Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear un registro para una organización con AWS Command Line Interface
Puede crear un registro de seguimiento de organización mediante la AWS CLI. Se AWS CLI actualiza periódicamente con funciones y comandos adicionales. Para garantizar el éxito, asegúrese de haber instalado o actualizado a una AWS CLI versión reciente antes de empezar.
nota
Los ejemplos de esta sección son específicos para la creación y actualización de registros de seguimiento de organización. Para ver ejemplos del uso de la AWS CLI para gestionar senderos, consulte Administrar senderos con el AWS CLI yConfiguración del monitoreo de CloudWatch Logs con la AWS CLI. Al crear o actualizar un registro de la organización con la AWS CLI, debes usar un AWS CLI perfil en la cuenta de administración o en la cuenta de administrador delegado con permisos suficientes. Si va a convertir un registro de seguimiento de organización en un registro de seguimiento que no sea de la organización, debe utilizar la cuenta de administración de la organización.
Debe configurar el bucket de Amazon S3 utilizado para una registro de seguimiento de organización con permisos suficientes.
Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
Debe especificar un bucket de Amazon S3 para recibir los archivos de registros de un registro de seguimiento de organización. Este depósito debe tener una política que permita CloudTrail colocar los archivos de registro de la organización en el depósito.
El siguiente es un ejemplo de política para un bucket de Amazon S3 denominado myOrganizationBucket, que es propiedad de la cuenta de administración de la organización. Sustituya myOrganizationBucket, region, managementAccountID, TrailName y O-OrganizationID por los valores de su organización
Esta política de bucket contiene tres instrucciones.
-
La primera afirmación permite llamar CloudTrail a la
GetBucketAclacción de Amazon S3 en el bucket de Amazon S3. -
La segunda instrucción permite el registro en caso de que se cambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.
-
La tercera instrucción permite registrar el registro de seguimiento de una organización.
La política de ejemplo incluye una clave de condición aws:SourceArn para la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que solo se CloudTrail escriba en el bucket de S3 para una o varias rutas específicas. En una traza de organización, el valor de aws:SourceArn debe ser un ARN de seguimiento que pertenece a la cuenta de administración y utilice el ID de cuenta de administración.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myOrganizationBucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/managementAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/o-organizationID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } } ] }
Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a los archivos de registro creados para la organización. De forma predeterminada, solo la cuenta de administración tendrá acceso a los archivos de registros de organización. Para obtener información sobre cómo permitir a los usuarios de IAM de las cuentas miembro el acceso de lectura al bucket de Amazon S3, consulte Compartir archivos de registro de CloudTrail entre cuentas de AWS.
Se habilita CloudTrail como un servicio confiable en AWS Organizations
Para poder crear un registro de seguimiento de organización, primero debe habilitar todas las características en Organizations. Para obtener más información, consulte Habilitar todas las características en la organización o ejecute el siguiente comando mediante un perfil con permisos suficientes en la cuenta de administración:
aws organizations enable-all-features
Después de habilitar todas las funciones, debe configurar Organizations para que confíe CloudTrail como un servicio de confianza.
Para crear una relación de servicio de confianza entre AWS Organizations y CloudTrail, abra un terminal o una línea de comandos y utilice un perfil en la cuenta de administración. Ejecute el comando aws organizations enable-aws-service-access, como se muestra en el ejemplo siguiente.
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
Uso de create-trail
Creación de un registro de seguimiento de organización que se aplique a todas las regiones
Para crear un registro de seguimiento de organización que se aplique a todas las regiones, agregue las opciones --is-organization-trail y --is-multi-region-trail.
nota
Al crear un registro organizativo con la AWS CLI, debe utilizar un AWS CLI perfil en la cuenta de administración o en la cuenta de administrador delegado con permisos suficientes.
En el ejemplo siguiente, se crea un registro de seguimiento de organización que envía registros de todas las regiones a un bucket existente denominado my-bucket
aws cloudtrail create-trail --namemy-trail--s3-bucket-namemy-bucket--is-organization-trail --is-multi-region-trail
Para confirmar que el registro de seguimiento exista en todas las regiones, los parámetros IsOrganizationTrail e IsMultiRegionTrail en la salida se establecen en true:
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
nota
Ejecute el comando start-logging para comenzar a ejecutar el registro de seguimiento. Para obtener más información, consulte Detención e inicio del registro de un registro de seguimiento.
Creación de un registro de seguimiento de organización como registro de seguimiento de una sola región
El siguiente comando crea un registro de la organización que solo registra los eventos en un único registro Región de AWS, también conocido como registro de una sola región. La AWS región en la que se registran los eventos es la región especificada en el perfil de configuración de AWS CLI.
aws cloudtrail create-trail --namemy-trail--s3-bucket-namemy-bucket--is-organization-trail
Para obtener más información, consulte Requisitos de nomenclatura.
Resultado de ejemplo:
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
De forma predeterminada, el comando create-trail crea un registro de seguimiento para una sola región que no permite la validación de archivos de registros.
nota
Ejecute el comando start-logging para comenzar a ejecutar el registro de seguimiento.
Ejecución de update-trail para actualizar un registro de seguimiento de organización
Puede ejecutar el comando update-trail para cambiar las opciones de configuración de un registro de seguimiento de organización o para aplicar un registro de seguimiento existente para una sola cuenta de AWS
a toda una organización. Recuerde que puede ejecutar el comando update-trail únicamente desde la región en la que se creó el registro de seguimiento.
nota
Si utilizas el AWS CLI o uno de los AWS SDK para actualizar una ruta, asegúrate de que la política de segmentos de la ruta lo sea up-to-date. Para obtener más información, consulte Crear un registro para una organización con AWS Command Line Interface.
Al actualizar el registro de una organización con el AWS CLI, debes usar un AWS CLI perfil en la cuenta de administración o en la cuenta de administrador delegado con permisos suficientes. Si desea convertir un registro de seguimiento de la organización en un registro de seguimiento que no sea de la organización, debe utilizar la cuenta de administración de la organización, ya que la cuenta de administración es la propietaria de todos los recursos de la organización.
CloudTrail actualiza los registros de la organización en las cuentas de los miembros incluso si se produce un error en la validación de un recurso. Algunos ejemplos de errores de validación son los siguientes:
-
una política de bucket de Amazon S3 incorrecta
-
una política de temas de Amazon SNS incorrecta
-
incapacidad para realizar la entrega a un CloudWatch grupo de registros
-
permiso insuficiente para cifrar mediante una clave KMS
Una cuenta de miembro con CloudTrail permisos puede ver cualquier error de validación del registro de una organización consultando la página de detalles del registro en la CloudTrail consola o ejecutando el AWS CLI get-trail-statuscomando.
Aplicación de un registro de seguimiento existente a una organización
Para cambiar un registro existente para que también se aplique a una organización en lugar de a una sola AWS cuenta, añade la --is-organization-trail opción, como se muestra en el siguiente ejemplo.
nota
Use la cuenta de administración para cambiar un registro de seguimiento existente que no es de la organización por un registro de seguimiento de la organización.
aws cloudtrail update-trail --namemy-trail--is-organization-trail
Para confirmar que el registro de seguimiento se aplica ahora a la organización, el parámetro IsOrganizationTrail del resultado tiene el valor true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
En el ejemplo anterior, el registro de seguimiento se configuró para que se aplicara a todas las regiones ("IsMultiRegionTrail": true). Un registro de seguimiento que solo se aplica a una sola región mostrará "IsMultiRegionTrail": false en el resultado.
Conversión de un registro de seguimiento de organización que se aplica a una sola región en uno que se aplique a todas las regiones
Para cambiar un registro de seguimiento de organización existente de forma que se aplique a todas las regiones, agregue la opción --is-multi-region-trail como se muestra en el siguiente ejemplo.
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
Para confirmar que el registro de seguimiento se aplica ahora a todas las regiones, el parámetro IsMultiRegionTrail del resultado tiene el valor true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
