Prepararse a fin de crear un registro de seguimiento para la organización - AWS CloudTrail
Prácticas recomendadas de seguridad para las trazas de organización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prepararse a fin de crear un registro de seguimiento para la organización

Antes de crear un registro de seguimiento para su organización, deberá asegurarse de que la cuenta de administración o la de administrador delegado se encuentren configuradas correctamente para la creación de registros de seguimiento.

  • Su organización debe tener todas las características habilitadas para poder crear un registro de seguimiento para ella. Para obtener más información, consulte Habilitar todas las características en la organización.

  • La cuenta de administración debe tener el rol de AWSServiceRoleForOrganizations. Organizations crea automáticamente este rol al crear la organización y es necesario CloudTrail para registrar los eventos de una organización. Para obtener más información, consulte Organizations y roles vinculados a servicios.

  • El usuario o el rol que crea el registro de seguimiento de la organización en la cuenta de administración o la cuenta de administrador delegado deben tener permisos suficientes para crear un registro de seguimiento de organización. Debe aplicar al menos la política AWSCloudTrail_FullAccess, o una política equivalente, a ese rol o usuario. También debe tener permisos suficientes en IAM y Organizations para crear el rol vinculado a servicios y habilitar el acceso de confianza. La siguiente política de ejemplo muestra los permisos mínimos necesarios.

    nota

    No debes compartir la AWSCloudTrail_FullAccesspolítica de forma amplia entre todos tus miembros Cuenta de AWS. En su lugar, deberías restringirla a Cuenta de AWS los administradores debido a la naturaleza altamente confidencial de la información recopilada por ellos CloudTrail. Los usuarios con este rol tienen la capacidad de desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, debe supervisar y controlar de cerca el acceso a esta política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • Para usar las API AWS CLI o las CloudTrail API para crear un registro de la organización, debe habilitar el acceso confiable para CloudTrail In Organizations y debe crear manualmente un bucket de Amazon S3 con una política que permita registrar un registro de la organización. Para obtener más información, consulte Crear un registro para una organización con AWS Command Line Interface.

  • Para usar una función de IAM existente para añadir la supervisión de un registro de la organización a Amazon CloudWatch Logs, debe modificar manualmente la función de IAM para permitir la entrega de CloudWatch los registros de las cuentas de los miembros al grupo de CloudWatch registros de la cuenta de administración, como se muestra en el siguiente ejemplo.

    nota

    Debe utilizar un rol de IAM y un grupo de CloudWatch registros que existan en su propia cuenta. No puede usar un rol de IAM ni un grupo de CloudWatch registros que pertenezca a una cuenta diferente. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    Puedes obtener más información sobre Amazon CloudTrail y cómo CloudWatch inicia sesiónMonitoreo de archivos de registros de CloudTrail con Amazon CloudWatch Logs. Además, tenga en cuenta los límites de CloudWatch los registros y las consideraciones de precio del servicio antes de decidir habilitar la experiencia para un registro organizacional. Para obtener más información, consulta CloudWatch Logs Limits y Amazon CloudWatch Pricing.

  • Si desea registrar eventos de datos en el registro de seguimiento de organización para determinados recursos en las cuentas miembro, prepare la lista de nombres de recursos de Amazon (ARN) para cada uno de esos recursos. Los recursos de las cuentas de los miembros no se muestran en la CloudTrail consola al crear una ruta; puede buscar los recursos de la cuenta de administración en los que se admite la recopilación de eventos de datos, como los buckets de S3. Del mismo modo, si desea agregar recursos miembro específicos al crear o actualizar un registro de seguimiento de organización en la línea de comandos, necesitará los ARN de dichos recursos.

    nota

    Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

También deberías considerar revisar cuántos registros existen ya en la cuenta de administración y en las cuentas de los miembros antes de crear un registro de la organización. CloudTrail limita el número de senderos que se pueden crear en cada región. No puede superar este límite en la región en la que cree el registro de seguimiento de organización en la cuenta de administración. Sin embargo, el registro de seguimiento se creará en las cuentas miembro, incluso si estas han alcanzado el límite de registros de seguimiento en una región. Aunque el primer registro de seguimiento de los eventos de administración en cualquier región es gratuito, se aplican cargos a los registros de seguimiento adicionales. Para reducir el costo potencial de un registro de seguimiento de organización, considere la posibilidad de eliminar cualquier registro de seguimiento innecesario en las cuentas miembro y de administración. Para obtener más información sobre CloudTrail los precios, consulta AWS CloudTrail los precios.

Prácticas recomendadas de seguridad para las trazas de organización

Como práctica recomendada de seguridad, le recomendamos que agregue la clave de condición aws:SourceArn de las políticas de recursos (como las de buckets de S3, claves KMS o temas SNS) que utiliza con una traza de la organización. El valor de aws:SourceArn es el ARN de la traza de organización (o ARN, si está utilizando el mismo recurso para más de una traza, como el mismo bucket de S3 para almacenar registros de más de una traza). Esto garantiza que el recurso, como un bucket de S3, solo acepta datos asociados a la traza específica. El ARN de seguimiento debe utilizar el ID de cuenta de la cuenta de administración. El siguiente fragmento de política muestra un ejemplo en el que más de una traza utiliza el recurso.

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Para obtener información acerca de cómo agregar claves de condición a las políticas de recursos, consulte lo siguiente: