Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización Habilitación de CloudTrail como servicio de confianza en AWS Organizations Uso de create-trail Ejecución de update-trail para actualizar un registro de seguimiento de organización

Creación de un registro de seguimiento para una organización con la AWS CLI

Puede crear un registro de seguimiento de organización mediante la AWS CLI. La AWS CLI se actualiza periódicamente con funcionalidad y comandos adicionales. Para ayudar a garantizar el éxito, asegúrese de que ha instalado o actualizado una versión reciente de la AWS CLI antes de comenzar.

nota

Los ejemplos de esta sección son específicos para la creación y actualización de registros de seguimiento de organización. Para ver ejemplos del uso de AWS CLI para administrar registros de seguimiento, consulte Administración de registros de seguimiento con la AWS CLI y Configuración del monitoreo de CloudWatch Logs con la AWS CLI. Cuando se crea o actualiza un registro de seguimiento de organización con la AWS CLI, se debe utilizar un perfil de la AWS CLI de la cuenta de administración o la cuenta de administrador delegado con permisos suficientes. Si va a convertir un registro de seguimiento de organización en un registro de seguimiento que no sea de la organización, debe utilizar la cuenta de administración de la organización.

Debe configurar el bucket de Amazon S3 utilizado para una registro de seguimiento de organización con permisos suficientes.

Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización

Debe especificar un bucket de Amazon S3 para recibir los archivos de registros de un registro de seguimiento de organización. Este bucket debe tener una política que permita a CloudTrail guardar los archivos de registros de la organización en el bucket.

A continuación, se muestra un ejemplo de política para un bucket de Amazon S3 denominado amzn-s3-demo-bucket, que es propiedad de la cuenta de administración de la organización. Reemplace amzn-s3-demo-bucket, region, managementAccountID, trailName y o-organizationID por los valores de su organización.

Esta política de bucket contiene tres instrucciones.

La primera instrucción permite a CloudTrail hacer una llamada a la acción GetBucketAcl de Amazon S3 en el bucket de Amazon S3.
La segunda instrucción permite el registro en caso de que se cambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.
La tercera instrucción permite registrar el registro de seguimiento de una organización.

La política de ejemplo incluye una clave de condición aws:SourceArn para la política de bucket de Amazon S3. La clave de condición global de IAM aws:SourceArn ayuda a garantizar que CloudTrail escribe en el bucket de S3 solo para una traza o trazas específicas. En una traza de organización, el valor de aws:SourceArn debe ser un ARN de seguimiento que pertenece a la cuenta de administración y utilice el ID de cuenta de administración.

Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a los archivos de registro creados para la organización. De forma predeterminada, solo la cuenta de administración tendrá acceso a los archivos de registros de organización. Para obtener información sobre cómo permitir a los usuarios de IAM de las cuentas miembro el acceso de lectura al bucket de Amazon S3, consulte Compartir archivos de registro de CloudTrail entre cuentas de AWS.

Habilitación de CloudTrail como servicio de confianza en AWS Organizations

Para poder crear un registro de seguimiento de organización, primero debe habilitar todas las características en Organizations. Para obtener más información, consulte Habilitar todas las características en la organización o ejecute el siguiente comando mediante un perfil con permisos suficientes en la cuenta de administración:


aws organizations enable-all-features

Después de habilitar todas las características, debe configurar Organizations para que confíe en CloudTrail como un servicio de confianza.

Para crear la relación de servicio de confianza entre AWS Organizations y CloudTrail, abra un terminal o una línea de comandos y utilice un perfil en la cuenta de administración. Ejecute el comando aws organizations enable-aws-service-access, como se muestra en el ejemplo siguiente.


aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Uso de create-trail

Creación de un registro de seguimiento de organización que se aplique a todas las regiones

Para crear un registro de seguimiento de organización que se aplique a todas las regiones, agregue las opciones --is-organization-trail y --is-multi-region-trail.

nota

Cuando se crea un registro de seguimiento de organización con la AWS CLI, se debe utilizar un perfil de la AWS CLI de la cuenta de administración o la cuenta de administrador delegado con permisos suficientes.

En el ejemplo siguiente, se crea un registro de seguimiento de organización que envía registros de todas las regiones a un bucket existente denominado amzn-s3-demo-bucket:


aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail --is-multi-region-trail

Para confirmar que el registro de seguimiento exista en todas las regiones, los parámetros IsOrganizationTrail e IsMultiRegionTrail en la salida se establecen en true:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "amzn-s3-demo-bucket"
}

nota

Ejecute el comando start-logging para comenzar a ejecutar el registro de seguimiento. Para obtener más información, consulte Detención e inicio del registro de un registro de seguimiento.

Creación de un registro de seguimiento de organización como registro de seguimiento de una sola región

El siguiente comando crea un registro de seguimiento de organización que solo registra eventos en una sola Región de AWS, también conocido como registro de seguimiento de una sola región. La región de AWS en la que se registrarán los eventos es la región especificada en el perfil de configuración para la AWS CLI.


aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail

Para obtener más información, consulte Requisitos de nomenclatura de los recursos de CloudTrail, los buckets de S3 y las claves de KMS.

Salida de ejemplo:


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": true,
    "S3BucketName": "amzn-s3-demo-bucket"
}

De forma predeterminada, el comando create-trail crea un registro de seguimiento para una sola región que no permite la validación de archivos de registros.

nota

Ejecute el comando start-logging para comenzar a ejecutar el registro de seguimiento.

Ejecución de update-trail para actualizar un registro de seguimiento de organización

Puede ejecutar el comando update-trail para cambiar las opciones de configuración de un registro de seguimiento de organización o para aplicar un registro de seguimiento existente para una sola cuenta de AWS a toda una organización. Recuerde que puede ejecutar el comando update-trail únicamente desde la región en la que se creó el registro de seguimiento.

nota

Si utiliza la AWS CLI o uno de los SDK de AWS para actualizar un registro de seguimiento, asegúrese de que la política de bucket del registro de seguimiento se encuentre actualizada. Para obtener más información, consulte Creación de un registro de seguimiento para una organización con la AWS CLI.

Cuando se actualiza un registro de seguimiento de organización con la AWS CLI, se debe utilizar un perfil de la AWS CLI de la cuenta de administración o la cuenta de administrador delegado con permisos suficientes. Si desea convertir un registro de seguimiento de la organización en un registro de seguimiento que no sea de la organización, debe utilizar la cuenta de administración de la organización, ya que la cuenta de administración es la propietaria de todos los recursos de la organización.

CloudTrail actualiza los registros de seguimiento de la organización en las cuentas de miembros aunque falle la validación de un recurso. Ejemplos de errores de validación:

Una política de buckets de Amazon S3 incorrecta
Una política de temas de Amazon SNS incorrecta
Incapacidad de realizar envíos a un grupo de registro de Registros de CloudWatch
Permisos insuficientes para cifrar mediante una clave de KMS

Las cuentas de miembros con permisos de CloudTrail pueden ver cualquier error de validación de un registro de seguimiento de la organización consultando la página de detalles del registro en la consola de CloudTrail o ejecutando el comando get-trail-status de la AWS CLI.

Aplicación de un registro de seguimiento existente a una organización

Para cambiar un registro de seguimiento existente de modo que también se aplique a una organización en lugar de a una sola cuenta de AWS, agregue la opción --is-organization-trail, como se muestra en el siguiente ejemplo.

nota

Use la cuenta de administración para cambiar un registro de seguimiento existente que no es de la organización por un registro de seguimiento de la organización.


aws cloudtrail update-trail --name my-trail --is-organization-trail

Para confirmar que el registro de seguimiento se aplica ahora a la organización, el parámetro IsOrganizationTrail del resultado tiene el valor true.


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

En el ejemplo anterior, el registro de seguimiento se configuró como registro de seguimiento de varias regiones ("IsMultiRegionTrail": true). Un registro de seguimiento que solo se aplica a una sola región mostrará "IsMultiRegionTrail": false en el resultado.

Conversión de un registro de seguimiento de una sola región en un registro de seguimiento de varias regiones

Para convertir un registro de seguimiento de organización de una sola región existente en un registro de seguimiento de organización de varias regiones, agregue la opción --is-multi-region-trail tal como se muestra en el siguiente ejemplo.


aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar que el registro de seguimiento se aplica ahora a varias regiones, controle que el parámetro IsMultiRegionTrail del resultado tiene el valor true.


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de un registro de seguimiento para la organización en la consola

Solución de problemas