AWS CloudTrail e AWS Organizations - AWS Organizations

AWS CloudTrail e AWS Organizations

O AWS CloudTrail é um serviço da AWS que ajuda você a habilitar a governança, a conformidade, as auditorias operacionais e as auditorias de risco em sua Conta da AWS. Usando o AWS CloudTrail, um usuário em uma conta de gerenciamento pode criar uma trilha da organização que registra em log todos os eventos de todas as Contas da AWS dessa organização. As trilhas da organização são aplicadas automaticamente a todas as contas-membro da organização. As contas-membro podem ver a trilha da organização, mas não pode modificá-la ou excluí-la. Por padrão, as contas-membro não têm acesso aos arquivos de log da trilha da organização no bucket do Amazon S3. Isso ajuda você a aplicar e impor sua estratégia de registro de eventos em log de modo uniforme em todas as contas de sua organização.

Para obter informações consulte Criar uma trilha para uma organização no Guia do usuário do AWS CloudTrail.

Use as informações a seguir para ajudá-lo a integrar o AWS CloudTrail ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o CloudTrail realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o CloudTrail e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForCloudTrail

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo CloudTrail concedem acesso às seguintes entidades de serviço primárias:

  • cloudtrail.amazonaws.com

Habilitar o acesso confiável no CloudTrail

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do AWS CloudTrail ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS CloudTrail para habilitar a integração com o Organizations. Isso permite que o AWS CloudTrail execute qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS CloudTrail. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do AWS CloudTrail, não é necessário concluir estas etapas.

Você deve fazer login com sua conta de gerenciamento do AWS Organizations para criar uma trilha da organização. Se você criar a trilha no console do AWS CloudTrail, o acesso confiável será configurado automaticamente para você. Se você optar por criar uma trilha da organização usando a AWS CLI ou a API da AWS, você deverá configurar o acesso confiável manualmente. Para obter mais informações, consulte Habilitar o CloudTrail como um serviço confiável no AWS Organizations no Guia do usuário do AWS CloudTrail.

Você pode habilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para habilitar o acesso confiável a serviços usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS CloudTrail como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal cloudtrail.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no CloudTrail

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

O AWS CloudTrail requer acesso confiável com o AWS Organizations para trabalhar com trilhas da organização. Se você desabilitar o acesso confiável usando o AWS Organizations enquanto estiver usando o AWS CloudTrail para trilhas da organização, as trilhas deixarão de funcionar para as contas-membro, pois o CloudTrail não poderá acessar a organização. As trilhas da organização permanecem, tal como a função AWSServiceRoleForCloudTrail criada para a integração entre o CloudTrail e o AWS Organizations. Se você reabilitar o acesso confiável, o CloudTrail continuará a funcionar como antes, sem que seja necessário reconfigurar as trilhas.

Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar acesso confiável com o AWS CloudTrail.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do AWS CloudTrail e escolha o nome do serviço.

  3. Escolha Disable trusted access (Desabilitar acesso confiável).

  4. Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

  5. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS CloudTrail que agora ele pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS CloudTrail como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal cloudtrail.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess