Creazione di un percorso per un'organizzazione con AWS Command Line Interface - AWS CloudTrail

Creazione di un percorso per un'organizzazione con AWS Command Line Interface

Puoi creare un trail dell'organizzazione utilizzando l'AWS CLI. L'AWS CLI viene regolarmente aggiornata con ulteriori funzionalità e comandi. Assicurati di aver installato o aggiornato la versione di AWS CLI più recente prima di iniziare.

Nota

Gli esempi in questa sezione sono specifici per la creazione e l'aggiornamento di trail dell'organizzazione. Per esempi sull'utilizzo dell'AWS CLI per la gestione dei trail, consultaGestione dei percorsi con la AWS CLI. Durante la creazione o l'aggiornamento di un trail dell'organizzazione con AWS CLI, devi utilizzare un profilo AWS CLI nell'account di gestione o nell'account dell'amministratore delegato con autorizzazioni sufficienti.

Devi configurare il bucket Amazon S3 utilizzato per un percorso dell'organizzazione con autorizzazioni sufficienti.

Creazione o aggiornamento di un bucket Amazon S3 da utilizzare per archiviare i file di log per un percorso dell'organizzazione

Devi specificare un bucket Amazon S3 per ricevere i file di log per un percorso dell'organizzazione. Questo bucket deve avere una policy che permetta a CloudTrail di inserire i file di log per l'organizzazione nel bucket.

Di seguito è riportata una policy di esempio per un bucket Amazon S3 denominato myOrganizationBucket. Questo bucket si trova in un account AWS con l'ID 111111111111, che è l'account di gestione per un'organizzazione con ID o-exampleorgid che permette la registrazione per un percorso dell'organizzazione. Permette inoltre la registrazione per l'account 111111111111 nel caso in cui il percorso venga modificato da percorso dell'organizzazione a percorso solo per tale account. Sostituisci myOrganizationBucket, 111111111111, region e trailName con i valori appropriati per la tua configurazione.

Il criterio di esempio include una chiave di condizione aws:SourceArn per la policy del bucket Amazon S3. La chiave di condizione globale IAM aws:SourceArn aiuta a garantire che CloudTrail scriva sul bucket S3 solo per trail specifici. In un trail dell'organizzazione, il valore di aws:SourceArn deve essere un ARN trail di proprietà dell'account di gestione e utilizza l'ID dell'account di gestione.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myOrganizationBucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:111111111111:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:111111111111:trail/trailName" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:111111111111:trail/trailName" } } } ] }

Questa policy di esempio non consente agli utenti degli account membri di accedere ai file di log creati per l'organizzazione. Per impostazione predefinita, i file di log dell'organizzazione sono accessibili solo per l'account di gestione. Per informazioni su come permettere l'accesso in lettura al bucket Amazon S3 per gli utenti IAM degli account membri, consulta Condivisione di file di log di CloudTrail tra account AWS.

Abilitazione di CloudTrail come servizio sicuro in AWS Organizations

Prima di poter creare un percorso dell'organizzazione, devi abilitare tutte le caratteristiche in Organizations. Per ulteriori informazioni, consulta Abilitazione di tutte le caratteristiche nell'organizzazione oppure esegui il comando seguente utilizzando un profilo con autorizzazioni sufficienti nell'account di gestione:

aws organizations enable-all-features

Dopo aver abilitato tutte le caratteristiche, devi configurare Organizations in modo che consideri CloudTrail un servizio attendibile.

Per creare la relazione di servizio attendibile tra AWS Organizations e CloudTrail, apri un terminale o una riga di comando e utilizza un profilo nell'account di gestione. Eseguire il comando aws organizations enable-aws-service-access come dimostrato nel seguente esempio.

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Utilizzo di create-trail

Creazione di un trail dell'organizzazione valido per tutte le regioni

Per creare un percorso dell'organizzazione valido per tutte le regioni, utilizza le opzioni --is-organization-trail e --is-multi-region-trail.

Nota

Durante la creazione o l'aggiornamento di un trail dell'organizzazione con AWS CLI, devi utilizzare un profilo AWS CLI nell'account di gestione o nell'account dell'amministratore delegato con autorizzazioni sufficienti.

L'esempio seguente crea un trail dell'organizzazione che distribuisce i log da tutte le regioni in un bucket esistente denominato my-bucket:

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail --is-multi-region-trail

Per confermare che il percorso esiste in tutte le regioni, i parametri IsOrganizationTrail e IsMultiRegionTrail nell'output sono entrambi impostati su true:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
Nota

Esegui il comando start-logging per avviare la registrazione per il percorso. Per ulteriori informazioni, consulta Arresto e avvio della registrazione di log per un trail.

Creazione di un trail dell'organizzazione come trail basato su una singola regione

Il comando seguente crea un percorso dell'organizzazione che registra solo gli eventi in una singola regione AWS, anche noto come percorso basato su una singola regione. La regione AWS in cui verranno registrati gli eventi è la regione specificata nel profilo di configurazione per la AWS CLI.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail

Per ulteriori informazioni, consulta Requisiti di denominazione dei percorsi CloudTrail.

Output di esempio:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }

Per impostazione predefinita, il comando create-trail crea un percorso basato su una singola regione che non permette la convalida dei file di log.

Nota

Esegui il comando start-logging per avviare la registrazione per il percorso.

Esecuzione di update-trail per aggiornare un percorso dell'organizzazione

Puoi eseguire il comando update-trail per modificare le impostazioni di configurazione per un percorso dell'organizzazione o per applicare un percorso esistente per un singolo account AWS a un'intera organizzazione. Ricorda che puoi eseguire il comando update-trail solo dalla regione in cui è stato creato il percorso.

Nota

Se utilizzi la AWS CLI o uno degli SDK AWS per aggiornare un percorso, assicurati che la relativa policy del bucket sia aggiornata. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione con AWS Command Line Interface.

Durante la creazione o l'aggiornamento di un trail dell'organizzazione con AWS CLI, devi utilizzare un profilo AWS CLI nell'account di gestione o nell'account dell'amministratore delegato con autorizzazioni sufficienti.

Applicazione di un trail esistente a un'organizzazione

Per modificare un percorso esistente in modo che sia valido anche per un'organizzazione anziché per un singolo account AWS, aggiungi l'opzione --is-organization-trail, come indicato nell'esempio seguente.

aws cloudtrail update-trail --name my-trail --is-organization-trail

Per confermare che il percorso ora è valido per l'organizzazione, il parametro IsOrganizationTrail nell'output ha il valore true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }

Nell'esempio precedente, il percorso era stato configurato per essere valido per a tutte le regioni ("IsMultiRegionTrail": true). Un percorso valido solo per una singola regione visualizzerebbe "IsMultiRegionTrail": false nell'output.

Conversione di un trail dell'organizzazione valido per una regione in un trail valido per tutte le regioni

Per modificare un percorso dell'organizzazione esistente in modo che sia valido per tutte le regioni, aggiungi l'opzione --is-multi-region-trail, come indicato nell'esempio seguente.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Per confermare che il percorso ora è valido per tutte le regioni, il parametro IsMultiRegionTrail nell'output ha il valore true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }