Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprendere gli archivi di dati degli eventi organizzativi
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Se hai creato un'organizzazione in AWS Organizations, puoi creare un *data store degli eventi organizzativi* che registra tutti Account AWS gli eventi di quell'organizzazione. Gli archivi dati degli eventi organizzativi possono essere applicati a tutta Regioni AWS la regione o alla regione corrente. Non puoi utilizzare un datastore di eventi dell'organizzazione per raccogliere eventi dall'esterno di AWS.
È possibile [creare un data store di eventi organizzativi](#cloudtrail-lake-organizations-create-eds) utilizzando l'account di gestione o l'account amministratore delegato. Quando un amministratore delegato crea un datastore di eventi dell'organizzazione, quest'ultimo esiste nell'account di gestione dell'organizzazione. Questo approccio è dovuto al fatto che l'account di gestione mantiene la proprietà di tutte le risorse dell'organizzazione.
L'account di gestione di un'organizzazione può [aggiornare un data store di eventi a livello di account](#cloudtrail-lake-organizations-update-eds) per applicarlo a un'organizzazione.
Quando il datastore di eventi dell'organizzazione viene specificato come applicabile a un'organizzazione, viene applicato automaticamente a tutti gli account membri di tale organizzazione. Gli account membri non possono visualizzare il datastore di eventi dell'organizzazione né possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membri non hanno accesso al datastore di eventi dell'organizzazione né possono eseguire query su tali datastore.
La tabella seguente mostra le funzionalità dell'account di gestione e degli account amministratore delegato all'interno dell'organizzazione. AWS Organizations
| Funzionalità | Gestione dell'account | Account amministratore delegato |
| --- | --- | --- |
| Registrazione o rimozione di account amministratore delegato. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/negative_icon.svg) No |
| Crea un archivio dati degli eventi organizzativi per AWS CloudTrail eventi o elementi AWS Config di configurazione. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì |
| Abilitazione di Insights in un datastore di eventi dell'organizzazione. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/negative_icon.svg) No |
| Aggiornamento di un datastore di eventi dell'organizzazione. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg)Sì 1 |
| Avvia e interrompi l'inserimento degli eventi in un archivio dati di eventi organizzativi. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì |
| Abilitazione della federazione delle query di Data Lake in un datastore di eventi dell'organizzazione.2 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì |
| Disabilitazione della federazione delle query di Data Lake in un datastore di eventi dell'organizzazione. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì |
| Eliminazione di un datastore di eventi dell'organizzazione. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì |
| Copia di eventi del percorso in un datastore di eventi. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/negative_icon.svg) No |
| Esecuzione di query sui datastore di eventi dell'organizzazione. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì |
| Visualizza una dashboard gestita per un data store di eventi organizzativi. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/negative_icon.svg) No |
| Abilita la dashboard Highlights per gli archivi di dati degli eventi organizzativi. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/negative_icon.svg) No |
| Crea un widget per una dashboard personalizzata che interroga un data store di eventi organizzativi. | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/negative_icon.svg) No |
1 Solo l'account di gestione può convertire un data store di eventi organizzativi in un data store di eventi a livello di account o convertire un data store di eventi a livello di account in un data store di eventi organizzativi. Queste operazioni non sono consentite all'amministratore delegato perché i datastore di eventi dell'organizzazione esistono solo nell'account di gestione. Quando un data store di eventi organizzativi viene convertito in un data store di eventi a livello di account, solo l'account di gestione ha accesso al data store degli eventi. Analogamente, solo un data store di eventi a livello di account nell'account di gestione può essere convertito in un data store di eventi dell'organizzazione.
2Solo un singolo account amministratore delegato o l'account di gestione può abilitare la federazione in un datastore di eventi dell'organizzazione. Altri account amministratore delegato possono eseguire query e condividere informazioni utilizzando la [funzionalità di condivisione dei dati di Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html). Qualsiasi account amministratore delegato, nonché l'account di gestione dell'organizzazione, può disabilitare la federazione.
## Crea un data store di eventi organizzativi
L'account di gestione o l'account amministratore delegato di un'organizzazione può creare un data store di eventi organizzativi per raccogliere CloudTrail eventi (eventi di gestione, eventi relativi ai dati) o elementi di AWS Config configurazione.
**Nota**
Solo l'account di gestione dell'organizzazione può copiare gli eventi di trail in un data store di eventi.
------
#### [ CloudTrail console ]
**Per creare un data store di eventi organizzativi utilizzando la console**
1. Segui i passaggi della procedura di [creazione di un data store di CloudTrail eventi per eventi per](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure) creare un data store di eventi organizzativi per la CloudTrail gestione degli eventi o dei dati.
** OPPURE **
Segui i passaggi della procedura di [creazione di un data store di eventi per gli elementi di AWS Config configurazione per](query-event-data-store-config.md#create-config-event-data-store) creare un data store di eventi dell'organizzazione per gli elementi di AWS Config configurazione.
1. Nella pagina **Scegli eventi**, scegli **Abilita per tutti gli account della mia organizzazione**.
------
#### [ AWS CLI ]
Per creare un archivio dati di eventi organizzativi, esegui il [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html)comando e includi l'`--organization-enabled`opzione.
Il AWS CLI `create-event-data-store` comando di esempio seguente crea un archivio dati di eventi organizzativi che raccoglie tutti gli eventi di gestione. Poiché CloudTrail registra gli eventi di gestione per impostazione predefinita, non è necessario specificare selettori di eventi avanzati se l'Event Data Store registra tutti gli eventi di gestione e non raccoglie alcun evento relativo ai dati.
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
Il AWS CLI `create-event-data-store` comando di esempio successivo crea un archivio dati di eventi organizzativi denominato `config-items-org-eds` che raccoglie AWS Config gli elementi di configurazione. Per raccogliere gli elementi di configurazione, specificate che il `eventCategory` campo sia uguale `ConfigurationItem` nei selettori di eventi avanzati.
```
aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
------
## Applica un data store di eventi a livello di account a un'organizzazione
L'account di gestione dell'organizzazione può convertire un data store di eventi a livello di account per applicarlo a un'organizzazione.
------
#### [ CloudTrail console ]
**Per aggiornare un data store di eventi a livello di account utilizzando la console**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegli il datastore di eventi da aggiornare. Questa operazione apre la pagina dei dettagli del datastore di eventi.
1. In **General details** (Dettagli generali), scegli **Edit** (Modifica).
1. Scegli **Abilita per tutti gli account della mia organizzazione**.
1. Scegli **Save changes** (Salva modifiche).
Per ulteriori informazioni sull'aggiornamento di un archivio dati di eventi, consulta[Aggiorna un data store di eventi con la console](query-event-data-store-update.md).
------
#### [ AWS CLI ]
Per aggiornare un Event Data Store a livello di account per applicarlo a un'organizzazione, esegui il [update-event-data-store](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html)comando e includi l'`--organization-enabled`opzione.
```
aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
------
## Politica delle risorse predefinita per gli amministratori delegati
CloudTrail genera automaticamente una politica delle risorse denominata `DelegatedAdminResourcePolicy` [Data Store degli eventi organizzativi](#cloudtrail-lake-organizations) che elenca le azioni che gli account amministratore delegati sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni in `DelegatedAdminResourcePolicy` derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations
Lo scopo di `DelegatedAdminResourcePolicy` è garantire che gli account amministratore delegato possano gestire l'archivio dati degli eventi dell'organizzazione per conto dell'organizzazione e non venga negato involontariamente l'accesso all'archivio dati degli eventi dell'organizzazione quando all'archivio dati degli eventi dell'organizzazione è associata una politica basata sulle risorse che consente o impedisce ai responsabili di eseguire un'azione sull'archivio dati degli eventi dell'organizzazione.
CloudTrail valuta insieme a qualsiasi politica basata `DelegatedAdminResourcePolicy` sulle risorse fornita per l'archivio dati degli eventi dell'organizzazione. L'accesso agli account degli amministratori delegati verrebbe negato solo se la politica basata sulle risorse fornita includesse una dichiarazione che impediva esplicitamente agli account amministratore delegati di eseguire un'azione sul data store degli eventi organizzativi che gli account amministratore delegati sarebbero altrimenti in grado di eseguire.
Questa politica viene aggiornata automaticamente quando: `DelegatedAdminResourcePolicy`
+ L'account di gestione converte un data store di eventi organizzativi in un data store di eventi a livello di account oppure converte un data store di eventi a livello di account in un data store di eventi organizzativi.
+ Sono state apportate modifiche all'organizzazione. Ad esempio, l'account di gestione registra o rimuove un account amministratore CloudTrail delegato.
È possibile visualizzare la up-to-date politica nella sezione **Politica delle risorse dell'amministratore delegato** sulla CloudTrail console oppure eseguendo il AWS CLI `get-resource-policy` comando e passando l'ARN dell'archivio dati degli eventi dell'organizzazione.
L'esempio seguente esegue il `get-resource-policy` comando su un archivio dati di eventi organizzativi.
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
L'output di questo comando mostrerà la politica basata sulle risorse e la `DelegatedAdminResourcePolicy` politica generata per gli account degli amministratori delegati.
## Risorse aggiuntive
+ [Amministratori delegati dell'organizzazione](cloudtrail-delegated-administrator.md)
+ [Aggiungi un CloudTrail amministratore delegato](cloudtrail-add-delegated-administrator.md)
+ [Rimuovere un amministratore CloudTrail delegato](cloudtrail-remove-delegated-administrator.md)