Criar uma trilha para uma organização

Se você criou uma organização em AWS Organizations, você pode criar uma trilha que registra todos os eventos de todos Contas da AWS nessa organização. Algumas vezes, ela é chamada de trilha da organização.

A conta de gerenciamento da organização pode atribuir um administrador delegado para criar novas ou gerenciar trilhas da organização existentes. Para obter mais informações sobre como adicionar um administrador delegado, consulte Adicionar um administrador CloudTrail delegado.

A conta de gerenciamento da organização pode editar uma trilha existente na conta e aplicá-la a uma organização, fazendo dela uma trilha da organização. As trilhas registram eventos para a conta de gerenciamento e todas as contas-membro da organização. Para obter mais informações sobre AWS Organizations, consulte Organizations Terminology and Concepts.

nota

Para criar uma trilha da organização, é necessário estar conectado com a conta de gerenciamento ou de administrador associada à organização. Também é necessário ter permissões suficientes para que o usuário ou perfil na conta de gerenciamento ou de administrador delegado crie a trilha com êxito. Se não tiver permissões suficientes, você não terá a opção de aplicar a trilha a uma organização.

Todas as trilhas da organização criadas usando o console são trilhas da organização em várias regiões que registram eventos da conta habilitada Regiões da AWS em cada membro da organização. Para registrar eventos em todas as AWS partições da sua organização, crie uma trilha organizacional multirregional em cada partição. Você pode criar uma trilha organizacional de uma única região ou de várias regiões usando o. AWS CLI Se você criar uma trilha de região única, registrará atividades somente na trilha Região da AWS (também conhecida como Região de origem).

Embora a maioria Regiões da AWS esteja ativada por padrão para você Conta da AWS, você deve ativar manualmente determinadas regiões (também chamadas de regiões opcionais). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de ativar e desativar regiões no Guia de AWS Account Management referência. Para ver a lista de regiões CloudTrail compatíveis, consulteCloudTrail Regiões suportadas.

Quando você cria uma trilha da organização, uma cópia da trilha com o nome que você dá a ela é criada nas contas dos membros que pertencem à sua organização.

Se a trilha da organização for para uma única região e a região de origem da trilha não for uma região OPT, uma cópia da trilha será criada na região de origem da trilha da organização na conta de cada membro.
Se a trilha da organização for para uma única região e a região de origem da trilha for uma região OPT, uma cópia da trilha será criada na região de origem da trilha da organização nas contas dos membros que habilitaram essa região.
Se a trilha da organização for multirregional e a região de origem da trilha não for uma região opcional, uma cópia da trilha será criada em cada uma habilitada Região da AWS na conta de cada membro. Quando uma conta de membro ativa uma região de adesão, uma cópia da trilha multirregional é criada na região recém-selecionada para a conta membro após a conclusão da ativação dessa região.
Se a trilha da organização for multirregional e a região de origem for uma região opcional, as contas dos membros não enviarão atividades para a trilha da organização, a menos que optem pela trilha multirregional em Região da AWS que a trilha multirregional foi criada. Por exemplo, se você criar uma trilha multirregional e escolher a região da Europa (Espanha) como a região de origem da trilha, somente as contas dos membros que habilitaram a região da Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização.

nota

CloudTrail cria trilhas organizacionais nas contas dos membros, mesmo que a validação de um recurso falhe. Exemplos de falhas de validação incluem:

uma política incorreta de bucket do Amazon S3
uma política de tópicos incorreta do Amazon SNS
incapacidade de entregar para um grupo de CloudWatch registros de registros
permissão insuficiente para criptografar usando uma chave KMS

Uma conta membro com CloudTrail permissões pode ver qualquer falha de validação de uma trilha da organização visualizando a página de detalhes da trilha no CloudTrail console ou executando o AWS CLI get-trail-statuscomando.

Os usuários com CloudTrail permissões nas contas dos membros podem ver as trilhas da organização quando fazem login no AWS CloudTrail console a partir de suas Contas da AWS contas ou quando executam AWS CLI comandos comodescribe-trails. No entanto, os usuários nas contas dos membros não têm permissões suficientes para excluir trilhas da organização, ativar ou desativar o login, alterar os tipos de eventos registrados ou alterar de alguma forma uma trilha da organização.

Quando você cria uma trilha da organização no console ou quando habilita CloudTrail como um serviço confiável no Organizations, isso cria uma função vinculada ao serviço para realizar tarefas de registro nas contas dos membros da sua organização. Essa função é AWSServiceRoleForCloudTrailnomeada e é necessária CloudTrail para registrar eventos de uma organização. Se um Conta da AWS for adicionado a uma organização, a trilha da organização e a função vinculada ao serviço serão adicionadas a ela Conta da AWS, e o registro dessa conta será iniciado automaticamente na trilha da organização. Se um Conta da AWS for removido de uma organização, a trilha da organização e a função vinculada ao serviço serão excluídas da Conta da AWS que não faz mais parte da organização. No entanto, os arquivos de log da conta removida que foram criados antes da remoção da conta continuarão no bucket do Amazon S3, onde os arquivos de log são armazenados para a trilha.

Se a conta de gerenciamento de uma AWS Organizations organização criar uma trilha da organização, mas depois for removida como conta de gerenciamento da organização, qualquer trilha da organização criada usando sua conta se tornará uma trilha não organizacional.

No exemplo a seguir, a conta de gerenciamento da organização 111111111111 cria uma trilha chamada MyOrganizationTrailpara a organização o-example.orgid. A trilha registra a atividade de todas as contas da organização no mesmo bucket do Amazon S3. Todas as contas da organização podem ser vistas MyOrganizationTrailem sua lista de trilhas, mas as contas dos membros não podem remover ou modificar a trilha da organização. Somente a conta de gerenciamento ou a conta de administrador delegado pode alterar ou excluir a trilha para a organização. Somente a conta de gerenciamento pode remover uma conta-membro de uma organização. Da mesma forma, por padrão, somente a conta de gerenciamento tem acesso ao bucket do Amazon S3 my-organization-bucketpara a trilha e aos registros contidos nela. A estrutura de bucket de alto nível para arquivos de log contém uma pasta com o nome do ID da organização e subpastas com os nomes dos IDs de cada conta da organização. Os eventos de cada conta-membro são registrados na pasta que corresponde ao ID da conta-membro. Se a conta do membro 444444444444 for removida da organização MyOrganizationTraile a função vinculada ao serviço não aparecer mais na AWS conta 444444444444, e nenhum outro evento for registrado para essa conta pela trilha da organização. No entanto, a pasta 444444444444 permanece no bucket do Amazon S3, com todos os logs criados antes da remoção da conta da organização.

Uma visão geral conceitual de uma organização de amostra em Organizations e como essa organização é registrada por uma trilha CloudTrail organizacional e qual é a estrutura de pastas de alto nível resultante no bucket do Amazon S3

Neste exemplo, o ARN da trilha criada na conta de gerenciamento é aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Esse também é o ARN da trilha em todas as contas-membro.

As trilhas da organização são semelhantes a trilhas regulares de muitas maneiras. É possível criar várias trilhas para a sua organização e optar por criar uma em todas as regiões ou em uma única região. Também é possível escolher quais tipos de eventos você deseja registrar na sua trilha da organização, assim como em qualquer outra trilha. No entanto, há algumas diferenças. Por exemplo, quando você cria uma trilha no console e escolhe se deseja registrar eventos de dados para buckets ou AWS Lambda funções do Amazon S3, os únicos recursos listados no CloudTrail console são aqueles da conta de gerenciamento, mas você pode adicionar os ARNs dos recursos nas contas dos membros. Os eventos de dados para recursos da conta-membro especificada são registrados sem a necessidade de configurar manualmente o acesso entre contas a esses recursos. Para obter mais informações sobre como registrar em log eventos de gerenciamento, eventos do Insights e eventos de dados, consulte Trabalhar com arquivos de log do CloudTrail.

nota

No console, crie uma trilha para registrar todas as regiões. Essa é uma prática recomendada; registrar atividades em todas as regiões ajuda você a manter seu AWS ambiente mais seguro. Para criar uma trilha de região única, use a AWS CLI.

Você também pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros de uma trilha da organização da mesma forma que faria com qualquer outra trilha. Por exemplo, você pode analisar os dados em uma trilha da organização usando o Amazon Athena. Para ter mais informações, consulte AWS integrações de serviços com registros CloudTrail .

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciando trilhas com o AWS CLI

Histórico de eventos e trilhas da organização