AWS CloudTrail e AWS Organizations - AWS Organizations
Funções vinculadas a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesabilitar acesso confiávelHabilitar administrador delegadoDesabilitando um administrador delegado para CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS CloudTrail e AWS Organizations

AWS CloudTrail é um AWS serviço que ajuda você a viabilizar a governança, a conformidade e a auditoria operacional e de risco do seu Conta da AWS. Usando AWS CloudTrail, um usuário em uma conta de gerenciamento pode criar uma trilha da organização que registra todos os eventos de todos Contas da AWS nessa organização. As trilhas da organização são aplicadas automaticamente a todas as contas-membro da organização. As contas-membro podem ver a trilha da organização, mas não pode modificá-la ou excluí-la. Por padrão, as contas-membro não têm acesso aos arquivos de log da trilha da organização no bucket do Amazon S3. Isso ajuda você a aplicar e impor sua estratégia de registro de eventos em log de modo uniforme em todas as contas de sua organização.

Para obter informações consulte Criar uma trilha para uma organização no Guia do usuário do AWS CloudTrail .

Use as informações a seguir para ajudá-lo a se integrar AWS CloudTrail com AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite CloudTrail realizar operações suportadas nas contas da sua organização em sua organização.

Você pode excluir ou modificar essa função somente se desativar o acesso confiável entre CloudTrail e Organizations ou se remover a conta do membro da organização.

  • AWSServiceRoleForCloudTrail

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pela CloudTrail concedem acesso aos seguintes diretores de serviço:

  • cloudtrail.amazonaws.com

Habilitar o acesso confiável no CloudTrail

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Se você habilitar o acesso confiável criando uma trilha no AWS CloudTrail console, o acesso confiável será configurado automaticamente para você (recomendado). Você também pode ativar o acesso confiável usando o AWS Organizations console. Você deve entrar com sua conta AWS Organizations de gerenciamento para criar uma trilha organizacional.

Se você optar por criar uma trilha organizacional usando a AWS CLI ou a AWS API, deverá configurar manualmente o acesso confiável. Para obter mais informações, consulte Habilitar CloudTrail como um serviço confiável AWS Organizations no Guia AWS CloudTrail do usuário.

Importante

É altamente recomendável que, sempre que possível, você use o AWS CloudTrail console ou as ferramentas para permitir a integração com o Organizations.

Você pode habilitar o acesso confiável executando um AWS CLI comando Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS CLI, AWS API
Para habilitar o acesso confiável a serviços usando a CLI/SDK do Organizations

Você pode usar os seguintes AWS CLI comandos ou operações de API para habilitar o acesso confiável ao serviço:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitá-lo AWS CloudTrail como um serviço confiável com Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: Ativar AWSServiceAccess

Desabilitar o acesso confiável no CloudTrail

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

AWS CloudTrail requer acesso confiável AWS Organizations para trabalhar com trilhas organizacionais e armazenamentos de dados de eventos da organização. Se você desativar o acesso confiável AWS Organizations enquanto estiver usando AWS CloudTrail, todas as trilhas da organização para contas de membros serão excluídas porque não é CloudTrail possível acessar a organização. Todas as trilhas de organização da conta de gerenciamento e os armazenamentos de dados de eventos da organização são convertidos em trilhas no nível da conta e armazenamentos de dados de eventos. A AWSServiceRoleForCloudTrail função criada para integração entre CloudTrail e AWS Organizations permanece na conta. Se você reativar o acesso confiável, não CloudTrail tomará medidas em trilhas e armazenamentos de dados de eventos existentes. A conta de gerenciamento deve atualizar todas as trilhas no nível da conta e os armazenamentos de dados de eventos para aplicá-los à organização.

Para converter uma trilha em nível de conta ou armazenamento de dados de eventos em uma trilha da organização ou armazenamento de dados de eventos da organização, faça o seguinte:

  • No CloudTrail console, atualize o armazenamento de dados da trilha ou do evento e escolha a opção Habilitar para todas as contas na minha organização.

  • No AWS CLI, faça o seguinte:

    • Para atualizar uma trilha, execute o update-trailcomando e inclua o --is-organization-trail parâmetro.

    • Para atualizar um armazenamento de dados de eventos, execute o update-event-data-storecomando e inclua o --organization-enabled parâmetro.

Somente um administrador na conta AWS Organizations de gerenciamento pode desativar o acesso confiável com AWS CloudTrail. Você pode desativar o acesso confiável somente com as ferramentas do Organizations, usando o AWS Organizations console, executando um comando da AWS CLI do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS Management Console
Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha AWS CloudTrailna lista de serviços.

  4. Escolha Disable trusted access (Desabilitar acesso confiável).

  5. Na caixa de AWS CloudTrail diálogo Desabilitar acesso confiável para, digite disable para confirmá-lo e escolha Desabilitar acesso confiável.

  6. Se você for administrador do Only AWS Organizations, informe ao administrador AWS CloudTrail que agora ele pode desativar esse serviço usando o console ou as ferramentas para não trabalhar com ele AWS Organizations.

AWS CLI, AWS API
Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável a serviços:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar AWS CloudTrail como um serviço confiável com Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: Desativar AWSServiceAccess

Habilitando uma conta de administrador delegado para CloudTrail

Ao usar CloudTrail com Organizations, você pode registrar qualquer conta dentro da organização para atuar como administrador CloudTrail delegado para gerenciar as trilhas e os armazenamentos de dados de eventos da organização em nome da organização. Um administrador delegado é uma conta membro em uma organização que pode realizar as mesmas tarefas administrativas da conta de gerenciamento. CloudTrail

Permissões mínimas

Somente um administrador na conta de gerenciamento da Organizations pode registrar um administrador delegado para CloudTrail.

Você pode registrar uma conta de administrador delegado usando o CloudTrail console ou usando a operação Organizations RegisterDelegatedAdministrator CLI ou SDK. Para registrar um administrador delegado usando o CloudTrail console, consulte Adicionar um administrador CloudTrail delegado.

Desabilitando um administrador delegado para CloudTrail

Somente um administrador na conta de gerenciamento da Organizations pode remover um administrador delegado do. CloudTrail Você pode remover o administrador delegado usando o CloudTrail console ou usando a operação Organizations DeregisterDelegatedAdministrator CLI ou SDK. Para obter informações sobre como remover um administrador delegado usando o CloudTrail console, consulte Remover um administrador CloudTrail delegado.