Creazione di un percorso per un'organizzazione

Se hai creato un'organizzazione in AWS Organizations, puoi creare un percorso che registra tutti gli eventi per tutti gli account AWS dell'organizzazione. Questa soluzione viene talvolta chiamata percorso dell'organizzazione.

L'account di gestione dell'organizzazione può assegnare un amministratore delegato per gestire i trail dell'organizzazione. Per ulteriori informazioni sull'aggiunta di un amministratore delegato, consulta Aggiunta di un amministratore delegato CloudTrail.

Puoi anche scegliere di modificare un trail esistente nell'account di gestione o nell'account dell'amministratore delegato e applicarlo a un'organizzazione, trasformandolo in un trail dell'organizzazione. I percorsi dell'organizzazione registrano eventi per l'account di gestione e per tutti gli account membri dell'organizzazione. Per ulteriori informazioni su AWS Organizations, consulta Concetti e terminologia di Organizations.

Nota

Per creare un trail dell'organizzazione, devi effettuare l'accesso con l'account di gestione o con l'account dell'amministratore delegato dell'organizzazione. Per creare un trail dell'organizzazione, devi inoltre disporre delle autorizzazioni sufficienti per l'utente o il ruolo IAM dell'account di gestione o dell'account dell'amministratore delegato. Se non disponi di autorizzazioni sufficienti, l'opzione per applicare un trail a un'organizzazione non è disponibile.

Quando crei un percorso dell'organizzazione, viene creato un percorso con il nome che assegni in ogni account AWS appartenente all'organizzazione. Gli utenti con autorizzazioni CloudTrail negli account membri possono vedere questo percorso quando accedono alla console AWS CloudTrail dai propri account AWS o quando eseguono comandi della AWS CLI, come ad esempio describe-trail. Tuttavia, gli utenti negli account membri non dispongono di autorizzazioni sufficienti per eliminare il percorso dell'organizzazione, attivare o disattivare la registrazione, modificare i tipi di eventi registrati o modificare in altro modo il percorso dell'organizzazione.

Di default, quando crei un percorso dell'organizzazione nella console CloudTrail, il percorso è del tipo multi-regione, ossia registra gli eventi provenienti da tutte le regioni di ciascun account dell'organizzazione, ma solo nella partizione AWS in cui il percorso viene creato. Per registrare gli eventi da tutte le regioni in tutte le partizioni AWS dell'organizzazione, crea un percorso multi-regione in ciascuna partizione.

Quando crei un percorso dell'organizzazione nella console o quando abiliti CloudTrail come servizio attendibile in Organizations, viene creato un ruolo collegato al servizio per eseguire le attività di registrazione negli account membri dell'organizzazione. Questo ruolo è denominato AWSServiceRoleForCloudTrail ed è necessario affinché CloudTrail registri gli eventi di un'organizzazione. Se un account AWS viene aggiunto a un'organizzazione, il percorso dell'organizzazione e il ruolo collegato al servizio vengono aggiunti all'account AWS e la registrazione inizia automaticamente per quell'account nel percorso dell'organizzazione. Se un account AWS viene rimosso da un'organizzazione, il percorso dell'organizzazione e il ruolo collegato al servizio vengono eliminati dall'account AWS che non fa più parte dell'organizzazione. Tuttavia, i file di log per l'account rimosso creati prima della rimozione dell'account rimangono comunque nel bucket Simple Storage Service (Amazon S3) in cui sono archiviati per il percorso.

Se l'account di gestione di un'organizzazione AWS Organizations crea un trail dell'organizzazione ma successivamente viene rimosso da tale ruolo, qualsiasi trail dell'organizzazione creato utilizzando tale account diventa un trail non dell'organizzazione.

Nell'esempio seguente, un utente dell'account di gestione 111111111111 crea un percorso denominato MyOrganizationTrail per l'organizzazione o-exampleorgid. Il percorso registra l'attività per tutti gli account dell'organizzazione nello stesso bucket Amazon S3. Tutti gli account dell'organizzazione possono vedere MyOrganizationTrail nel proprio elenco di percorsi, ma gli account membri non sono in grado di rimuovere o modificare il percorso dell'organizzazione. Solo l'account di gestione o l'account dell'amministratore delegato può modificare o eliminare il trail per l'organizzazione. Solo l'account di gestione può rimuovere un account membro da un'organizzazione. In modo analogo, di default, solo l'account di gestione ha accesso al bucket Simple Storage Service (Amazon S3) my-organization-bucket del percorso e ai registri contenuti al suo interno. La struttura del bucket di alto livello per i file di log contiene una cartella denominata con l'ID dell'organizzazione, contenente a sua volta delle sottocartelle denominate con gli ID account per ciascun account dell'organizzazione. Gli eventi per ogni account membro vengono registrati nella cartella corrispondente all'ID dell'account membro. Se l'account membro 444444444444 viene rimosso dall'organizzazione, MyOrganizationTrail e il ruolo collegato al servizio non appaiono più nell'account AWS 444444444444 e il percorso dell'organizzazione non registra alcun altro evento per tale account. Tuttavia, la cartella 444444444444 rimane nel bucket Amazon S3, con tutti i log creati prima della rimozione dell'account dall'organizzazione.

Panoramica dei concetti di base di un'organizzazione di esempio in Organizations, delle modalità con cui l'organizzazione viene registrata tramite un percorso dell'organizzazione CloudTrail e della struttura della cartella di alto livello risultante nel bucket Amazon S3

In questo esempio, l'ARN del percorso creato nell'account di gestione è aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Questo ARN è l'ARN per il trail membro anche in tutti gli account membri.

I trail dell'organizzazione sono simili ai trail standard per molti aspetti. È possibile creare più trail per la propria organizzazione e scegliere se creare un trail dell'organizzazione in tutte le regioni o in una singola regione e quali tipi di eventi registrare nel trail dell'organizzazione, proprio come in qualsiasi altro trail. Tuttavia, non vi sono alcune differenze. Ad esempio, quando crei un trail nella console e scegli se registrare gli eventi di dati per i bucket Amazon S3 o le funzioni AWS Lambda, le uniche risorse elencate nella console CloudTrail saranno quelle dell'account di gestione o dell'account dell'amministratore delegato, ma potrai aggiungere gli ARN delle risorse negli account membri. Gli eventi di dati per le risorse dell'account membro specificato vengono registrati senza dover configurare manualmente l'accesso di più account a tali risorse. Per ulteriori informazioni sulla registrazione degli eventi di gestione, degli eventi Insights e degli eventi di dati, consulta Utilizzo dei file di log di CloudTrail.

Nota

Nella console crei un percorso che registra in tutte le regioni. Si tratta di una best practice consigliata. L'attività di registrazione in tutte le regioni ti aiuta a mantenere l'ambiente AWS più sicuro. Per creare un percorso basato su una singola regione, utilizzare la AWS CLI.

Puoi inoltre configurare altri servizi AWS per analizzare ulteriormente e agire sui dati di eventi raccolti nei log di CloudTrail per un percorso dell'organizzazione, nello stesso modo adottato per qualsiasi altro percorso. Ad esempio, puoi analizzare i dati in un percorso dell'organizzazione utilizzando Amazon Athena. Per ulteriori informazioni, consulta Integrazioni dei servizi AWS con i registri CloudTrail.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dei percorsi con la AWS CLI

Cronologia degli eventi e percorsi dell'organizzazione