Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de un registro de seguimiento para una organización
Si ha creado una organización en AWS Organizations, puede crear un registro que registre todos los eventos de todos los miembros Cuentas de AWS de esa organización. En ocasiones, esto se denomina traza de organización.
La cuenta de administración de la organización puede asignar un administrador delegado para que cree nuevos registros de seguimiento de la organización o administre los registros de seguimiento de la organización existentes. Para obtener más información acerca de cómo agregar un administrador delegado, consulte Agrega un administrador delegado CloudTrail .
La cuenta de administración de la organización puede editar un registro de seguimiento existente en su cuenta y aplicarlo a una organización, lo que lo convertirá en un registro de seguimiento de la organización. La organización realiza un seguimiento de los eventos de registro de la cuenta de administración y de todas las cuentas miembro de la organización. Para obtener más información AWS Organizations, consulte Terminología y conceptos de Organizations.
nota
Debe iniciar sesión con la cuenta de administración o la de un administrador delegado asociado a una organización para poder crear un registro de seguimiento de la organización. También debe tener permisos suficientes para que el usuario o el rol de la cuenta de administración o la de administrador delegado pueda crear el registro de seguimiento. Si no tiene permisos suficientes, no podrá ver la opción para aplicar un registro de seguimiento a una organización.
Todos los registros organizativos creados con la consola son registros organizativos multirregionales que registran los eventos de las cuentas habilitadas Regiones de AWS en cada miembro de la organización. Para registrar los eventos en todas las AWS particiones de su organización, cree un registro de organización multirregional en cada partición. Puede crear un registro organizativo de una o varias regiones mediante el. AWS CLI Si crea un sendero de una sola región, registrará la actividad únicamente en el sendero Región de AWS (también denominado región de origen).
Aunque la mayoría Regiones de AWS están habilitadas de forma predeterminada Cuenta de AWS, debes habilitar manualmente determinadas regiones (también denominadas regiones de suscripción). Para obtener información sobre qué regiones están habilitadas de forma predeterminada, consulte Consideraciones antes de habilitar o deshabilitar las regiones en la Guía de AWS Account Management referencia. Para ver la lista de regiones CloudTrail compatibles, consulteCloudTrail regiones compatibles.
Cuando crea un registro de la organización, se crea una copia del registro con el nombre que le dé en las cuentas de los miembros que pertenecen a su organización.
-
Si el registro de la organización es para una sola región y la región de origen de la ruta no es una región opcional, se crea una copia de la ruta en la región de origen de la ruta de la organización, en la cuenta de cada miembro.
-
Si el registro de la organización es para una región única y la región de origen del sendero es una región opcional, se crea una copia del registro en la región de origen del sendero de la organización, en las cuentas de los miembros que han habilitado esa región.
-
Si la ruta organizativa es multirregional y la región de origen de la ruta no es una región opcional, se crea una copia de la ruta en cada una de las cuentas habilitadas Región de AWS en cada cuenta de miembro. Cuando la cuenta de un miembro habilita una región opcional, se crea una copia del recorrido multiregional en la región que acaba de registrarse para la cuenta del miembro una vez que se haya completado la activación de esa región.
-
Si el registro de la organización es multirregional y la región de origen es una región opcional, las cuentas de los miembros no enviarán la actividad al registro de la organización a menos que opten por hacerlo en el Región de AWS lugar en el que se creó el registro multirregional. Por ejemplo, si creas una ruta multirregional y eliges la región de Europa (España) como región de origen de la ruta, solo las cuentas de los miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán la actividad de su cuenta a la ruta de la organización.
nota
CloudTrail crea registros organizativos en las cuentas de los miembros incluso si se produce un error en la validación de un recurso. Algunos ejemplos de errores de validación son los siguientes:
-
una política de bucket de Amazon S3 incorrecta
-
una política de temas de Amazon SNS incorrecta
-
incapacidad para realizar la entrega a un CloudWatch grupo de registros
-
permiso insuficiente para cifrar mediante una clave KMS
Una cuenta de miembro con CloudTrail permisos puede ver cualquier error de validación del registro de una organización consultando la página de detalles del registro en la CloudTrail consola o ejecutando el AWS CLI get-trail-statuscomando.
Los usuarios con CloudTrail permisos en las cuentas de los miembros pueden ver los registros de la organización cuando inician sesión en la AWS CloudTrail consola desde sus cuentas o cuando ejecutan AWS CLI comandos como Cuentas de AWS, por ejemplodescribe-trails. Sin embargo, los usuarios de las cuentas de los miembros no tienen permisos suficientes para eliminar los registros de la organización, activar o desactivar el inicio de sesión, cambiar los tipos de eventos que se registran o cambiar de algún otro modo el registro de la organización.
Al crear un registro de la organización en la consola o al habilitarlo CloudTrail como servicio de confianza en Organizations, se crea un rol vinculado al servicio para realizar tareas de registro en las cuentas de los miembros de la organización. Esta función recibe un nombre AWSServiceRoleForCloudTraily es necesaria CloudTrail para registrar los eventos de una organización. Si Cuenta de AWS se agrega un elemento a una organización, se le agregan el registro de la organización y el rol vinculado al servicio Cuenta de AWS, y el registro de esa cuenta se inicia automáticamente en el registro de la organización. Si Cuenta de AWS se elimina un elemento de una organización, el registro de la organización y el rol vinculado al servicio se eliminan de la organización Cuenta de AWS que ya no forma parte de la organización. Sin embargo, los archivos de registros de la cuenta eliminada creados antes de la eliminación de la cuenta permanecerán en el bucket de Amazon S3, donde se almacenan los archivos de registros del traza.
Si la cuenta de administración de una AWS Organizations organización crea un registro de la organización, pero luego se elimina como cuenta de administración de la organización, cualquier registro de la organización creado con esa cuenta pasa a ser un registro no organizacional.
En el siguiente ejemplo, la cuenta de administración de la organización, 1111, crea un registro con el nombre o-exampleorgid El registro de seguimiento registra la actividad de todas las cuentas de la organización en el mismo bucket de Amazon S3. Todas las cuentas de la organización pueden ver MyOrganizationTrailde la organización.MyOrganizationTrailen su lista de rutas, pero las cuentas de los miembros no pueden eliminar ni modificar la ruta de la organización. Solo la cuenta de administración o la de administrador delegado pueden modificar o eliminar los registros de seguimiento de la organización. Solo la cuenta de administración puede eliminar una cuenta miembro de una organización. Del mismo modo, de forma predeterminada, solo la cuenta de administración tiene acceso al bucket my-organization-bucketde Amazon S3 de la ruta y a los registros que contiene. La estructura de bucket de alto nivel para los archivos de registro contiene una carpeta con el nombre del ID de la organización, y subcarpetas con el nombre de los ID de cada cuenta de la organización. Los eventos de cada cuenta miembro se registran en la carpeta correspondiente al ID de la cuenta miembro. Si la cuenta de miembro 444444444444 se elimina de la organización MyOrganizationTraily el rol vinculado al servicio deja de aparecer en la AWS cuenta 444444444444 y el registro de la organización no registra más eventos para esa cuenta. Sin embargo, la carpeta 444444444444 permanece en el bucket de Amazon S3, con todos los registros creados antes de la eliminación de la cuenta de la organización.
En este ejemplo, el ARN del registro de seguimiento creado en la cuenta de administración es aws:cloudtrail:us-east-2:111111111111:trail/. Este ARN también es el ARN del registro de seguimiento en todas las cuentas miembro.MyOrganizationTrail
Los registros de seguimiento de organización son similares a los normales en muchos aspectos. Puede crear varios registros de seguimiento para su organización y elegir si desea crear uno de organización en todas las regiones o en una sola región, y qué tipo de eventos desea que se guarden en el registro de seguimiento de organización, al igual que en cualquier otro registro de seguimiento. Sin embargo, hay algunas diferencias. Por ejemplo, cuando crea un registro en la consola y decide si desea registrar los eventos de datos para los buckets o AWS Lambda funciones de Amazon S3, los únicos recursos que aparecen en la CloudTrail consola son los de la cuenta de administración, pero puede añadir los ARN de los recursos de las cuentas de los miembros. Los eventos de datos para los recursos de cuenta miembro especificados se registran sin tener que configurar manualmente el acceso entre cuentas a dichos recursos. Para obtener más información sobre el registro de eventos de administración, eventos de Insights y eventos de datos, consulte Trabajar con archivos de registros de CloudTrail.
nota
En la consola, cree un registro de seguimiento que registre todas las regiones. Esta es la mejor práctica recomendada; registrar la actividad en todas las regiones le ayuda a mantener su AWS entorno más seguro. Para crear un registro de seguimiento de una sola región, utilice la AWS CLI.
También puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros de una organización y actuar en función de ellos, del mismo modo que lo haría con cualquier otro registro. Por ejemplo, puede analizar los datos en un registro de seguimiento de organización mediante Amazon Athena. Para obtener más información, consulte AWS integraciones de servicios con registros CloudTrail .
Temas
- Historial de eventos y registros de seguimiento de organización
- Prácticas recomendadas para pasar de los registros de seguimiento de cuentas miembro a los registros de seguimiento de la organización
- Prepararse a fin de crear un registro de seguimiento para la organización
- Creación de un registro de seguimiento para la organización en la consola
- Crear un registro para una organización con AWS Command Line Interface
- Solución de problemas
