Prepararse a fin de crear un registro de seguimiento para la organización - AWS CloudTrail
Prácticas recomendadas de seguridad para las trazas de organización

Prepararse a fin de crear un registro de seguimiento para la organización

Antes de crear un registro de seguimiento para su organización, deberá asegurarse de que la cuenta de administración o la de administrador delegado se encuentren configuradas correctamente para la creación de registros de seguimiento.

  • Su organización debe tener todas las características habilitadas para poder crear un registro de seguimiento para ella. Para obtener más información, consulte Habilitar todas las características en la organización.

  • La cuenta de administración debe tener el rol de AWSServiceRoleForOrganizations. Este rol lo crea Organizations de forma automática al crear la organización y es necesario para que CloudTrail registre los eventos de una organización. Para obtener más información, consulte Organizations y roles vinculados a servicios.

  • El usuario o el rol que crea el registro de seguimiento de la organización en la cuenta de administración o la cuenta de administrador delegado deben tener permisos suficientes para crear un registro de seguimiento de organización. Debe aplicar al menos la política AWSCloudTrail_FullAccess, o una política equivalente, a ese rol o usuario. También debe tener permisos suficientes en IAM y Organizations para crear el rol vinculado a servicios y habilitar el acceso de confianza. Si opta por crear un nuevo bucket de S3 para un registro de seguimiento de la organización mediante la consola de CloudTrail, su política también debe incluir la acción s3:PutEncryptionConfiguration porque el cifrado en el servidor está habilitado de forma predeterminada para el bucket. La siguiente política de ejemplo muestra los permisos mínimos necesarios.

    nota

    No debe compartir la política AWSCloudTrail_FullAccess de forma amplia en toda su Cuenta de AWS. En cambio, debe restringirla a los administradores de Cuenta de AWS debido al alto nivel de confidencialidad de la información que recopila CloudTrail. Los usuarios con este rol tienen la capacidad de desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, debe supervisar y controlar de cerca el acceso a esta política.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • Si desea utilizar la AWS CLI o las API de CloudTrail a fin de crear un registro de seguimiento de organización, debe habilitar el acceso de confianza para CloudTrail en Organizations y debe crear manualmente un bucket de Amazon S3 con una política que permita el registro de un registro de seguimiento de organización. Para obtener más información, consulte Creación de un registro de seguimiento para una organización con la AWS CLI.

  • Para utilizar un rol de IAM existente a fin de agregar la supervisión de un registro de seguimiento de organización a Registros de Amazon CloudWatch, debe modificar manualmente el rol de IAM para permitir el envío de Registros de CloudWatch de las cuentas miembro al grupo de Registros de CloudWatch de la cuenta de administración, tal y como se muestra en el siguiente ejemplo.

    nota

    Debe utilizar un rol de IAM y un grupo de registro de CloudWatch Logs que exista en su propia cuenta. No puede utilizar un rol de IAM ni un grupo de registro de CloudWatch Logs que pertenezca a otra cuenta.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    Puede obtener más información sobre CloudTrail y Amazon CloudWatch Logs en Monitoreo de archivos de registros de CloudTrail con Amazon CloudWatch Logs. Además, tenga en cuenta los límites en CloudWatch Logs y las consideraciones de precio para el servicio antes de decidir habilitar la experiencia para un registro de seguimiento de organización. Para obtener más información, consulte Límites de CloudWatch Logs y Precios de Amazon CloudWatch.

  • Si desea registrar eventos de datos en el registro de seguimiento de organización para determinados recursos en las cuentas miembro, prepare la lista de nombres de recursos de Amazon (ARN) para cada uno de esos recursos. Los recursos de la cuenta miembro no se muestran en la consola de CloudTrail al crear un registro de seguimiento; puede buscar recursos en la cuenta de administración en la que se admite la recopilación de eventos de datos, como los buckets de S3. Del mismo modo, si desea agregar recursos miembro específicos al crear o actualizar un registro de seguimiento de organización en la línea de comandos, necesitará los ARN de dichos recursos.

    nota

    Se aplican cargos adicionales para registrar eventos de datos. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail.

También debe considerar la posibilidad de revisar cuántos registros de seguimiento ya existen en la cuenta de administración y en las cuentas miembro antes de crear un registro de seguimiento de organización. CloudTrail limita el número de registros de seguimiento que se pueden crear en cada región. No puede superar este límite en la región en la que cree el registro de seguimiento de organización en la cuenta de administración. Sin embargo, el registro de seguimiento se creará en las cuentas miembro, incluso si estas han alcanzado el límite de registros de seguimiento en una región. Aunque el primer registro de seguimiento de los eventos de administración en cualquier región es gratuito, se aplican cargos a los registros de seguimiento adicionales. Para reducir el costo potencial de un registro de seguimiento de organización, considere la posibilidad de eliminar cualquier registro de seguimiento innecesario en las cuentas miembro y de administración. Para obtener más información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Prácticas recomendadas de seguridad para las trazas de organización

Como práctica recomendada de seguridad, le recomendamos que agregue la clave de condición aws:SourceArn de las políticas de recursos (como las de buckets de S3, claves KMS o temas SNS) que utiliza con una traza de la organización. El valor de aws:SourceArn es el ARN de la traza de organización (o ARN, si está utilizando el mismo recurso para más de una traza, como el mismo bucket de S3 para almacenar registros de más de una traza). Esto garantiza que el recurso, como un bucket de S3, solo acepta datos asociados a la traza específica. El ARN de seguimiento debe utilizar el ID de cuenta de la cuenta de administración. El siguiente fragmento de política muestra un ejemplo en el que más de una traza utiliza el recurso.

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Para obtener información acerca de cómo agregar claves de condición a las políticas de recursos, consulte lo siguiente: