Best practice relative alla sicurezza nei trail dell'organizzazione

Preparazione per la creazione di un percorso per la tua organizzazione

Prima di creare un trail per la tua organizzazione, assicurati che sia l'account di gestione dell'organizzazione che l'account di gestione siano configurati correttamente per la creazione di trail.

La tua organizzazione deve disporre di tutte le caratteristiche abilitate prima di poter creare un trail. Per ulteriori informazioni, consulta Abilitazione di tutte le caratteristiche nell'organizzazione.
L'account di gestione o l'account dell'amministratore delegato deve avere il ruolo AWSServiceRoleForOrganizations. Questo ruolo viene creato automaticamente da Organizations quando crei l'organizzazione ed è necessario affinché CloudTrail registri gli eventi per un'organizzazione. Per ulteriori informazioni, consulta Organizations e ruoli collegati ai servizi.
L'utente o il ruolo IAM che verrà utilizzato per creare il trail dell'organizzazione nell'account di gestione o nell'account dell'amministratore delegato deve disporre di autorizzazioni sufficienti per creare un trail dell'organizzazione. Per creare un percorso dell'organizzazione, è necessario disporre almeno della policy AWSCloudTrail_FullAccess o delle autorizzazioni equivalenti applicate. Devi inoltre disporre di autorizzazioni sufficienti in IAM e Organizations per creare il ruolo collegato al servizio e abilitare l'accesso sicuro. La policy di esempio seguente mostra le autorizzazioni minime richieste.

Nota
La policy AWSCloudTrail_FullAccess non è progettata per essere condivisa globalmente nell'account AWS. Al contrario, deve essere limitata agli amministratori dell'account AWS a causa delle informazioni altamente sensibili raccolte da CloudTrail. Gli utenti con questo ruolo hanno la possibilità di disabilitare o riconfigurare le funzioni di auditing più sensibili e importanti negli account AWS. Per questo motivo, l'accesso a questa policy deve essere strettamente controllato e monitorato.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```
Per utilizzare la AWS CLI o le API CloudTrail per creare un percorso dell'organizzazione, devi abilitare l'accesso sicuro per CloudTrail in Organizations e creare manualmente un bucket Amazon S3 con una policy che permetta la registrazione per un percorso dell'organizzazione. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione con AWS Command Line Interface.

Per utilizzare un ruolo IAM esistente per aggiungere il monitoraggio di un trail dell'organizzazione a File di log Amazon CloudWatch, devi modificare manualmente il ruolo IAM per permettere la distribuzione del gruppo CloudWatch Logs per l'account di gestione o l'account dell'amministratore delegato, come mostrato nell'esempio seguente.

Nota

È necessario utilizzare un ruolo IAM e un gruppo di log di CloudWatch Logs esistente nel proprio account. Non è possibile utilizzare un ruolo IAM o un gruppo di log di CloudWatch Logs di proprietà di un altro account.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Per ulteriori informazioni su CloudTrail e Amazon CloudWatch Logs, consultaMonitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs. Inoltre, considera i limiti di CloudWatch Logs e le considerazioni sui prezzi per del servizio prima di decidere di abilitare l'esperienza per un percorso dell'organizzazione. Per ulteriori informazioni, consulta Limiti di CloudWatch Logs e Prezzi di Amazon CloudWatch.

Per registrare eventi di dati nel percorso dell'organizzazione per risorse specifiche negli account membri, prepara un elenco di Amazon Resource Name (ARN) per ciascuna delle risorse. Le risorse dell'account membro non vengono visualizzate nella console CloudTrail quando crei un percorso. Puoi cercare risorse nell'account di gestione in cui è supportata la raccolta di eventi di dati, ad esempio i bucket S3. In modo analogo, se vuoi aggiungere risorse per i membri specifiche durante la creazione o l'aggiornamento di un percorso dell'organizzazione nella riga di comando, sono necessari gli ARN per tali risorse.

Nota
Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Prima di creare un trail dell'organizzazione dovresti anche esaminare il numero di trail già esistenti nell'account di gestione, nell'account dell'amministratore delegato e negli account membri. CloudTrail limita il numero di percorsi che è possibile creare in ogni regione. Non puoi superare questo limite nella regione in cui crei il trail dell'organizzazione nell'account di gestione o nell'account dell'amministratore delegato. Tuttavia, il trail verrà creato negli account membri anche se questi hanno raggiunto il limite di trail in una regione. Il primo percorso degli eventi di gestione in qualsiasi regione è gratuito, tuttavia si applicano tariffe per i percorsi aggiuntivi. Per ridurre il costo potenziale di un percorso dell'organizzazione, considera l'eliminazione di qualsiasi percorso non necessario negli account di gestione e membri. Per ulteriori informazioni sui prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Best practice relative alla sicurezza nei trail dell'organizzazione

Come best practice di sicurezza, consigliamo di aggiungere la chiave di condizione aws:SourceArn per i criteri delle risorse (come quelli per bucket S3, chiavi KMS o argomenti SNS) utilizzati con un trail dell'organizzazione. Il valore di aws:SourceArn è il trail dell'organizzazione ARN (o ARN, se si utilizza la stessa risorsa per più di un trail, ad esempio lo stesso bucket S3 per archiviare i registri per più di un trail). Ciò garantisce che la risorsa, come un bucket S3, accetti solo i dati associati al trail specifico. L'ARN trail deve utilizzare l'ID account dell'account di gestione. Il seguente frammento di policy mostra un esempio in cui più di un trail utilizza la risorsa.


"Condition": {
    "StringEquals": {
      "AWS:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Per informazioni su come aggiungere chiavi di condizione ai criteri delle risorse, consulta quanto segue:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice per passare dai percorsi dell'account membro ai percorsi dell'organizzazione

Creazione di un percorso per la tua organizzazione nella console