Descripción de los almacenes de datos de eventos de la organización

Si ha creado una organización en AWS Organizations, puede crear un almacén de datos de eventos de la organización que registra todos los eventos de todas las Cuentas de AWS en dicha organización. Los almacenes de datos de eventos de la organización se pueden aplicar a todas las Regiones de AWS o a la región actual. No se puede utilizar el almacén de datos de eventos de la organización para recopilar eventos fuera de AWS.

Puede crear un almacén de datos de eventos de la organización mediante la cuenta de administración o la cuenta del administrador delegado. Cuando un administrador delegado crea un almacén de datos de eventos de la organización, el almacén de datos de eventos de la organización existe en la cuenta de administración de la organización. Este enfoque se debe a que la cuenta de administración mantiene la propiedad de todos los recursos de la organización.

La cuenta de administración de una organización puede actualizar un almacén de datos de eventos a nivel de cuenta para aplicarlo a una organización.

Cuando se especifica que el almacén de datos de eventos de la organización se aplica a una organización, se aplica automáticamente a todas las cuentas de miembros de la organización. Las cuentas de miembro no pueden ver el almacén de datos de eventos de la organización, ni pueden modificarlo o eliminarlo. De forma predeterminada, las cuentas de miembro no tienen acceso al almacén de datos de eventos de la organización, ni pueden realizar consultas en los almacenes de datos de eventos de la organización.

En la siguiente tabla, se muestran las funciones de la cuenta de administración y las cuentas de administrador delegado dentro de la organización de AWS Organizations.

¹Solo la cuenta de administración puede convertir un almacén de datos de eventos de la organización en un almacén de datos de eventos a nivel de cuenta, o convertir un almacén de datos de eventos a nivel de cuenta en un almacén de datos de eventos de la organización. Estas acciones no están permitidas para el administrador delegado porque los almacenes de datos de eventos de la organización solo existen en la cuenta de administración. Cuando un almacén de datos de eventos de la organización se convierte en un almacén de datos de eventos a nivel de cuenta, solo la cuenta de administración tiene acceso al almacén de datos de eventos. Del mismo modo, solo un almacén de datos de eventos a nivel de cuenta que esté en la cuenta de administración se puede convertir en un almacén de datos de eventos de la organización.

²Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado pueden consultar y compartir información mediante la característica de uso compartido de datos de Lake Formation. Cualquier cuenta de administrador delegado, así como la cuenta de administración de la organización, pueden deshabilitar la federación.

Creación de un almacén de datos de eventos de la organización

La cuenta de administración o la cuenta del administrador delegado de una organización puede crear un almacén de datos de eventos de la organización para recopilar eventos de CloudTrail (eventos de administración o de datos) o elementos de configuración de AWS Config.

CloudTrail console

Creación de un almacén de datos de eventos de la organización mediante la consola

1. Siga los pasos del procedimiento Creación de un almacén de datos de eventos para eventos de CloudTrail para crear un almacén de datos de eventos de la organización para los eventos de datos o de administración de CloudTrail.

   OR

   Siga los pasos del procedimiento Creación de un almacén de datos de eventos para los elementos de configuración de AWS Config para crear un almacén de datos de eventos de la organización para los elementos de configuración de AWS Config.

2. En la página Elegir eventos, elija Habilitar para todas las cuentas de mi organización.

AWS CLI

Para crear un almacén de datos de eventos de la organización, ejecute el comando create-event-data-store e incluya la opción --organization-enabled.

El siguiente comando de ejemplo create-event-data-store de la AWS CLI crea un almacén de datos de eventos de la organización que recopila todos los eventos de administración. Como CloudTrail registra los eventos de administración de forma predeterminada, no es necesario especificar selectores de eventos avanzados si el almacén de datos de eventos registra todos los eventos de administración y no recopila ningún evento de datos.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

El siguiente comando de ejemplo create-event-data-store de la AWS CLI crea un almacén de datos de eventos de la organización denominado config-items-org-eds que recopila elementos de configuración de AWS Config. Para recopilar los elementos de configuración, especifique que el campo eventCategory iguala a ConfigurationItem en los selectores de eventos avanzados.

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Aplicación de un almacén de datos de eventos a nivel de cuenta a una organización

La cuenta de administración de la organización puede convertir un almacén de datos de eventos a nivel de cuenta para aplicarlo a una organización.

CloudTrail console

Actualización de un almacén de datos de eventos a nivel de cuenta mediante la consola

1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

3. Elija el almacén de datos de eventos que desea actualizar. Esta acción abre la página de detalles del almacén de datos de eventos.

4. En General details (Detalles generales), elijaEdit (Editar).

5. Seleccione Habilitar para todas las cuentas de mi organización.

6. Seleccione Save changes (Guardar cambios).

Para obtener información adicional acerca de la actualización de un almacén de datos de eventos, consulte Actualización de un almacén de datos de eventos con la consola.

AWS CLI

Para actualizar un almacén de datos de eventos a nivel de cuenta para aplicarlo a una organización, ejecute el comando update-event-data-store e incluya la opción --organization-enabled.

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Política predeterminada de recursos para administradores delegados

CloudTrail crea de manera automática una política de recursos denominada DelegatedAdminResourcePolicy para los almacenes de datos de eventos de la organización que enumera las acciones que las cuentas del administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos que se encuentran en DelegatedAdminResourcePolicy se obtienen de los permisos del administrador delegado en AWS Organizations.

El objetivo de la DelegatedAdminResourcePolicy es garantizar que las cuentas del administrador delegado puedan administrar el almacén de datos de eventos de la organización en nombre de la organización y no se les niegue involuntariamente el acceso al almacén de datos de eventos de la organización cuando se asocia una política basada en recursos que permite o impide a las entidades principales realizar una acción en el almacén de datos de eventos de la organización.

CloudTrail evalúa DelegatedAdminResourcePolicy en conjunto con cualquier política basada en recursos que se ofrezca para el almacén de datos de eventos de la organización. Solo se negaría el acceso a las cuentas de administrador delegado si la política basada en recursos que se brinda incluyera una declaración en la que se impidiera de manera explícita a las cuentas de administrador delegado realizar una acción en el almacén de datos de eventos de la organización que, de otro modo, las cuentas de administrador delegado podrían realizar.

Esta política DelegatedAdminResourcePolicy se actualiza de manera automática cuando sucede lo siguiente:

Puede consultar la política actualizada en la sección de Políticas de recursos del administrador delegado de la consola CloudTrail o mediante la ejecución del comando AWS CLI get-resource-policy y el paso del ARN del almacén de datos de eventos de la organización.

En el siguiente ejemplo se ejecuta el comando get-resource-policy en un almacén de datos de eventos de la organización.

aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

El resultado de este comando mostrará la política basada en recursos y la política DelegatedAdminResourcePolicy generada para las cuentas del administrador delegado.

Recursos adicionales