Preparar a criação de uma trilha para sua organização - AWS CloudTrail
Práticas recomendadas de segurança nas trilhas da organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Preparar a criação de uma trilha para sua organização

Antes de criar uma trilha para sua organização, verifique se a conta de gerenciamento ou conta de administrador delegado está configurada corretamente para a criação de trilha.

  • Sua organização deve ter todos os recursos habilitados antes de você criar uma trilha para ela. Para obter mais informações, consulte Habilitar todos os recursos na sua organização.

  • A conta de gerenciamento deve ter a função do AWSServiceRoleForOrganizations. Essa função é criada automaticamente pelo Organizations quando você cria sua organização e é necessária CloudTrail para registrar eventos de uma organização. Para obter mais informações, consulte Organizations e funções vinculadas ao serviço.

  • O perfil ou usuário do IAM que cria a trilha da organização na conta de gerenciamento ou de administrador delegado deve ter permissões suficientes para criar uma trilha da organização. É necessário pelo menos aplicar a política AWSCloudTrail_FullAccess ou uma política equivalente a esse perfil ou usuário. Você também deve ter permissões suficientes no IAM e no Organizations para criar a função vinculada ao serviço e habilitar o acesso confiável. Se você optar por criar um novo bucket do S3 para uma trilha da organização usando o CloudTrail console, sua política também precisa incluir o s3:PutEncryptionConfiguration ação porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. A política de exemplo a seguir mostra as permissões mínimas necessárias.

    nota

    Você não deve compartilhar a AWSCloudTrail_FullAccesspolítica de forma ampla com todos os seus Conta da AWS. Em vez disso, você deve restringi-lo Conta da AWS aos administradores devido à natureza altamente confidencial das informações coletadas pelo CloudTrail. Os usuários com esse perfil têm a capacidade de desabilitar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas Contas da AWS. Por esse motivo, é necessário controlar e monitorar de perto o acesso a essa política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • Para usar as APIs AWS CLI ou as CloudTrail APIs para criar uma trilha organizacional, você deve habilitar o acesso confiável para CloudTrail in Organizations e criar manualmente um bucket do Amazon S3 com uma política que permita o registro de uma trilha organizacional. Para ter mais informações, consulte Criando uma trilha para uma organização com o AWS CLI.

  • Para usar uma função do IAM existente para adicionar monitoramento de uma trilha da organização ao Amazon CloudWatch Logs, você deve modificar manualmente a função do IAM para permitir a entrega de CloudWatch registros das contas membros ao grupo CloudWatch Logs da conta de gerenciamento, conforme mostrado no exemplo a seguir.

    nota

    Você deve usar uma função do IAM e um grupo de CloudWatch registros de registros que exista em sua própria conta. Você não pode usar uma função do IAM ou um grupo de CloudWatch registros de registros de propriedade de uma conta diferente. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    Você pode aprender mais sobre o CloudTrail Amazon CloudWatch Logs inMonitoramento CloudTrail de arquivos de log com o Amazon CloudWatch Logs. Além disso, considere os limites dos CloudWatch registros e as considerações de preço do serviço antes de decidir habilitar a experiência para uma trilha organizacional. Para obter mais informações, consulte Limites de CloudWatch registros e CloudWatchpreços da Amazon.

  • Para registrar eventos de dados na trilha da organização para recursos em contas-membro, tenha pronta uma lista de nomes de recurso da Amazon (ARN) para cada um desses recursos. Os recursos da conta do membro não são exibidos no CloudTrail console quando você cria uma trilha; você pode procurar recursos na conta de gerenciamento na qual a coleta de eventos de dados é suportada, como buckets do S3. Da mesma forma, se você quiser adicionar recursos de membro específicos ao criar ou atualizar uma trilha da organização na linha de comando, precisará dos ARNs desses recursos.

    nota

    Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Você também deve analisar quantas trilhas já existem na conta de gerenciamento e nas contas dos membros antes de criar uma trilha da organização. CloudTrail limita o número de trilhas que podem ser criadas em cada região. Você não pode exceder esse limite na região em que cria a trilha da organização na conta de gerenciamento. No entanto, ela será criada nas contas-membro mesmo que elas tenham atingido o limite de trilhas em uma região. Embora a primeira trilha de eventos de gerenciamento em qualquer região seja gratuita, as trilhas adicionais são cobradas. Para reduzir o possível custo de uma trilha da organização, considere excluir qualquer trilha desnecessária nas contas de gerenciamento e membro. Para obter mais informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

Práticas recomendadas de segurança nas trilhas da organização

Como uma prática recomendada de segurança, sugerimos adicionar a aws:SourceArn chave de condição para políticas de recursos (como aquelas para buckets do S3, chaves KMS ou tópicos do SNS) que você usa com uma trilha da organização. O valor de aws:SourceArn é o ARN da trilha da organização (ou ARNs, se você estiver usando o mesmo recurso para mais de uma trilha, como o mesmo bucket do S3 para armazenar logs de mais de uma trilha). Isso garante que o recurso, como um bucket do S3, aceite somente dados associados à trilha específica. O ARN de trilha deve usar a ID da conta da conta de gerenciamento. O trecho de política a seguir mostra um exemplo em que mais de uma trilha está usando o recurso.

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Para obter informações sobre como adicionar chaves de condição às políticas de recursos, consulte o seguinte: