Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de un registro de seguimiento para una organización
Si ha creado una organización en AWS Organizations, puede crear un registro que registre todos los eventos de todos los miembros Cuentas de AWS de esa organización. En ocasiones, esto se denomina traza de organización.
La cuenta de administración de la organización puede asignar un administrador delegado para que cree nuevos registros de seguimiento de la organización o administre los registros de seguimiento de la organización existentes. Para obtener más información acerca de cómo agregar un administrador delegado, consulte Agregue un CloudTrail administrador delegado.
La cuenta de administración de la organización puede editar un registro de seguimiento existente en su cuenta y aplicarlo a una organización, lo que lo convertirá en un registro de seguimiento de la organización. La organización realiza un seguimiento de los eventos de registro de la cuenta de administración y de todas las cuentas miembro de la organización. Para obtener más información AWS Organizations, consulte Terminología y conceptos de Organizations.
nota
Debe iniciar sesión con la cuenta de administración o la de un administrador delegado asociado a una organización para poder crear un registro de seguimiento de la organización. También debe tener permisos suficientes para que el usuario o rol de la cuenta de administración o administrador delegado pueda crear la ruta. Si no tiene permisos suficientes, no podrá ver la opción para aplicar un registro de seguimiento a una organización.
Todos los registros organizativos creados con la consola son registros organizativos multirregionales que registran los eventos de las cuentas habilitadas Regiones de AWS en cada uno de los miembros de la organización. Para registrar los eventos en todas las AWS particiones de su organización, cree un registro de organización multirregional en cada partición. Puede crear un registro organizativo de una sola región o de varias regiones mediante el. AWS CLI Si crea un sendero de una sola región, registrará la actividad únicamente en el sendero Región de AWS (también denominado región de origen).
Aunque la mayoría Regiones de AWS están habilitadas de forma predeterminada Cuenta de AWS, debes habilitar manualmente determinadas regiones (también denominadas regiones de suscripción). Para obtener información sobre qué regiones están habilitadas de forma predeterminada, consulte Consideraciones antes de habilitar o deshabilitar las regiones en la Guía de AWS Account Management referencia. Para ver la lista de regiones CloudTrail compatibles, consulteCloudTrail regiones compatibles.
Cuando crea un registro de la organización, se crea una copia del registro con el nombre que le dé en las cuentas de los miembros que pertenecen a su organización.
-
Si el registro de la organización es para una sola región y la región de origen de la ruta no es una región opcional, se crea una copia de la ruta en la región de origen de la ruta de la organización, en la cuenta de cada miembro.
-
Si el registro de la organización es para una región única y la región de origen del sendero es una región opcional, se crea una copia del registro en la región de origen del sendero de la organización, en las cuentas de los miembros que han habilitado esa región.
-
Si la ruta organizativa es multirregional y la región de origen de la ruta no es una región opcional, se crea una copia de la ruta en cada una de las cuentas habilitadas Región de AWS en cada cuenta de miembro. Cuando la cuenta de un miembro habilita una región opcional, se crea una copia del recorrido multiregional en la región que acaba de registrarse para la cuenta del miembro una vez que se haya completado la activación de esa región.
-
Si el registro de la organización es multirregional y la región de origen es una región opcional, las cuentas de los miembros no enviarán la actividad al registro de la organización a menos que opten por hacerlo en el Región de AWS lugar en el que se creó el registro multirregional. Por ejemplo, si creas una ruta multirregional y eliges la región de Europa (España) como región de origen de la ruta, solo las cuentas de los miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán la actividad de su cuenta a la ruta de la organización.
nota
CloudTrail crea registros organizativos en las cuentas de los miembros incluso si se produce un error en la validación de un recurso. Algunos ejemplos de errores de validación son los siguientes:
-
una política de bucket de Amazon S3 incorrecta
-
una política de SNS temas de Amazon incorrecta
-
incapacidad para realizar envíos a un grupo de CloudWatch registros
-
permiso insuficiente para cifrar mediante una clave KMS
Una cuenta de miembro con CloudTrail permisos puede ver cualquier error de validación de un registro de la organización consultando la página de detalles del registro en la CloudTrail consola o ejecutando el AWS CLI get-trail-statuscomando.
Los usuarios con CloudTrail permisos en las cuentas de los miembros pueden ver los registros de la organización cuando inician sesión en la AWS CloudTrail consola desde sus Cuentas de AWS cuentas o cuando ejecutan AWS CLI comandos comodescribe-trails
. Sin embargo, los usuarios de las cuentas de los miembros no tienen permisos suficientes para eliminar los registros de la organización, activar o desactivar el inicio de sesión, cambiar los tipos de eventos que se registran o cambiar de algún otro modo el registro de la organización.
Al crear un registro de la organización en la consola o al habilitarlo CloudTrail como servicio de confianza en Organizations, se crea un rol vinculado al servicio para realizar tareas de registro en las cuentas de los miembros de la organización. Este rol se denomina AWSServiceRoleForCloudTrail, y es necesario CloudTrail para registrar los eventos de una organización. Si Cuenta de AWS se agrega una a una organización, se le agrega el registro de la organización y el rol vinculado al servicio Cuenta de AWS, y el registro de esa cuenta se inicia automáticamente en el registro de la organización. Si Cuenta de AWS se elimina un elemento de una organización, el registro de la organización y el rol vinculado al servicio se eliminan de la organización Cuenta de AWS que ya no forma parte de la organización. Sin embargo, los archivos de registros de la cuenta eliminada creados antes de la eliminación de la cuenta permanecerán en el bucket de Amazon S3, donde se almacenan los archivos de registros del traza.
Si la cuenta de administración de una AWS Organizations organización crea un registro de la organización, pero luego se elimina como cuenta de administración de la organización, cualquier registro de la organización creado con esa cuenta pasa a ser un registro no organizacional.
En el siguiente ejemplo, la cuenta de administración de la organización, 1111, crea un registro denominado MyOrganizationTrail
para la organización o-exampleorgid
. El registro registra la actividad de todas las cuentas de la organización en el mismo bucket de Amazon S3. Todas las cuentas de la organización pueden ver MyOrganizationTrail
en su lista de rutas, pero las cuentas de los miembros no pueden eliminar ni modificar la ruta de la organización. Solo la cuenta de administración o la de administrador delegado pueden modificar o eliminar los registros de seguimiento de la organización. Solo la cuenta de administración puede eliminar una cuenta miembro de una organización. Del mismo modo, de forma predeterminada, solo la cuenta de administración tiene acceso al bucket de Amazon S3 de la ruta y a los registros que contiene. La estructura de depósitos de alto nivel para los archivos de registro contiene una carpeta con el nombre del ID de la organización y subcarpetas con el nombre de la cuenta IDs de cada cuenta de la organización. Los eventos de cada cuenta miembro se registran en la carpeta correspondiente al ID de la cuenta miembro. Si la cuenta de miembro 444444444444 se elimina de la organización, MyOrganizationTrail
y el rol vinculado al servicio ya no aparece en la AWS cuenta 444444444444 y el registro de la organización no registra ningún otro evento de esa cuenta. Sin embargo, la carpeta 444444444444 permanece en el bucket de Amazon S3, con todos los registros creados antes de la eliminación de la cuenta de la organización.
En este ejemplo, el ARN rastro creado en la cuenta de administración esaws:cloudtrail:us-east-2:111111111111:trail/
. También ARN es válido ARN para el registro en todas las cuentas de los miembros.MyOrganizationTrail
Los registros de seguimiento de organización son similares a los normales en muchos aspectos. Puede crear varios registros de seguimiento para su organización y elegir si desea crear uno de organización en todas las regiones o en una sola región, y qué tipo de eventos desea que se guarden en el registro de seguimiento de organización, al igual que en cualquier otro registro de seguimiento. Sin embargo, hay algunas diferencias. Por ejemplo, cuando crea un registro en la consola y decide si desea registrar los eventos de datos para los buckets o AWS Lambda funciones de Amazon S3, los únicos recursos que aparecen en la CloudTrail consola son los de la cuenta de administración, pero puede añadir los recursos ARNs for en las cuentas de los miembros. Los eventos de datos para los recursos de cuenta miembro especificados se registran sin tener que configurar manualmente el acceso entre cuentas a dichos recursos. Para obtener más información sobre el registro de eventos de administración, eventos de Insights y eventos de datos, consulte Registro de eventos de administraciónRegistro de eventos de datos, yRegistro de eventos de Insights.
nota
En la consola, puede crear un registro multirregional. Esta es la mejor práctica recomendada; registrar la actividad en todas las regiones de su país le Cuenta de AWS ayuda a mantener su AWS entorno más seguro. Para crear un registro de seguimiento de una sola región, utilice la AWS CLI.
Cuando consultas los eventos de una organización en la que has iniciado sesión en el historial de eventos AWS Organizations, solo podrás ver los eventos Cuenta de AWS con los que hayas iniciado sesión. Por ejemplo, si ha iniciado sesión con la cuenta de administración de la organización, en Event history (Historial de eventos) se muestran los eventos de administración de los últimos 90 días para la cuenta de administración. Los eventos de la cuenta miembro de la organización no se muestran en Event history (Historial de eventos) para la cuenta de administración. Para ver los eventos de la cuenta miembro en Event history (Historial de eventos), inicie sesión con la cuenta miembro.
Puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros de una organización y actuar en función de ellos, del mismo modo que lo haría con cualquier otro registro. Por ejemplo, puede analizar los datos en un registro de seguimiento de organización mediante Amazon Athena. Para obtener más información, consulte AWS integraciones de servicios con registros CloudTrail .
Temas
- Pasar de los registros de las cuentas de los miembros a los registros de la organización
- Prepararse a fin de crear un registro de seguimiento para la organización
- Creación de un registro de seguimiento para la organización en la consola
- Crear un registro para una organización con AWS CLI
- Solución de problemas relacionados con el registro de una organización