Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

AWS CloudTrail e AWS Organizations

PDF
RSS
Modalità Focus
AWS CloudTrail e AWS Organizations - AWS Organizations
Ruoli collegati ai serviziPrincipali del servizioAbilitazione dell'accesso attendibileDisabilitare l'accesso attendibileAbilitazione dell'amministratore delegatoDisabilitazione di un amministratore delegato per CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudTrail è un AWS servizio che vi aiuta ad abilitare la governance, la conformità e il controllo operativo e dei rischi del vostro Account AWS. Utilizzando AWS CloudTrail, un utente di un account di gestione può creare un percorso organizzativo che registra tutti gli eventi per tutti Account AWS i membri dell'organizzazione. I trail di organizzazione vengono automaticamente applicati a tutti gli account membro dell'organizzazione. Gli account dei membri possono vedere il trail dell'organizzazione, ma non possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membri non hanno accesso ai file di log per il trail dell'organizzazione nel bucket Amazon S3. Questo consente di applicare in modo omogeneo la tua strategia di registrazione di eventi agli account della tua organizzazione.

Per ulteriori informazioni, consulta Creazione di un trail per un'organizzazione nella Guida per l'utente di AWS CloudTrail .

Utilizza le seguenti informazioni per semplificare l'integrazione AWS CloudTrail con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Questo ruolo consente di CloudTrail eseguire operazioni supportate all'interno degli account dell'organizzazione all'interno dell'organizzazione.

Puoi eliminare o modificare questo ruolo solo se disabiliti l'accesso attendibile tra CloudTrail e Organizations o se rimuovi l'account membro dall'organizzazione.

  • AWSServiceRoleForCloudTrail

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da CloudTrail Concedono l'accesso ai seguenti principali di servizio:

  • cloudtrail.amazonaws.com

Abilitazione dell'accesso attendibile con CloudTrail

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Se abiliti l'accesso affidabile creando un percorso dalla AWS CloudTrail console, l'accesso affidabile viene configurato automaticamente (consigliato). Puoi anche abilitare l'accesso affidabile utilizzando la AWS Organizations console. Devi accedere con il tuo account di AWS Organizations gestione per creare un percorso organizzativo.

Se scegli di creare un percorso organizzativo utilizzando AWS CLI o il AWS API, devi configurare manualmente l'accesso affidabile. Per ulteriori informazioni, consulta Enabling CloudTrail as a trusted service AWS Organizations nella Guida per l'AWS CloudTrail utente.

Importante

Ti consigliamo vivamente di utilizzare, quando possibile, la AWS CloudTrail console o gli strumenti per abilitare l'integrazione con Organizations.

È possibile abilitare l'accesso affidabile eseguendo un AWS CLI comando Organizations o chiamando un'APIoperazione Organizations in una delle AWS SDKs.

AWS CLI, AWS API
Per abilitare l'accesso affidabile ai servizi utilizzando OrganizationsCLI/SDK

Utilizza i seguenti AWS CLI comandi o API operazioni per abilitare l'accesso affidabile ai servizi:

  • AWS CLI: enable-aws-service-access

    Esegui il comando seguente per abilitarlo AWS CloudTrail come servizio affidabile con Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: E nableAWSService Accesso

anchor
Per abilitare l'accesso affidabile ai servizi utilizzando OrganizationsCLI/SDK

Utilizza i seguenti AWS CLI comandi o API operazioni per abilitare l'accesso affidabile ai servizi:

  • AWS CLI: enable-aws-service-access

    Esegui il comando seguente per abilitarlo AWS CloudTrail come servizio affidabile con Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: E nableAWSService Accesso

Disabilitazione dell'accesso attendibile con CloudTrail

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

AWS CloudTrail richiede un accesso affidabile AWS Organizations per utilizzare i percorsi organizzativi e gli archivi dati degli eventi organizzativi. Se disabiliti l'accesso affidabile AWS Organizations durante l'utilizzo AWS CloudTrail, tutti gli itinerari organizzativi per gli account dei membri vengono eliminati perché non CloudTrail possono accedere all'organizzazione. Tutti gli itinerari di organizzazione degli account di gestione e gli archivi dati degli eventi organizzativi vengono convertiti in percorsi a livello di account e archivi dati di eventi. Il AWSServiceRoleForCloudTrail ruolo creato per l'integrazione tra CloudTrail e AWS Organizations rimane nell'account. Se riattivi l'accesso affidabile, non CloudTrail interverrà sui percorsi e sugli archivi di dati di eventi esistenti. L'account di gestione deve aggiornare tutti gli itinerari e gli archivi di dati degli eventi a livello di account per applicarli all'organizzazione.

Per convertire un percorso o un data store di eventi a livello di account in un percorso organizzativo o in un data store di eventi organizzativi, procedi come segue:

  • Dalla CloudTrail console, aggiorna il trail o event data store e scegli l'opzione Abilita per tutti gli account della mia organizzazione.

  • Da AWS CLI, procedi come segue:

    • Per aggiornare un percorso, esegui il update-trailcomando e includi il --is-organization-trail parametro.

    • Per aggiornare un archivio dati di eventi, esegui il update-event-data-storecomando e includi il --organization-enabled parametro.

Solo un amministratore dell'account di AWS Organizations gestione può disabilitare l'accesso affidabile con AWS CloudTrail. È possibile disabilitare l'accesso affidabile solo con gli strumenti Organizations, utilizzando la AWS Organizations console, eseguendo un AWS CLI comando Organizations o chiamando un'APIoperazione Organizations in uno dei AWS SDKs.

È possibile disabilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando Organizations o chiamando un'APIoperazione Organizations in una delle AWS SDKs.

AWS Management Console
Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations

  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS CloudTrailnell'elenco dei servizi.

  4. Scegli Disable trusted access (Disabilita accesso attendibile).

  5. Nella finestra di AWS CloudTrail dialogo Disabilita l'accesso affidabile per, digita disabilita per confermare, quindi scegli Disabilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS CloudTrail che ora può disabilitare il funzionamento di quel servizio AWS Organizations utilizzando la console o gli strumenti di servizio.

AWS CLI, AWS API
Per disabilitare l'accesso affidabile ai servizi utilizzando OrganizationsCLI/SDK

È possibile utilizzare i seguenti AWS CLI comandi o API operazioni per disabilitare l'accesso affidabile ai servizi:

  • AWS CLI: disable-aws-service-access

    Esegui il comando seguente per disabilitarlo AWS CloudTrail come servizio affidabile con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: D isableAWSService Accesso

anchoranchor
Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations

  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS CloudTrailnell'elenco dei servizi.

  4. Scegli Disable trusted access (Disabilita accesso attendibile).

  5. Nella finestra di AWS CloudTrail dialogo Disabilita l'accesso affidabile per, digita disabilita per confermare, quindi scegli Disabilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS CloudTrail che ora può disabilitare il funzionamento di quel servizio AWS Organizations utilizzando la console o gli strumenti di servizio.

Abilitazione di un account amministratore delegato per CloudTrail

Quando si utilizza CloudTrail con Organizations, è possibile registrare qualsiasi account all'interno dell'organizzazione per agire come amministratore CloudTrail delegato per gestire i percorsi e gli archivi di dati degli eventi dell'organizzazione per conto dell'organizzazione. Un amministratore delegato è un account membro di un'organizzazione che può eseguire le stesse attività amministrative dell'account di gestione. CloudTrail

Autorizzazioni minime

Solo un amministratore dell'account di gestione Organizations può registrare un amministratore delegato per CloudTrail.

È possibile registrare un account amministratore delegato utilizzando la CloudTrail console o utilizzando l'SDKoperazione Organizations RegisterDelegatedAdministratorCLI. Per registrare un amministratore delegato utilizzando la CloudTrail console, vedi Aggiungere un amministratore CloudTrail delegato.

Disabilitazione di un amministratore delegato per CloudTrail

Solo un amministratore dell'account di gestione Organizations può rimuovere un amministratore delegato per CloudTrail. È possibile rimuovere l'amministratore delegato utilizzando la CloudTrail console o utilizzando l'SDKoperazione Organizations DeregisterDelegatedAdministratorCLI. Per informazioni su come rimuovere un amministratore delegato utilizzando la CloudTrail console, vedere Rimuovere un amministratore CloudTrail delegato.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.