Criando uma trilha para uma organização com o AWS CLI - AWS CloudTrail
Criar ou atualizar um bucket do Amazon S3 a ser usado para armazenar os arquivos de log de uma trilha da organizaçãoHabilitando CloudTrail como um serviço confiável em AWS OrganizationsUsar create-trailExecutar update-trail para atualizar uma trilha da organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criando uma trilha para uma organização com o AWS CLI

Você pode criar uma trilha da organização usando a AWS CLI. AWS CLI É atualizado regularmente com funcionalidades e comandos adicionais. Para ajudar a garantir o sucesso, certifique-se de ter instalado ou atualizado para uma AWS CLI versão recente antes de começar.

nota

Os exemplos nesta seção são específicos para a criação e atualização de trilhas da organização. Para exemplos de uso do AWS CLI para gerenciar trilhas, consulte Gerenciando trilhas com o AWS CLI Configurando o monitoramento CloudWatch de registros com o AWS CLI e. Ao criar ou atualizar uma trilha da organização com o AWS CLI, você deve usar um AWS CLI perfil na conta de gerenciamento ou na conta de administrador delegado com permissões suficientes. Se estiver convertendo uma trilha da organização em uma trilha não pertencente à organização, será necessário usar a conta de gerenciamento da respectiva organização.

Você deve configurar o bucket do Amazon S3 usado para uma trilha de organização com permissões suficientes.

Criar ou atualizar um bucket do Amazon S3 a ser usado para armazenar os arquivos de log de uma trilha da organização

Você deve especificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha de organização. Esse bucket deve ter uma política que CloudTrail permita colocar os arquivos de log da organização no bucket.

Veja a seguir um exemplo de política para um bucket do Amazon S3 chamado DOC-EXAMPLE-BUCKET, que pertence à conta de gerenciamento da organização. Substitua DOC-EXAMPLE-BUCKET, region, managementAccountId, trailName e o-OrganizationID pelos valores da sua organização

Essa política de bucket consiste em três instruções.

  • A primeira declaração permite chamar CloudTrail a GetBucketAcl ação do Amazon S3 no bucket do Amazon S3.

  • A segunda permite o registro em log caso a trilha seja alterada de uma trilha da organização para uma trilha somente dessa conta.

  • A terceira instrução permite o registro em log para uma trilha da organização.

O exemplo de política inclui uma chave de condição aws:SourceArn para a política de bucket do Amazon S3. A chave de condição global do IAM aws:SourceArn ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para uma trilha ou trilhas específicas. Em uma trilha da organização, o valor de aws:SourceArn deve ser um ARN de trilha que pertença à conta de gerenciamento e use a ID da conta de gerenciamento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailOrganizationWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        }
    ]
}

Essa política de exemplo não permite que usuários de contas-membro acessem os arquivos de log criados para a organização. Por padrão, os arquivos de log da organização poderão ser acessados somente pela conta de gerenciamento. Para obter informações sobre como conceder acesso de leitura ao bucket do Amazon S3 para usuários do IAM nas contas-membro, consulte Compartilhamento CloudTrail de arquivos de log entre AWS contas.

Habilitando CloudTrail como um serviço confiável em AWS Organizations

Antes de criar uma trilha da organização, primeiro é necessário habilitar todos os recursos no Organizations. Para obter mais informações, consulte Habilitar todos os recursos na sua organização ou execute o seguinte comando usando um perfil com permissões suficientes na conta de gerenciamento:

aws organizations enable-all-features

Depois de habilitar todos os recursos, você deve configurar o Organizations to trust CloudTrail como um serviço confiável.

Para criar a relação de serviço confiável entre AWS Organizations e CloudTrail, abra um terminal ou linha de comando e use um perfil na conta de gerenciamento. Execute o comando aws organizations enable-aws-service-access, conforme demonstrado no exemplo a seguir.

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Usar create-trail

Criar uma trilha da organização que se aplica a todas as regiões

Para criar uma trilha da organização que se aplica a todas as regiões, adicione as opções --is-organization-trail e --is-multi-region-trail.

nota

Ao criar uma trilha da organização com o AWS CLI, você deve usar um AWS CLI perfil na conta de gerenciamento ou na conta de administrador delegado com permissões suficientes.

O exemplo a seguir cria uma trilha da organização que fornece logs de todas as regiões a um bucket existente chamado DOC-EXAMPLE-BUCKET:

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail --is-multi-region-trail

Para confirmar se a trilha existe em todas as regiões, os parâmetros IsOrganizationTrail e IsMultiRegionTrail no resultado estão configurados como true:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
nota

Execute o comando start-logging para iniciar o registro da sua trilha. Para ter mais informações, consulte Interromper e iniciar o registro de uma trilha.

Criar uma trilha da organização como uma trilha de região única

O comando a seguir cria uma trilha organizacional que registra somente eventos em uma única trilha Região da AWS, também conhecida como trilha de região única. A AWS região em que os eventos são registrados é a região especificada no perfil de configuração do AWS CLI.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-organization-trail

Para ter mais informações, consulte Requisitos de nomenclatura para CloudTrail recursos, buckets S3 e chaves KMS.

Exemplo de resultado:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Por padrão, o comando create-trail cria uma trilha de região única que não habilita a validação do arquivo de log.

nota

Execute o comando start-logging para iniciar o registro da sua trilha.

Executar update-trail para atualizar uma trilha da organização

Você pode executar o comando update-trail para alterar as definições de configuração de uma trilha da organização ou aplicar uma trilha existente de uma única conta da AWS a toda a organização. Lembre-se de que só é possível executar o comando update-trail na região em que a trilha foi criada.

nota

Se você usa o AWS CLI ou um dos AWS SDKs para atualizar uma trilha, verifique se a política de bucket da trilha é up-to-date. Para ter mais informações, consulte Criando uma trilha para uma organização com o AWS CLI.

Ao atualizar uma trilha da organização com o AWS CLI, você deve usar um AWS CLI perfil na conta de gerenciamento ou na conta de administrador delegado com permissões suficientes. Se você quiser converter uma trilha da organização em uma trilha não pertencente à organização, deverá usar a conta de gerenciamento da organização, porque a conta de gerenciamento é a proprietária de todos os recursos da organização.

CloudTrail atualiza as trilhas da organização nas contas dos membros, mesmo que a validação do recurso falhe. Exemplos de falhas de validação incluem:

  • uma política incorreta de bucket do Amazon S3

  • uma política de tópicos incorreta do Amazon SNS

  • incapacidade de entregar para um grupo de CloudWatch registros de registros

  • permissão insuficiente para criptografar usando uma chave KMS

Uma conta membro com CloudTrail permissões pode ver qualquer falha de validação de uma trilha da organização visualizando a página de detalhes da trilha no CloudTrail console ou executando o AWS CLI get-trail-statuscomando.

Aplicar uma trilha existente a uma organização

Para alterar uma trilha existente para que ela também se aplique a uma organização em vez de a uma única AWS conta, adicione a --is-organization-trail opção, conforme mostrado no exemplo a seguir.

nota

Use a conta de gerenciamento para transformar uma trilha existente não pertencente à organização em uma trilha da organização.

aws cloudtrail update-trail --name my-trail --is-organization-trail

Para confirmar se a trilha agora se aplica à organização, o parâmetro IsOrganizationTrail no resultado mostra um valor de true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

No exemplo anterior, a trilha foi configurada para ser aplicada a todas as regiões ("IsMultiRegionTrail": true). Uma trilha aplicada somente a uma única região mostraria o resultado "IsMultiRegionTrail": false na saída.

Converter uma trilha da organização que se aplica a uma única região para que ela se aplique a todas as regiões

Para alterar uma trilha da organização existente para que ela também se aplique a todas as regiões, adicione a opção --is-multi-region-trail, conforme mostrado no exemplo a seguir.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar se a trilha agora se aplica a todas as regiões, o parâmetro IsMultiRegionTrail no resultado mostra um valor de true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}