Creación de un registro de seguimiento para una organización

Si ha creado una organización en AWS Organizations, puede crear un registro de seguimiento que registre todos los eventos de todas las Cuentas de AWS en dicha organización. En ocasiones, esto se denomina traza de organización.

La cuenta de administración de la organización puede asignar un administrador delegado para que cree nuevos registros de seguimiento de la organización o administre los registros de seguimiento de la organización existentes. Para obtener más información acerca de cómo agregar un administrador delegado, consulte Cómo agregar un administrador delegado de CloudTrail.

La cuenta de administración de la organización puede editar un registro de seguimiento existente en su cuenta y aplicarlo a una organización, lo que lo convertirá en un registro de seguimiento de la organización. La organización realiza un seguimiento de los eventos de registro de la cuenta de administración y de todas las cuentas miembro de la organización. Para obtener más información sobre AWS Organizations, consulte Terminología y conceptos de Organizations.

nota

Debe iniciar sesión con la cuenta de administración o la de un administrador delegado asociado a una organización para poder crear un registro de seguimiento de la organización. También debe tener permisos suficientes para que el usuario o el rol de la cuenta de administración o la de administrador delegado pueda crear el registro de seguimiento. Si no tiene permisos suficientes, no podrá ver la opción para aplicar un registro de seguimiento a una organización.

Todos los registros de seguimiento de la organización creados con la consola son registros de seguimiento multirregión que registran los eventos de las Regiones de AWS habilitadas en cada cuenta de miembro de la organización. Para registrar eventos en todas las particiones de AWS de su organización, cree un registro de seguimiento multirregión en cada partición. Puede crear un registro de seguimiento de la organización de una sola región o de varias regiones mediante la AWS CLI. Si crea un registro de seguimiento de una sola región, solo registrará la actividad en la Región de AWS del registro de seguimiento (también denominada región de origen).

Aunque la mayoría de Regiones de AWS están habilitadas por defecto en su Cuenta de AWS, debe habilitar manualmente determinadas regiones (también denominadas regiones optativas). Para obtener información sobre qué regiones están habilitadas por defecto, consulte Considerations before enabling and disabling Regions en la Guía de referencia de AWS Account Management. Para ver la lista de las regiones que admite CloudTrail, consulte Regiones compatibles con CloudTrail.

Al crear un registro de seguimiento de la organización, se creará una copia con el nombre que le asigne en las cuentas de miembros que pertenezcan a su organización.

Si el registro de seguimiento de la organización corresponde a una sola región y su región de origen no es una región optativa, se crea una copia en la región de origen del registro de seguimiento de la organización en cada cuenta de miembro.
Si el registro de seguimiento de la organización corresponde a una sola región y su región de origen es una región optativa, se crea una copia en la región de origen del registro de seguimiento de la organización en las cuentas de miembros que tengan activada esa región.
Si el registro de seguimiento de la organización es multirregión y su región de origen no es una región optativa, se crea una copia en cada Región de AWS habilitada en cada cuenta de miembro. Cuando una cuenta de miembro habilita una región optativa, tras la activación de dicha región se crea una copia del registro de seguimiento multirregión en la nueva región optativa habilitada.
Si el registro de seguimiento de la organización es multirregión y la región de origen es una región optativa, las cuentas de miembros no enviarán la actividad al registro de seguimiento de la organización a menos que habiliten la Región de AWS en la que se creó el registro de seguimiento multirregión. Por ejemplo, si crea un registro de seguimiento multirregión y elige la región de Europa (España) como región de origen dicho registro, solo las cuentas de miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán su actividad al registro de seguimiento de la organización.

nota

CloudTrail crea registros de seguimiento de la organización en las cuentas de miembros aunque falle la validación de un recurso. Ejemplos de errores de validación:

Una política de buckets de Amazon S3 incorrecta
Una política de temas de Amazon SNS incorrecta
Incapacidad de realizar envíos a un grupo de registro de Registros de CloudWatch
Permisos insuficientes para cifrar mediante una clave de KMS

Las cuentas de miembros con permisos de CloudTrail pueden ver cualquier error de validación de un registro de seguimiento de la organización consultando la página de detalles del registro en la consola de CloudTrail o ejecutando el comando get-trail-status de la AWS CLI.

Los usuarios con permisos de CloudTrail en cuentas de miembros podrán ver los registros de seguimiento de la organización cuando inicien sesión en la consola de CloudTrail desde susCuentas de AWS o cuando ejecuten comandos de la AWS CLI como describe-trails. Sin embargo, los usuarios de cuentas de miembros no tienen permisos suficientes para eliminar los registros de seguimiento de la organización, activar o desactivar el registro, cambiar los tipos de eventos registrados o alterar los registros de seguimiento de la organización de cualquier otro modo.

Al crear un registro de seguimiento de la organización en la consola, o se crea un rol vinculado a servicio para realizar tareas de registro en las cuentas miembro de la organización. Este rol se denomina AWSServiceRoleForCloudTrail y es necesario para que CloudTrail registre los eventos de registro de una organización. Si se agrega una Cuenta de AWS a una organización, el registro de seguimiento de la organización y el rol vinculado al servicio se agregan a esa Cuenta de AWS y se inicia automáticamente el registro para esa cuenta en el registro de seguimiento de la organización. Si se elimina una Cuenta de AWS de una organización, el registro de seguimiento de la organización y el rol vinculado al servicio se eliminarán de la Cuenta de AWS que ya no forma parte de la organización. Sin embargo, los archivos de registros de la cuenta eliminada creados antes de la eliminación de la cuenta permanecerán en el bucket de Amazon S3, donde se almacenan los archivos de registros del traza.

Si la cuenta de administración de una organización de AWS Organizations crea un registro de seguimiento de organización, pero posteriormente se elimina como cuenta de administración de la organización, cualquier registro de seguimiento de organización creado con su cuenta pasa a ser un registro de seguimiento ajeno a la organización.

En el siguiente ejemplo, la cuenta de administración 111111111111 de la organización crea un registro de seguimiento denominado MyOrganizationTrail para la organización o-exampleorgid. El registro de seguimiento registra la actividad de todas las cuentas de la organización en el mismo bucket de Amazon S3. Todas las cuentas de la organización pueden ver MyOrganizationTrail en su lista de trazas, pero las cuentas miembro no puede eliminar ni modificar la traza de la organización. Solo la cuenta de administración o la de administrador delegado pueden modificar o eliminar los registros de seguimiento de la organización. Solo la cuenta de administración puede eliminar una cuenta miembro de una organización. Del mismo modo, de forma predeterminada, solo la cuenta de administración tiene acceso al bucket de Amazon S3 para el registro de seguimiento y los registros que contiene. La estructura de bucket de alto nivel para los archivos de registro contiene una carpeta con el nombre del ID de la organización, y subcarpetas con el nombre de los ID de cada cuenta de la organización. Los eventos de cada cuenta miembro se registran en la carpeta correspondiente al ID de la cuenta miembro. Si la cuenta miembro 444444444444 se elimina de la organización en el futuro, MyOrganizationTrail y el rol vinculado a servicios ya no aparecerán en la cuenta 444444444444 de AWS y no se registrarán más eventos para esa cuenta en el registro de seguimiento de la organización. Sin embargo, la carpeta 444444444444 permanece en el bucket de Amazon S3, con todos los registros creados antes de la eliminación de la cuenta de la organización.

Resumen conceptual de una organización de ejemplo en Organizaciones.

En este ejemplo, el ARN del registro de seguimiento creado en la cuenta de administración es aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Este ARN también es el ARN del registro de seguimiento en todas las cuentas miembro.

Los registros de seguimiento de organización son similares a los normales en muchos aspectos. Puede crear varios registros de seguimiento para su organización y elegir si desea crear uno de organización en varias regiones o en una sola región, y qué tipo de eventos desea que se guarden en el registro de seguimiento de organización, al igual que en cualquier otro registro de seguimiento. Sin embargo, hay algunas diferencias. Por ejemplo, cuando crea un registro de seguimiento en la consola y elige si desea registrar los eventos de datos para los buckets de Amazon S3 o las funciones de AWS Lambda, los únicos recursos que aparecen en la consola de CloudTrail son los de la cuenta de administración, pero puede agregar los ARN de los recursos de las cuentas miembro. Los eventos de datos para los recursos de cuenta miembro especificados se registran sin tener que configurar manualmente el acceso entre cuentas a dichos recursos. Para obtener más información sobre el registro de eventos de administración, eventos de Insights y eventos de datos, consulte Registro de eventos de administración, Registro de eventos de datos y Trabajar con CloudTrail Insights.

nota

En la consola, cree un registro de seguimiento multirregión. Es una práctica recomendada registrar la actividad de todas las regiones habilitadas de su Cuenta de AWS, ya que ayuda a mantener más seguro su entorno de AWS. Para crear un registro de seguimiento de una sola región, utilice la AWS CLI.

Cuando vea eventos en Event history (Historial de eventos) de una organización en AWS Organizations, solo puede ver los eventos de la Cuenta de AWS con la que ha iniciado sesión. Por ejemplo, si ha iniciado sesión con la cuenta de administración de la organización, en Event history (Historial de eventos) se muestran los eventos de administración de los últimos 90 días para la cuenta de administración. Los eventos de la cuenta miembro de la organización no se muestran en Event history (Historial de eventos) para la cuenta de administración. Para ver los eventos de la cuenta miembro en Event history (Historial de eventos), inicie sesión con la cuenta miembro.

Puede configurar otros servicios de AWS para efectuar un análisis más detallado y actuar en función de los datos de eventos recopilados en los registros de CloudTrail de un registro de seguimiento de la organización del mismo modo que con cualquier otro registro de seguimiento. Por ejemplo, puede analizar los datos en un registro de seguimiento de organización mediante Amazon Athena. Para obtener más información, consulte Integraciones de servicios de AWS con registros de CloudTrail.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de varios registros de seguimiento

Cambio de registros de seguimiento de cuentas de miembros a registros de seguimiento de la organización