Creazione di un percorso per un'organizzazione - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un percorso per un'organizzazione

Se hai creato un'organizzazione in AWS Organizations, puoi creare un percorso che registri tutti Account AWS gli eventi di quell'organizzazione. Questa soluzione viene talvolta chiamata percorso dell'organizzazione.

L'account di gestione dell'organizzazione può assegnare un amministratore delegato per creare nuovi percorsi organizzativi o gestire i percorsi organizzativi esistenti. Per ulteriori informazioni sull'aggiunta di un amministratore delegato, consulta Aggiungere un amministratore CloudTrail delegato.

L'account di gestione dell'organizzazione può modificare un percorso esistente nel proprio account e applicarlo a un'organizzazione, trasformandolo in un percorso dell'organizzazione. I percorsi dell'organizzazione registrano eventi per l'account di gestione e per tutti gli account membri dell'organizzazione. Per ulteriori informazioni su AWS Organizations, vedere Organizations Terminology and Concepts.

Nota

Per creare un percorso dell'organizzazione, devi effettuare l'accesso con l'account di gestione o con l'account dell'amministratore delegato dell'organizzazione. È inoltre necessario disporre di autorizzazioni sufficienti per consentire all'utente o al ruolo nell'account di gestione o amministratore delegato di creare il percorso. Se non disponi di autorizzazioni sufficienti, non avrai l'opzione per applicare il percorso a un'organizzazione.

Tutti gli itinerari organizzativi creati utilizzando la console sono percorsi organizzativi multiregionali che registrano gli eventi dagli account abilitati Regioni AWS in ogni membro dell'organizzazione. Per registrare gli eventi in tutte le AWS partizioni dell'organizzazione, crea un itinerario organizzativo multiregionale in ogni partizione. È possibile creare un itinerario organizzativo a regione singola o multiarea utilizzando. AWS CLI Se si crea un itinerario a regione singola, si registra l'attività solo nel percorso Regione AWS (noto anche come regione principale).

Sebbene la Regioni AWS maggior parte sia abilitata di default per la tua Account AWS, devi abilitare manualmente alcune regioni (chiamate anche regioni opzionali). Per informazioni su quali regioni sono abilitate per impostazione predefinita, consulta Considerazioni prima di abilitare e disabilitare le regioni nella AWS Account Management Guida di riferimento. Per l'elenco delle regioni CloudTrail supportate, vedere. CloudTrail Regioni supportate

Quando crei un percorso organizzativo, una copia del percorso con il nome che gli hai assegnato viene creata negli account dei membri che appartengono alla tua organizzazione.

  • Se l'organigramma riguarda una singola regione e la regione di origine del percorso non è una regione Opt, viene creata una copia del percorso nella regione di origine dell'organigramma in ogni account membro.

  • Se il percorso organizzativo è per una regione singola e la regione di origine del percorso è una regione OPT, una copia del percorso viene creata nella regione di origine dell'organizzazione negli account dei membri che hanno abilitato tale regione.

  • Se il percorso organizzativo è multiregionale e la regione di origine del percorso non è una regione che accetta l'iscrizione, viene creata una copia del percorso in ogni account membro abilitato Regione AWS . Quando un account membro abilita una regione con iscrizione, una volta completata l'attivazione di tale regione, viene creata una copia del percorso multiregionale nella regione appena attivata per l'account membro.

  • Se il percorso organizzativo è multiregionale e la regione di origine è una regione con attivazione, gli account dei membri non invieranno attività al percorso organizzativo a meno che non scelgano il luogo in Regione AWS cui è stato creato il percorso multiregionale. Ad esempio, se crei un percorso multiregionale e scegli la regione Europa (Spagna) come regione di origine del percorso, solo gli account membri che hanno abilitato la regione Europa (Spagna) per il proprio account invieranno l'attività dell'account all'organizzazione del percorso.

Nota

CloudTrail crea gli itinerari organizzativi negli account dei membri anche se la convalida di una risorsa fallisce. Alcuni esempi di errori di convalida includono:

  • una policy sui bucket Amazon S3 errata

  • una politica SNS tematica Amazon errata

  • impossibilità di effettuare consegne a un gruppo di log di CloudWatch Logs

  • autorizzazione insufficiente per crittografare utilizzando una chiave KMS

Un account membro con CloudTrail autorizzazioni può visualizzare eventuali errori di convalida di un percorso organizzativo visualizzando la pagina dei dettagli del percorso sulla CloudTrail console o eseguendo il comando. AWS CLI get-trail-status

Gli utenti con CloudTrail autorizzazioni negli account dei membri possono visualizzare gli itinerari organizzativi quando accedono alla AWS CloudTrail console dal proprio Account AWS account o quando AWS CLI eseguono comandi come. describe-trails Tuttavia, gli utenti degli account membro non dispongono di autorizzazioni sufficienti per eliminare gli itinerari organizzativi, attivare o disattivare la connessione, modificare i tipi di eventi registrati o modificare in altro modo un organigramma.

Quando crei un percorso organizzativo nella console o quando lo abiliti CloudTrail come servizio affidabile in Organizations, viene creato un ruolo collegato al servizio per eseguire attività di registrazione negli account dei membri dell'organizzazione. Questo ruolo è denominato AWSServiceRoleForCloudTrailed è necessario per registrare gli eventi CloudTrail di un'organizzazione. Se Account AWS viene aggiunto un account a un'organizzazione, vengono aggiunti l'itinerario organizzativo e il ruolo collegato al servizio e la registrazione per quell' Account AWS account inizia automaticamente nell'organigramma. Se un utente Account AWS viene rimosso da un'organizzazione, l'organigramma e il ruolo collegato ai servizi vengono eliminati dall'organizzazione Account AWS che non fa più parte dell'organizzazione. Tuttavia, i file di log per l'account rimosso creati prima della rimozione dell'account rimangono comunque nel bucket Simple Storage Service (Amazon S3) in cui sono archiviati per il percorso.

Se l'account di gestione di un' AWS Organizations organizzazione crea un percorso organizzativo, ma poi viene rimosso come account di gestione dell'organizzazione, qualsiasi percorso organizzativo creato utilizzando il relativo account diventa un percorso non organizzativo.

Nell'esempio seguente, l'account di gestione dell'organizzazione 1111 crea un percorso denominato MyOrganizationTrail per l'organizzazione o-exampleorgid. Il trail registra l'attività di tutti gli account dell'organizzazione nello stesso bucket Amazon S3. Tutti gli account dell'organizzazione possono vedere MyOrganizationTrail nell'elenco dei percorsi, ma gli account dei membri non possono rimuovere o modificare il percorso dell'organizzazione. Solo l'account di gestione o l'account dell'amministratore delegato può modificare o eliminare il trail per l'organizzazione. Solo l'account di gestione può rimuovere un account membro da un'organizzazione. Analogamente, per impostazione predefinita, solo l'account di gestione ha accesso al bucket Amazon S3 per il percorso e ai log in esso contenuti. La struttura a bucket di alto livello per i file di registro contiene una cartella denominata con l'ID dell'organizzazione e sottocartelle denominate con l'account IDs per ogni account dell'organizzazione. Gli eventi per ogni account membro vengono registrati nella cartella corrispondente all'ID dell'account membro. Se l'account membro 444444444444 viene rimosso dall'organizzazione, MyOrganizationTrail e il ruolo collegato al servizio non viene più visualizzato nell' AWS account 444444444444 e nessun altro evento per quell'account viene registrato dall'organigramma. Tuttavia, la cartella 444444444444 rimane nel bucket Amazon S3, con tutti i log creati prima della rimozione dell'account dall'organizzazione.

Una panoramica concettuale di un'organizzazione di esempio in Organizations.

In questo esempio, il ARN percorso creato nell'account di gestione èaws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Questo ARN vale anche ARN per il percorso di tutti gli account dei membri.

I trail dell'organizzazione sono simili ai trail standard per molti aspetti. È possibile creare più percorsi per la propria organizzazione e scegliere se creare un percorso dell'organizzazione in tutte le Regioni o in una singola Regione e quali tipi di eventi registrare nel percorso dell'organizzazione, proprio come in qualsiasi altro percorso. Tuttavia, non vi sono alcune differenze. Ad esempio, quando crei un trail nella console e scegli se registrare gli eventi relativi ai dati per i bucket o AWS Lambda le funzioni di Amazon S3, le uniche risorse elencate nella CloudTrail console sono quelle per l'account di gestione, ma puoi aggiungere le risorse ARNs for negli account dei membri. Gli eventi di dati per le risorse dell'account membro specificato vengono registrati senza dover configurare manualmente l'accesso di più account a tali risorse. Per ulteriori informazioni sulla registrazione degli eventi di gestione, degli eventi Insights e degli eventi relativi ai dati, consultaRegistrazione degli eventi di gestione, Registrazione degli eventi di dati e. Registrazione degli eventi Insights

Nota

Nella console, crei un percorso multiregionale. Si tratta di una procedura consigliata; la registrazione dell'attività in tutte le regioni dell'utente Account AWS consente di mantenere AWS l'ambiente più sicuro. Per creare un percorso a singola Regione, utilizza la AWS CLI.

Quando visualizzi gli eventi nella Cronologia degli eventi di un'organizzazione in AWS Organizations, puoi visualizzare gli eventi solo per l'utente Account AWS con cui hai effettuato l'accesso. Ad esempio, se hai effettuato l'accesso con l'account di gestione dell'organizzazione, Event history (Cronologia eventi) mostra gli ultimi 90 giorni di eventi di gestione per l'account di gestione. Gli eventi dell'account membro dell'organizzazione non sono visualizzati inEvent history (Cronologia eventi) per l'account di gestione. Per visualizzare gli eventi dell'account membro in Event history (Cronologia eventi), accedi con l'account membro.

È possibile configurare altri AWS servizi per analizzare ulteriormente i dati degli eventi raccolti nei CloudTrail registri di un percorso organizzativo e agire in base a tali dati, nello stesso modo in cui si farebbe per qualsiasi altro percorso. Ad esempio, puoi analizzare i dati in un percorso dell'organizzazione utilizzando Amazon Athena. Per ulteriori informazioni, consulta AWS integrazioni di servizi con registri CloudTrail .

Argomenti