Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creare un percorso per un'organizzazione con il AWS CLI
Puoi creare un trail dell'organizzazione utilizzando l' AWS CLI. AWS CLI viene aggiornato regolarmente con funzionalità e comandi aggiuntivi. Per garantire il successo, assicurati di aver installato o aggiornato una AWS CLI versione recente prima di iniziare.
**Nota**
Gli esempi in questa sezione sono specifici per la creazione e l'aggiornamento di trail dell'organizzazione. Per esempi di utilizzo di AWS CLI per gestire i sentieri, vedi [Gestire i percorsi con AWS CLI](cloudtrail-additional-cli-commands.md) e[Configurazione del monitoraggio CloudWatch dei registri con AWS CLI](send-cloudtrail-events-to-cloudwatch-logs.md#send-cloudtrail-events-to-cloudwatch-logs-cli). Quando si crea o si aggiorna un percorso organizzativo con AWS CLI, è necessario utilizzare un AWS CLI profilo nell'account di gestione o nell'account amministratore delegato con autorizzazioni sufficienti. Se stai convertendo un percorso dell'organizzazione in un percorso non dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione.
Devi configurare il bucket Amazon S3 utilizzato per un percorso dell'organizzazione con autorizzazioni sufficienti.
## Creazione o aggiornamento di un bucket Amazon S3 da utilizzare per archiviare i file di log per un percorso dell'organizzazione
Devi specificare un bucket Amazon S3 per ricevere i file di log per un percorso dell'organizzazione. Questo bucket deve avere una politica che CloudTrail consenta di inserire i file di registro dell'organizzazione nel bucket.
Di seguito è riportato un esempio di policy per un bucket Amazon S3 denominato*amzn-s3-demo-bucket*, di proprietà dell'account di gestione dell'organizzazione. Sostituisci *amzn-s3-demo-bucket**region*,*managementAccountID*,*trailName*, e *o-organizationID* con i valori della tua organizzazione
Questa policy del bucket contiene tre istruzioni.
+ La prima istruzione consente di CloudTrail richiamare l'`GetBucketAcl`azione Amazon S3 sul bucket Amazon S3.
+ La seconda istruzione consente la registrazione nel caso in cui il percorso venga modificato da percorso dell'organizzazione a percorso solo per quell'account.
+ La terza istruzione consente la registrazione di un percorso dell'organizzazione.
Il criterio di esempio include una chiave di condizione `aws:SourceArn` per la policy del bucket Amazon S3. La chiave di condizione globale IAM `aws:SourceArn` aiuta a garantire che la CloudTrail scrittura nel bucket S3 sia valida solo per uno o più percorsi specifici. In un trail dell'organizzazione, il valore di `aws:SourceArn` deve essere un ARN trail di proprietà dell'account di gestione e utilizza l'ID dell'account di gestione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
Questa policy di esempio non consente agli utenti degli account membri di accedere ai file di log creati per l'organizzazione. Per impostazione predefinita, i file di log dell'organizzazione sono accessibili solo per l'account di gestione. Per informazioni su come permettere l'accesso in lettura al bucket Amazon S3 per gli utenti IAM degli account membri, consulta [Condivisione di file di CloudTrail registro tra AWS account](cloudtrail-sharing-logs.md).
## Abilitazione CloudTrail come servizio affidabile in AWS Organizations
Prima di poter creare un percorso dell'organizzazione, devi abilitare tutte le caratteristiche in Organizations. Per ulteriori informazioni, consulta [Abilitazione di tutte le caratteristiche nell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) oppure esegui il comando seguente utilizzando un profilo con autorizzazioni sufficienti nell'account di gestione:
```
aws organizations enable-all-features
```
Dopo aver abilitato tutte le funzionalità, è necessario configurare Organizations to trust CloudTrail come servizio affidabile.
Per creare una relazione di servizio affidabile tra AWS Organizations e CloudTrail, apri un terminale o una riga di comando e usa un profilo nell'account di gestione. Eseguire il comando `aws organizations enable-aws-service-access` come dimostrato nel seguente esempio.
```
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
```
## Utilizzo di create-trail
### Creazione di un percorso dell'organizzazione che si applica a tutte le Regioni
Per creare un percorso dell'organizzazione che si applica a tutte le Regioni, aggiungi le opzioni `--is-organization-trail` e `--is-multi-region-trail`.
**Nota**
Quando si crea un percorso organizzativo con AWS CLI, è necessario utilizzare un AWS CLI profilo nell'account di gestione o nell'account amministratore delegato con autorizzazioni sufficienti.
L'esempio seguente crea un percorso dell'organizzazione che distribuisce i log da tutte le Regioni in un bucket esistente denominato `amzn-s3-demo-bucket`:
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail --is-multi-region-trail
```
Per confermare che il percorso esiste in tutte le Regioni, i parametri `IsOrganizationTrail` e `IsMultiRegionTrail` nell'output sono entrambi impostati su `true`:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**Nota**
Esegui il comando `start-logging` per avviare la registrazione per il percorso. Per ulteriori informazioni, consulta [Arresto e avvio della registrazione di log per un trail](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands).
### Creazione di un percorso dell'organizzazione come percorso basato su una singola Regione
Il comando seguente crea un percorso organizzativo che registra solo gli eventi in un unico percorso Regione AWS, noto anche come itinerario a regione singola. La AWS regione in cui vengono registrati gli eventi è la regione specificata nel profilo di configurazione per. AWS CLI
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail
```
Per ulteriori informazioni, consulta [Requisiti di denominazione per CloudTrail risorse, bucket S3 e chiavi KMS](cloudtrail-trail-naming-requirements.md).
Output di esempio:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Per impostazione predefinita, il comando `create-trail` crea un percorso basato su una singola Regione che non permette la convalida dei file di log.
**Nota**
Esegui il comando `start-logging` per avviare la registrazione per il percorso.
## Esecuzione di **update-trail** per aggiornare un percorso dell'organizzazione
Puoi eseguire il comando `update-trail` per modificare le impostazioni di configurazione per un percorso dell'organizzazione o per applicare un percorso esistente per un singolo account AWS a un'intera organizzazione. Ricorda che puoi eseguire il comando `update-trail` solo dalla Regione in cui è stato creato il percorso.
**Nota**
Se usi il AWS CLI o uno dei AWS SDKs per aggiornare un percorso, assicurati che la policy del bucket del percorso sia. up-to-date Per ulteriori informazioni, consulta [Creare un percorso per un'organizzazione con il AWS CLI](#cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli).
Quando aggiorni un percorso organizzativo con il AWS CLI, devi utilizzare un AWS CLI profilo nell'account di gestione o nell'account amministratore delegato con autorizzazioni sufficienti. Se si desidera convertire un percorso dell'organizzazione in uno non dell'organizzazione, è necessario utilizzare l'account di gestione dell'organizzazione, poiché l'account di gestione è il proprietario di tutte le risorse dell'organizzazione.
CloudTrail aggiorna gli itinerari organizzativi negli account dei membri anche se la convalida di una risorsa fallisce. Alcuni esempi di errori di convalida includono:
una policy sui bucket Amazon S3 errata
una politica tematica di Amazon SNS errata
impossibilità di effettuare consegne a un gruppo di CloudWatch log di Logs
autorizzazione insufficiente per crittografare utilizzando una chiave KMS
Un account membro con CloudTrail autorizzazioni può visualizzare eventuali errori di convalida di un percorso organizzativo visualizzando la pagina dei dettagli del percorso sulla CloudTrail console o eseguendo il comando. AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)
### Applicazione di un trail esistente a un'organizzazione
Per modificare un percorso esistente in modo che si applichi anche a un'organizzazione anziché a un singolo AWS account, aggiungi l'`--is-organization-trail`opzione, come mostrato nell'esempio seguente.
**Nota**
Utilizza l'account di gestione per modificare un percorso non dell'organizzazione esistente in un percorso dell'organizzazione.
```
aws cloudtrail update-trail --name my-trail --is-organization-trail
```
Per confermare che il percorso ora è valido per l'organizzazione, il parametro `IsOrganizationTrail` nell'output ha il valore `true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Nell'esempio precedente, il percorso è stato configurato come percorso multiregionale ()`"IsMultiRegionTrail": true`. Un percorso che si applica a una singola Regione visualizzerebbe `"IsMultiRegionTrail": false` nell'output.
### Conversione di un itinerario organizzativo a regione singola in un itinerario organizzativo multiregionale
Per convertire un organigramma a regione singola esistente in un organigramma multiregionale, aggiungi l'`--is-multi-region-trail`opzione come illustrato nell'esempio seguente.
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
Per confermare che l'itinerario è ora un percorso multiregionale, verificate che il `IsMultiRegionTrail` parametro nell'output abbia un valore di. `true`
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```