Roles vinculados a servicios Principal del servicio Habilitar el acceso de confianza Deshabilitar el acceso de confianza Habilitar un administrador delegado Desactivación de un administrador delegado para CloudTrail

AWS CloudTrail y AWS Organizations

AWS CloudTrail es un servicio de AWS que le ayuda a habilitar el gobierno, el cumplimiento, el funcionamiento y el análisis de operaciones y riesgo de su Cuenta de AWS. Mediante AWS CloudTrail, un usuario en una cuenta de administración puede crear un registro de seguimiento de la organización que registre todos los eventos de todas las Cuentas de AWS en dicha organización. Los registros de seguimiento de la organización se aplican automáticamente a todas las cuentas de miembros de la organización. Las cuentas de miembros pueden ver el registro de seguimiento de la organización, pero no pueden modificarlo o eliminarlo. De forma predeterminada, las cuentas de miembros no tienen acceso a los archivos de registro del registro de seguimiento de la organización en el bucket de Amazon S3. Esto lo ayuda a aplicar y reforzar de manera uniforme su estrategia de registro entre las cuentas en su organización.

Para obtener más información, consulte Creación de un registro de seguimiento para una organización en la Guía del usuario de AWS CloudTrail.

Utilice la siguiente información para ayudarle a integrar AWS CloudTrail con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguientes Rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a CloudTrail realizar operaciones compatibles en las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre CloudTrail y Organizations, o si elimina la cuenta de miembro de la organización.

AWSServiceRoleForCloudTrail

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios utilizados por CloudTrail otorgan acceso a las siguientes entidades de servicio:

cloudtrail.amazonaws.com

Habilitación del acceso de confianza con CloudTrail

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Si crea un registro de seguimiento desde la consola de AWS CloudTrail, el acceso de confianza se configura automáticamente (recomendado). Puede habilitar el acceso de confianza mediante la consola de AWS Organizations. Debe iniciar sesión con su cuenta de administración AWS Organizations para crear un registro de seguimiento de organización.

Si decide crear un registro de seguimiento de la organización mediante la AWS CLI o la API de AWS, debe configurar manualmente el acceso de confianza. Para obtener más información, consulte Habilitación de CloudTrail como servicio de confianza en AWS Organizations en la Guía del usuario de AWS CloudTrail.

importante

Le recomendamos que, siempre que sea posible, utilice la consola AWS CloudTrail o herramientas para habilitar la integración con Organizations.

Puede habilitar el acceso de confianza ejecutando el comando de Organizations AWS CLI, o llamando a una operación API de Organizations en uno de los SDK de AWS.

Deshabilitación del acceso de confianza con CloudTrail

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

AWS CloudTrail necesita tener acceso de confianza con AWS Organizations para poder trabajar con registros de seguimiento y almacenes de datos de eventos de la organización. Si deshabilita el acceso de confianza con AWS Organizations mientras utiliza AWS CloudTrail, todos los registros de seguimiento de la organización de las cuentas de miembro se eliminan porque CloudTrail no puede acceder a la organización. Todos los registros de seguimiento de la organización de las cuentas de administración y los almacenes de datos de eventos de la organización se convierten en registros y almacenes de datos de eventos de la cuenta. El rol AWSServiceRoleForCloudTrail creado para la integración entre CloudTrail y AWS Organizations permanece en la cuenta. Si vuelve a habilitar el acceso de confianza, CloudTrail no llevará a cabo ninguna acción en los registros de seguimiento y almacén de datos de eventos existentes. La cuenta de administración debe actualizar todos los almacenes de datos de eventos y registros de seguimiento de la cuenta para aplicarlos a la organización.

Para convertir un registro de seguimiento o almacén de datos de eventos de la cuenta en un registro de seguimiento o almacén de datos de eventos de la organización, haga lo siguiente:

Desde la consola de CloudTrail, actualice el registro de seguimiento o el almacén de datos del evento y elija la opción Habilitar para todas las cuentas de mi organización.
Desde la AWS CLI, haga lo siguiente:
- Para actualizar el registro de seguimiento, ponga en marcha el comando update-trail e incluya el parámetro --is-organization-trail.
- Para actualizar un almacén de datos de eventos, ponga en marcha el comando update-event-data-store e incluya el parámetro --organization-enabled.

Solo un administrador en la cuenta de administración AWS Organizations puede deshabilitar el acceso de confianza con AWS CloudTrail. Puede deshabilitar el acceso de confianza solo con las herramientas de Organizations; mediante la consola de AWS, al ejecutar un comando de la CLI de AWS Organizations Organizations o llamar a una operación de la API de Organizations en uno de los AWS SDK.

Puede deshabilitar el acceso de confianza mediante la consola AWS Organizations, la ejecución de una AWS CLI de Organizations, o llamando a una operación de API de Organizations en uno de los SDK de AWS.

Consola de administración de AWS

Para deshabilitar el acceso de confianza mediante la consola de Organizations

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En el panel de navegación, elija Servicios.
En la lista de servicios, elija AWS CloudTrail.
Seleccione Deshabilitar el acceso de confianza.
En el cuadro de diálogo Deshabilitar el acceso de confianza para AWS CloudTrail, escriba deshabilitar para confirmar y, a continuación, elija Deshabilitar el acceso de confianza.
Si usted es el administrador solamente de AWS Organizations, dígale al administrador de AWS CloudTrail que ahora puede deshabilitar ese servicio para que no funcione con AWS Organizations al utilizar la consola de servicio o las herramientas.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

AWS CLI: disable-aws-service-access

Ejecute el siguiente comando para deshabilitar AWS CloudTrail como servicio de confianza con Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com
```
Este comando no genera ninguna salida si se realiza correctamente.
API de AWS: DisableAWSServiceAccess

Habilitación de una cuenta de administrador delegado para CloudTrail

Cuando se utiliza CloudTrail con Organizaciones, se puede registrar cualquier cuenta de la organización para que actúe como administrador delegado de CloudTrail y gestione los registros de seguimiento y los almacenes de datos de eventos de la organización en su nombre. Un administrador delegado es una cuenta de miembro de una organización que puede realizar las mismas tareas administrativas en CloudTrail que la cuenta de administración.

Permisos mínimos

Sólo un administrador en la cuenta de gestión de Organizaciones puede registrar un administrador delegado para CloudTrail.

Puede registrar una cuenta de administrador delegado usando la consola de CloudTrail o utilizando la operación RegisterDelegatedAdministrator de la CLI de Organizations o el SDK. Para registrar un administrador delegado utilizando la consola de CloudTrail, consulte Add a CloudTrail delegated administrator (Añadir un administrador delegado de CloudTrail).

Desactivación de un administrador delegado para CloudTrail

Solo un administrador en la cuenta de administración de Organizaciones puede eliminar un administrador delegado para CloudTrail. Puede eliminar el administrador delegado utilizando la consola de CloudTrail, o la operación DeregisterDelegatedAdministrator de la CLI de Organizaciones o el SDK. Para obtener información sobre cómo eliminar un administrador delegado mediante la consola de CloudTrail, consulte Remove a CloudTrail delegated administrator (Eliminación de un administrador delegado de CloudTrai).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS CloudFormationConjuntos de pilas de

Amazon CloudWatch