Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di un percorso per un'organizzazione con AWS Command Line Interface
Puoi creare un trail dell'organizzazione utilizzando l'AWS CLI. L'AWS CLI viene regolarmente aggiornata con ulteriori funzionalità e comandi. Assicurati di aver installato o aggiornato la versione di AWS CLI più recente prima di iniziare.
Nota
Gli esempi in questa sezione sono specifici per la creazione e l'aggiornamento di trail dell'organizzazione. Per esempi di utilizzo dellaAWS CLIper gestire i percorsi, vediGestione dei percorsi con la AWS CLIeConfigurazione CloudWatch Monitoraggio dei log conAWS CLI. Durante la creazione o l'aggiornamento di un trail dell'organizzazione con AWS CLI, devi utilizzare un profilo AWS CLI nell'account di gestione o nell'account dell'amministratore delegato con autorizzazioni sufficienti.
Devi configurare il bucket Amazon S3 utilizzato per un percorso dell'organizzazione con autorizzazioni sufficienti.
Creazione o aggiornamento di un bucket Amazon S3 da utilizzare per archiviare i file di log per un percorso dell'organizzazione
Devi specificare un bucket Amazon S3 per ricevere i file di log per un percorso dell'organizzazione. Questo bucket deve avere una politica che consenta CloudTrail per inserire i file di registro dell'organizzazione nel bucket.
La seguente è un esempio di policy per un bucket di nomemyOrganizationBucket
, che è di proprietà dell'account di gestione dell'organizzazione. SostituiscimyOrganizationBucket
,regione
,ID dell'account di gestione
,Nome del percorso
eO-organizationID
con i valori per la tua organizzazione
Questa policy bucket contiene tre affermazioni.
-
La prima dichiarazione consente CloudTrail per chiamare Amazon S3
GetBucketAcl
azione sul bucket Amazon S3. -
La seconda istruzione consente di registrare nel caso in cui il percorso venga modificato da percorso dell'organizzazione a percorso solo per quell'account.
-
La terza istruzione consente la registrazione di un percorso organizzativo.
Il criterio di esempio include una chiave di condizione aws:SourceArn
per la policy del bucket Amazon S3. La chiave della condizione globaleaws:SourceArn
aiuta a garantire che CloudTrail scrive nel bucket solo per uno o più percorsi specifici. In un trail dell'organizzazione, il valore di aws:SourceArn
deve essere un ARN trail di proprietà dell'account di gestione e utilizza l'ID dell'account di gestione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::
myOrganizationBucket
", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket
/AWSLogs/managementAccountID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket
/AWSLogs/o-organizationID
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region
:managementAccountID
:trail/trailName
" } } } ] }
Questa policy di esempio non consente agli utenti degli account membri di accedere ai file di log creati per l'organizzazione. Per impostazione predefinita, i file di log dell'organizzazione sono accessibili solo per l'account di gestione. Per informazioni su come permettere l'accesso in lettura al bucket Amazon S3 per gli utenti IAM degli account membri, consulta Condivisione CloudTrail file di log traAWSconti.
Abilitazione CloudTrail come servizio affidabile inAWS Organizations
Prima di poter creare un percorso dell'organizzazione, devi abilitare tutte le caratteristiche in Organizations. Per ulteriori informazioni, consulta Abilitazione di tutte le caratteristiche nell'organizzazione oppure esegui il comando seguente utilizzando un profilo con autorizzazioni sufficienti nell'account di gestione:
aws organizations enable-all-features
Dopo aver abilitato tutte le funzionalità, devi configurare Organizations to trust CloudTrail come un servizio affidabile.
Per creare una relazione di servizio affidabile traAWS Organizationse CloudTrail, apri un terminale o una riga di comando e usa un profilo nell'account di gestione. Eseguire il comando aws organizations enable-aws-service-access
come dimostrato nel seguente esempio.
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
Utilizzo di create-trail
Creazione di un percorso organizzativo applicabile a tutte le regioni
Per creare un percorso organizzativo che si applichi a tutte le regioni, aggiungi il--is-organization-trail
e--is-multi-region-trail
opzioni.
Nota
Durante la creazione o l'aggiornamento di un trail dell'organizzazione con AWS CLI, devi utilizzare un profilo AWS CLI nell'account di gestione o nell'account dell'amministratore delegato con autorizzazioni sufficienti.
L'esempio seguente crea un percorso organizzativo che invia i log di tutte le regioni a un bucket esistente denominato
:my-bucket
aws cloudtrail create-trail --name
my-trail
--s3-bucket-namemy-bucket
--is-organization-trail --is-multi-region-trail
Per confermare che il percorso esiste in tutte le regioni,IsOrganizationTrail
eIsMultiRegionTrail
i parametri nell'output sono entrambi impostati sutrue
:
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket
" }
Nota
Esegui il comando start-logging
per avviare la registrazione per il percorso. Per ulteriori informazioni, consulta Arresto e avvio della registrazione di log per un trail.
Creazione di un percorso organizzativo come percorso a regione singola
Il comando seguente crea un percorso dell'organizzazione che registra eventi in un solo percorso dell'organizzazioneRegione AWS, noto anche come percorso a regione singola. IlAWSLa regione in cui vengono registrati eventi è la regione specificata nel profilo di configurazione perAWS CLI.
aws cloudtrail create-trail --name
my-trail
--s3-bucket-namemy-bucket
--is-organization-trail
Per ulteriori informazioni, consulta Requisiti di denominazione.
Output di esempio:
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket
" }
Per impostazione predefinita,create-trail
il comando crea un percorso a regione singola che non abilita la convalida dei file di registro.
Nota
Esegui il comando start-logging
per avviare la registrazione per il percorso.
Esecuzione di update-trail per aggiornare un percorso dell'organizzazione
Puoi eseguire il comando update-trail
per modificare le impostazioni di configurazione per un percorso dell'organizzazione o per applicare un percorso esistente per un singolo account AWS a un'intera organizzazione. Ricorda che puoi eseguireupdate-trail
comando solo dalla regione in cui è stato creato il percorso.
Nota
Se utilizzi il pluginAWS CLIo uno deiAWSSDK per aggiornare un percorso, assicurati che la relativa policy del bucket sia up-to-date. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione con AWS Command Line Interface.
Durante la creazione o l'aggiornamento di un trail dell'organizzazione con AWS CLI, devi utilizzare un profilo AWS CLI nell'account di gestione o nell'account dell'amministratore delegato con autorizzazioni sufficienti.
Applicazione di un trail esistente a un'organizzazione
Per modificare un percorso esistente in modo che sia valido anche per un'organizzazione anziché per un singolo account AWS, aggiungi l'opzione --is-organization-trail
, come indicato nell'esempio seguente.
aws cloudtrail update-trail --name
my-trail
--is-organization-trail
Per confermare che il percorso ora è valido per l'organizzazione, il parametro IsOrganizationTrail
nell'output ha il valore true
.
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket
" }
Nell'esempio precedente, il percorso era configurato per essere applicato a tutte le regioni ("IsMultiRegionTrail": true
). Verrà visualizzato un percorso che si applica solo a una singola regione"IsMultiRegionTrail": false
nell'output.
Conversione di un percorso organizzativo che si applica a una regione in modo da applicarlo a tutte le regioni
Per modificare un percorso dell'organizzazione esistente in modo che si applichi a tutte le regioni, aggiungi il--is-multi-region-trail
opzione come illustrato nell'esempio seguente.
aws cloudtrail update-trail --name
my-trail
--is-multi-region-trail
Per confermare che il percorso ora si applica a tutte le regioni,IsMultiRegionTrail
il parametro nell'output ha un valore ditrue
.
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket
" }