AWS CloudTrail y AWS Organizations - AWS Organizations
Roles vinculados a serviciosPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitar un administrador delegadoDeshabilitar un administrador delegado para CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudTrail y AWS Organizations

AWS CloudTrail es un AWS servicio que le ayuda a habilitar la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de sus Cuenta de AWS Con AWS CloudTrailél, un usuario de una cuenta de administración puede crear un registro de la organización que registre todos los eventos de todos los Cuentas de AWS miembros de esa organización. Los registros de seguimiento de la organización se aplican automáticamente a todas las cuentas de miembros de la organización. Las cuentas de miembros pueden ver el registro de seguimiento de la organización, pero no pueden modificarlo o eliminarlo. De forma predeterminada, las cuentas de miembros no tienen acceso a los archivos de registro del registro de seguimiento de la organización en el bucket de Amazon S3. Esto lo ayuda a aplicar y reforzar de manera uniforme su estrategia de registro entre las cuentas en su organización.

Para obtener más información, consulte Creación de un registro de seguimiento para una organización en la Guía del usuario de AWS CloudTrail .

Utilice la siguiente información para ayudarle a integrarse AWS CloudTrail con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Esta función le CloudTrail permite realizar operaciones de apoyo en las cuentas de su organización.

Puede eliminar o modificar esta función solo si deshabilita el acceso de confianza entre CloudTrail y Organizations, o si elimina la cuenta de miembro de la organización.

  • AWSServiceRoleForCloudTrail

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados al servicio que utiliza CloudTrail otorgan acceso a los siguientes directores de servicio:

  • cloudtrail.amazonaws.com

Habilitar el acceso de confianza con CloudTrail

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Si habilitas el acceso confiable mediante la creación de una ruta desde la AWS CloudTrail consola, el acceso confiable se configura automáticamente (recomendado). También puedes habilitar el acceso confiable mediante la AWS Organizations consola. Debes iniciar sesión con tu cuenta AWS Organizations de administración para crear un registro de la organización.

Si opta por crear un registro de la organización mediante el AWS CLI o el AWS API, debe configurar manualmente el acceso confiable. Para obtener más información, consulte Habilitar CloudTrail como servicio de confianza AWS Organizations en la Guía del AWS CloudTrail usuario.

importante

Recomendamos encarecidamente que, siempre que sea posible, utilice la AWS CloudTrail consola o las herramientas para permitir la integración con Organizations.

Puede habilitar el acceso de confianza ejecutando un AWS CLI comando de Organizations o llamando a una API operación de Organizations en uno de los AWS SDKs.

AWS CLI, AWS API
Para habilitar el acceso a servicios confiables mediante OrganizationsCLI/SDK

Utilice los siguientes AWS CLI comandos u API operaciones para habilitar el acceso a los servicios de confianza:

  • AWS CLI: enable-aws-service-access

    Ejecute el siguiente comando para habilitarlo AWS CloudTrail como un servicio de confianza con Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: E nableAWSService Access

Deshabilitación del acceso con CloudTrail

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

AWS CloudTrail requiere un acceso confiable AWS Organizations para trabajar con los registros de la organización y los almacenes de datos de los eventos de la organización. Si inhabilitas el acceso confiable AWS Organizations mientras lo usas AWS CloudTrail, se eliminarán todos los registros organizativos de las cuentas de los miembros porque no CloudTrail pueden acceder a la organización. Todos los registros de seguimiento de la organización de las cuentas de administración y los almacenes de datos de eventos de la organización se convierten en registros y almacenes de datos de eventos de la cuenta. El AWSServiceRoleForCloudTrail rol creado para la integración entre la cuenta CloudTrail y AWS Organizations permanece en ella. Si vuelves a habilitar el acceso confiable, no CloudTrail se realizará ninguna acción en los almacenes de datos de senderos y eventos existentes. La cuenta de administración debe actualizar todos los almacenes de datos de eventos y registros de seguimiento de la cuenta para aplicarlos a la organización.

Para convertir un registro de seguimiento o almacén de datos de eventos de la cuenta en un registro de seguimiento o almacén de datos de eventos de la organización, haga lo siguiente:

  • Desde la CloudTrail consola, actualiza el almacén de datos de rutas o eventos y selecciona la opción Activar para todas las cuentas de mi organización.

  • Desde allí AWS CLI, haga lo siguiente:

    • Para actualizar una ruta, ejecute el update-trailejecute el comando e incluya el --is-organization-trail parámetro.

    • Para actualizar un banco de datos de eventos, ejecute el update-event-data-storecomando e incluya el --organization-enabled parámetro.

Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con AWS CloudTrail. Puede deshabilitar el acceso de confianza solo con las herramientas de Organizations, ya sea mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una API operación de Organizations en una de las AWS SDKs.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una API operación de Organizations en uno de los AWS SDKs.

AWS Management Console
Para deshabilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. En la lista de servicios, elija AWS CloudTrail.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de AWS CloudTrail diálogo Deshabilitar el acceso de confianza para, escriba disable para confirmar y, a continuación, seleccione Inhabilitar el acceso de confianza.

  6. Si es el administrador de Only AWS Organizations, dígale al administrador AWS CloudTrail que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicios o las herramientas.

AWS CLI, AWS API
Para deshabilitar el acceso a servicios de confianza mediante OrganizationsCLI/SDK

Puede utilizar los siguientes AWS CLI comandos u API operaciones para deshabilitar el acceso a los servicios de confianza:

  • AWS CLI: disable-aws-service-access

    Ejecute el siguiente comando para inhabilitarlo AWS CloudTrail como servicio de confianza con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: D isableAWSService Access

Habilitar una cuenta de administrador delegado para CloudTrail

Cuando lo utilizas CloudTrail con Organizations, puedes registrar cualquier cuenta de la organización para que actúe como administrador CloudTrail delegado y gestione los almacenes de datos de eventos y senderos de la organización en nombre de la organización. Un administrador delegado es una cuenta de miembro de una organización que puede realizar las mismas tareas administrativas que la cuenta de administración. CloudTrail

Permisos mínimos

Solo un administrador de la cuenta de administración de Organizations puede registrar un administrador delegado para CloudTrail.

Puede registrar una cuenta de administrador delegado mediante la CloudTrail consola o mediante Organizations RegisterDelegatedAdministrator CLI o la SDK operación. Para registrar un administrador delegado mediante la CloudTrail consola, consulte Añadir un administrador CloudTrail delegado.

Deshabilitar un administrador delegado para CloudTrail

Solo un administrador de la cuenta de administración de Organizations puede eliminar a un administrador delegado para CloudTrail. Puede eliminar el administrador delegado mediante la CloudTrail consola o mediante la SDK operación Organizations DeregisterDelegatedAdministrator CLI u. Para obtener información sobre cómo eliminar un administrador delegado mediante la CloudTrail consola, consulte Eliminar un administrador CloudTrail delegado.