Criar uma trilha para uma organização
Se você criou uma organização no AWS Organizations, pode criar uma trilha que registre todos os eventos de todas as Contas da AWS nessa organização. Algumas vezes, ela é chamada de trilha da organização.
A conta de gerenciamento da organização pode atribuir um administrador delegado para criar novas ou gerenciar trilhas da organização existentes. Para obter mais informações sobre como adicionar um administrador delegado, consulte Adicionar um administrador delegado ao CloudTrail.
A conta de gerenciamento da organização pode editar uma trilha existente na conta e aplicá-la a uma organização, fazendo dela uma trilha da organização. As trilhas registram eventos para a conta de gerenciamento e todas as contas-membro da organização. Para obter mais informações sobre o AWS Organizations, consulte Terminologia e conceitos da organização.
nota
Para criar uma trilha da organização, é necessário estar conectado com a conta de gerenciamento ou de administrador associada à organização. Também é necessário ter permissões suficientes para que o usuário ou perfil na conta de gerenciamento ou de administrador delegado crie a trilha com êxito. Se não tiver permissões suficientes, você não terá a opção de aplicar a trilha a uma organização.
Todas as trilhas da organização criadas usando o console são trilhas de organização de várias regiões que registram eventos de logs das Regiões da AWS habilitadas em cada conta-membro da organização. Para registrar eventos de logs em todas as partições da AWS em sua organização, crie uma trilha de organização de várias regiões em cada partição. Você pode criar uma trilha de região única ou uma trilha da organização de várias regiões usando a AWS CLI. Ao criar uma trilha de região única, você registrará atividades somente na Região da AWS da trilha (também chamada de região de Origem).
Embora a maioria das Regiões da AWS estejam habilitadas por padrão na sua Conta da AWS, você deve habilitar determinadas regiões manualmente (também chamadas de regiões de adesão). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de habilitar ou desabilitar regiões no Guia de referência da AWS Gerenciamento de contas. Para obter a lista de regiões compatíveis com o CloudTrail, consulte Regiões compatíveis do CloudTrail.
Ao criar uma trilha da organização, uma cópia da trilha com o nome atribuído a ela é criada nas contas-membro que pertencem à sua organização.
-
Se a trilha da organização for de região única e a região de origem da trilha não for uma região opcional, uma cópia da trilha será criada na região de origem da trilha da organização em cada conta de membro.
-
Se a trilha da organização for de região única e a região de origem da trilha for uma região de opcional, uma cópia da trilha será criada na região de origem da trilha da organização nas contas de membros que habilitaram essa região.
-
Se a trilha da organização for multirregional e a região de origem da trilha não for uma região opcional, uma cópia da trilha será criada em cada Região da AWS habilitada em cada conta de membro. Quando uma conta-membro habilita uma região de adesão, uma cópia da trilha de várias regiões é criada na região selecionada para a conta-membro após a conclusão da ativação dessa região.
-
Se a trilha da organização for multirregional e a região de origem for uma região opcional, as contas de membros não enviarão atividades à trilha da organização, a menos que tenham optado pela Região da AWS onde a trilha de várias regiões foi criada. Por exemplo, se você criar uma trilha de várias regiões e escolher a região Europa (Espanha) como a região de Origem da trilha, somente as contas-membro que habilitaram a região Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização.
nota
O CloudTrail cria trilhas de organização nas contas-membro, mesmo que a validação de um recurso falhe. Exemplos de falhas de validação incluem:
-
uma política de bucket do Amazon S3 incorreta
-
uma política de tópico do Amazon SNS incorreta
-
incapacidade de entregar a um grupo de logs do CloudWatch Logs
-
permissões insuficientes para criptografar usando uma chave do KMS
Uma conta-membro com permissões do CloudTrail pode ver qualquer falha de validação em uma trilha da organização visualizando a página de detalhes da trilha no console do CloudTrail ou executando o comando get-trail-status da AWS CLI.
Os usuários com permissões do CloudTrail em contas de membros podem ver as trilhas da organização quando fazem login no console do CloudTrail de suas Contas da AWS ou quando executam comandos da AWS CLI como describe-trails. No entanto, os usuários de contas-membro não têm permissões suficientes para excluir trilhas da organização, ativar ou desativar o registro em log, alterar quais tipos de eventos são registrados ou alterar a trilha da organização de qualquer forma.
Quando você cria uma trilha da organização no console, o CloudTrail cria um perfil vinculado ao serviço para realizar tarefas de registro em log nas contas de membros da organização. Essa função é chamada de AWSServiceRoleForCloudTrail e é necessária para que o CloudTrail registre eventos para uma organização. Se uma Conta da AWS for adicionada a uma organização, a trilha e o perfil vinculados ao serviço serão adicionadas a essa Conta da AWS, e o registro em log será iniciado para ela automaticamente na trilha da organização. Se uma Conta da AWS for removida de uma organização, a trilha e o perfil vinculados ao serviço serão excluídos da Conta da AWS que não faz mais parte da organização. No entanto, os arquivos de log da conta removida que foram criados antes da remoção da conta continuarão no bucket do Amazon S3, onde os arquivos de log são armazenados para a trilha.
Se a conta de gerenciamento de uma organização do AWS Organizations criar uma trilha organizacional, mas depois for removida como conta de gerenciamento da organização, qualquer trilha organizacional criada usando sua conta se tornará uma trilha não organizacional.
No exemplo a seguir, a conta de gerenciamento da organização 111111111111 cria uma trilha chamada MyOrganizationTrail para a organização o-exampleorgid. A trilha registra a atividade de todas as contas da organização no mesmo bucket do Amazon S3. Todas as contas da organização podem ver MyOrganizationTrail em sua lista de trilhas, mas as contas-membro não podem remover nem modificar a trilha da organização. Somente a conta de gerenciamento ou a conta de administrador delegado pode alterar ou excluir a trilha para a organização. Somente a conta de gerenciamento pode remover uma conta-membro de uma organização. De modo semelhante, por padrão, somente a conta de gerenciamento tem acesso ao bucket do Amazon S3 da trilha e os logs contidos nela. A estrutura de bucket de alto nível para arquivos de log contém uma pasta com o nome do ID da organização e subpastas com os nomes dos IDs de cada conta da organização. Os eventos de cada conta-membro são registrados na pasta que corresponde ao ID da conta-membro. Se a conta-membro 444444444444 for removida da organização, MyOrganizationTrail e a função vinculada ao serviço não aparecerão mais na conta da AWS 444444444444 e nenhum outro evento será registrado para essa conta pela trilha da organização. No entanto, a pasta 444444444444 permanece no bucket do Amazon S3, com todos os logs criados antes da remoção da conta da organização.
Neste exemplo, o ARN da trilha criada na conta de gerenciamento é aws:cloudtrail:us-east-2:111111111111:trail/. Esse também é o ARN da trilha em todas as contas-membro.MyOrganizationTrail
As trilhas da organização são semelhantes a trilhas regulares de muitas maneiras. Você pode criar várias trilhas para a sua organização e escolher se a trilha será multirregional ou de região única e também os tipos de eventos que serão registrados em log na trilha da organização, exatamente como em qualquer outra trilha. No entanto, há algumas diferenças. Por exemplo, quando você cria uma trilha no console e escolhe se deseja registrar eventos de dados para buckets do Amazon S3 ou funções do AWS Lambda, os únicos recursos listados no console do CloudTrail são os da conta de gerenciamento, mas você pode adicionar os ARNs dos recursos a contas-membro. Os eventos de dados para recursos da conta-membro especificada são registrados sem a necessidade de configurar manualmente o acesso entre contas a esses recursos. Para obter mais informações sobre como registrar em log eventos de gerenciamento, eventos do Insights e eventos de dados, consulte Log de eventos de gerenciamento, Eventos de dados de log e Trabalhar com o CloudTrail Insights.
nota
Você cria uma trilha de várias regiões no console. É uma prática recomendada registra em log as atividades em todas as regiões habilitadas da sua Conta da AWS, porque isso ajuda aumentar a segurança do seu ambiente da AWS. Para criar uma trilha de região única, use a AWS CLI.
Ao visualizar eventos em Event history (Histórico de eventos) de uma organização no AWS Organizations, é possível visualizar os eventos somente para a Conta da AWS com a qual você está conectado. Por exemplo, se você estiver conectado à conta de gerenciamento da organização, Event history (Histórico de eventos) mostrará os últimos 90 dias de eventos de gerenciamento da conta de gerenciamento. Os eventos da conta-membro da organização não são mostrados em Histórico de eventos para a conta de gerenciamento. Para visualizar eventos de conta de membro em Event history (Histórico de eventos), inicie a sessão com a conta de membro.
Você pode configurar outros serviços da AWS para analisar e realizar ações nos dados de evento coletados em logs do CloudTrail de uma trilha da organização assim como faria para qualquer outra trilha. Por exemplo, você pode analisar os dados em uma trilha da organização usando o Amazon Athena. Para obter mais informações, consulte Integrações de serviços da AWS com os logs do CloudTrail.
Tópicos
