan bucket Amazon S3, ganti *red* bidang dengan nilai yang berlaku:
*amzn-s3-demo-bucket*dengan nama bucket Amazon S3 yang berisi jejak peristiwa dari akun Anda.
*your-organization-id*dengan ID AWS Organisasi tempat akun Anda menjadi anggota.
*your-optional-s3-log-delievery-prefix*dengan awalan pengiriman ember Amazon S3 CloudTrail jejak Anda. Misalnya,`my-bucket-prefix`, bahwa Anda mungkin telah menetapkan ketika [Anda membuat CloudTrail jejak Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).
Jika Anda belum mengonfigurasi awalan pengiriman bucket Amazon S3 untuk jejak Anda, hapus "*your-optional-s3-log-delievery-prefix*" dan garis miring maju (`/`) dari pernyataan kebijakan bucket Amazon S3 berikut.
Tiga pernyataan kebijakan bucket Amazon S3 berikut memberikan akses Accelerate untuk mengambil konfigurasi dan menjalankan kueri AWS Athena untuk [menganalisis peristiwa di bucket Amazon S3 tujuan pengiriman CloudTrail acara Anda dari](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) akun Accelerate Anda.
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### Tinjau dan perbarui kebijakan AWS KMS utama untuk tujuan pengiriman CloudTrail acara Anda
Selama orientasi, Anda bekerja dengan Cloud Architect (CA) untuk memperbarui kebijakan AWS KMS utama yang digunakan untuk mengenkripsi peristiwa CloudTrail jejak yang dikirimkan ke bucket Amazon S3 Anda. Pastikan Anda menambahkan pernyataan kebijakan AWS KMS kunci referensi ke AWS KMS kunci yang ada. Ini mengonfigurasi Accelerate untuk berintegrasi dengan bucket Amazon S3 tujuan pengiriman event CloudTrail trail yang ada dan mendekripsi peristiwa. Untuk memungkinkan pengguna melakukan kueri perubahan di bucket Amazon S3 tujuan pengiriman CloudTrail acara dari akun Accelerate, Anda dapat menerapkan Peran IAM bernama seragam di setiap akun di Organisasi yang dikelola Accelerate, dan menambahkannya ke daftar “aws:”. PrincipalArn Dengan konfigurasi ini, pengguna Anda dapat melakukan kueri peristiwa.
Ada berbagai skenario pembaruan kebijakan AWS KMS utama yang perlu dipertimbangkan. Anda mungkin hanya memiliki AWS KMS kunci yang dikonfigurasi ke CloudTrail jejak Anda untuk mengenkripsi semua peristiwa, dan tidak memiliki AWS KMS kunci yang mengenkripsi objek di bucket Amazon S3 Anda. Atau, Anda mungkin memiliki satu AWS KMS kunci yang mengenkripsi peristiwa yang dikirimkan oleh CloudTrail, dan AWS KMS kunci lain yang mengenkripsi semua objek yang disimpan di bucket Amazon S3 Anda. Bila Anda memiliki dua AWS KMS kunci, Anda memperbarui kebijakan AWS KMS kunci untuk setiap kunci untuk memberikan akses Accelerate ke CloudTrail acara Anda. Pastikan Anda mengubah pernyataan kebijakan AWS KMS kunci referensi ke kebijakan AWS KMS kunci yang ada sebelum memperbarui kebijakan. Untuk informasi selengkapnya tentang cara memperbarui kebijakan AWS KMS kunci, lihat [Mengubah kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) di *Panduan AWS Key Management Service Pengguna*.
**penting**
Anda harus memperbarui kebijakan AWS KMS kunci hanya jika Accelerate terintegrasi dengan CloudTrail jejak dengan enkripsi SSE-KMS file log diaktifkan.
**catatan**
Sebelum Anda menerapkan pernyataan kebijakan AWS KMS kunci ini ke AWS KMS kunci yang digunakan untuk mengenkripsi AWS CloudTrail peristiwa yang dikirimkan ke bucket Amazon S3, ganti bidang *red* berikut dengan nilai yang berlaku:
*YOUR-ORGANIZATION-ID*dengan ID AWS Organisasi, akun Anda adalah anggota.
[Pernyataan kebijakan AWS KMS utama ini memberikan Akselerasi akses untuk mendekripsi dan menanyakan peristiwa jejak yang dikirimkan ke bucket Amazon S3 dari setiap akun di Organisasi Anda dengan akses terbatas ke Athena, yang digunakan oleh Accelerate untuk menanyakan dan menganalisis peristiwa. CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) .
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```