Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de los almacenes de datos de eventos de la organización

Si ha creado una organización en AWS Organizations, puede crear un almacén de datos de eventos de la organización que registre todos los eventos de todos los Cuentas de AWS miembros de esa organización. Los almacenes de datos de eventos de la organización se pueden aplicar a todas las Regiones de AWS regiones o a la región actual. No se puede utilizar el almacén de datos de eventos de la organización para recopilar eventos fuera de AWS.

Puede crear un almacén de datos de eventos de la organización mediante la cuenta de administración o la cuenta del administrador delegado. Cuando un administrador delegado crea un almacén de datos de eventos de la organización, el almacén de datos de eventos de la organización existe en la cuenta de administración de la organización. Este enfoque se debe a que la cuenta de administración mantiene la propiedad de todos los recursos de la organización.

La cuenta de administración de una organización puede actualizar un almacén de datos de eventos a nivel de cuenta para aplicarlo a una organización.

Cuando se especifica que el almacén de datos de eventos de la organización se aplica a una organización, se aplica automáticamente a todas las cuentas de miembros de la organización. Las cuentas de miembro no pueden ver el almacén de datos de eventos de la organización, ni pueden modificarlo o eliminarlo. De forma predeterminada, las cuentas de miembro no tienen acceso al almacén de datos de eventos de la organización, ni pueden realizar consultas en los almacenes de datos de eventos de la organización.

La siguiente tabla muestra las capacidades de la cuenta de administración y las cuentas de administrador delegado de la AWS Organizations organización.

¹Solo la cuenta de administración puede convertir un almacén de datos de eventos de la organización en un almacén de datos de eventos a nivel de cuenta, o convertir un almacén de datos de eventos a nivel de cuenta en un almacén de datos de eventos de la organización. Estas acciones no están permitidas para el administrador delegado porque los almacenes de datos de eventos de la organización solo existen en la cuenta de administración. Cuando un almacén de datos de eventos de la organización se convierte en un almacén de datos de eventos a nivel de cuenta, solo la cuenta de administración tiene acceso al almacén de datos de eventos. Del mismo modo, solo un almacén de datos de eventos a nivel de cuenta que esté en la cuenta de administración se puede convertir en un almacén de datos de eventos de la organización.

² Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado pueden consultar y compartir información mediante la característica de uso compartido de datos de Lake Formation. Cualquier cuenta de administrador delegado, así como la cuenta de administración de la organización, pueden deshabilitar la federación.

Creación de un almacén de datos de eventos de la organización

La cuenta de administración o la cuenta de administrador delegado de una organización pueden crear un almacén de datos de eventos de la organización para recopilar CloudTrail eventos (eventos de administración, eventos de datos) o elementos de AWS Config configuración.

CloudTrail console

Creación de un almacén de datos de eventos de la organización mediante la consola

1. Siga los pasos del procedimiento de creación de un almacén de datos de CloudTrail eventos para eventos a fin de crear un banco de datos de eventos de la organización para eventos CloudTrail de administración o de datos.

   OR

   Siga los pasos del procedimiento de creación de un banco de datos de eventos para los elementos de AWS Config configuración para crear un banco de datos de eventos de la organización para los elementos de AWS Config configuración.

2. En la página Elegir eventos, elija Habilitar para todas las cuentas de mi organización.

AWS CLI

Para crear un banco de datos de eventos de la organización, ejecute el create-event-data-storeejecute el comando e incluya la --organization-enabled opción.

El siguiente AWS CLI create-event-data-store comando de ejemplo crea un almacén de datos de eventos de la organización que recopila todos los eventos de administración. Dado que CloudTrail registra los eventos de administración de forma predeterminada, no es necesario especificar selectores de eventos avanzados si el banco de datos de eventos registra todos los eventos de administración y no recopila ningún evento de datos.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

El siguiente AWS CLI create-event-data-store comando de ejemplo crea un banco de datos de eventos de la organización con un nombre config-items-org-eds que recopila los elementos AWS Config de configuración. Para recopilar los elementos de configuración, especifique que el campo eventCategory iguala a ConfigurationItem en los selectores de eventos avanzados.

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Aplicación de un almacén de datos de eventos a nivel de cuenta a una organización

La cuenta de administración de la organización puede convertir un almacén de datos de eventos a nivel de cuenta para aplicarlo a una organización.

CloudTrail console

Actualización de un almacén de datos de eventos a nivel de cuenta mediante la consola

1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

3. Elija el almacén de datos de eventos que desea actualizar. Esta acción abre la página de detalles del almacén de datos de eventos.

4. En General details (Detalles generales), elijaEdit (Editar).

5. Seleccione Habilitar para todas las cuentas de mi organización.

6. Elija Guardar cambios.

Para obtener información adicional acerca de la actualización de un almacén de datos de eventos, consulte Actualización de un almacén de datos de eventos con la consola.

AWS CLI

Para actualizar un banco de datos de eventos a nivel de cuenta para aplicarlo a una organización, ejecuta el update-event-data-storecomando e incluye la --organization-enabled opción.

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Política de recursos predeterminada para los administradores delegados

CloudTrail genera automáticamente una política de recursos denominada así DelegatedAdminResourcePolicy por los almacenes de datos de eventos de la organización en la que se enumeran las acciones que las cuentas de los administradores delegados pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de entrada DelegatedAdminResourcePolicy se derivan de los permisos de administrador delegados en. AWS Organizations

El objetivo DelegatedAdminResourcePolicy es garantizar que las cuentas de administrador delegado puedan administrar el almacén de datos de eventos de la organización en nombre de la organización y no se les niegue involuntariamente el acceso al almacén de datos de eventos de la organización cuando se adjunta una política basada en recursos al almacén de datos de eventos de la organización que permite o impide a los directores realizar una acción en el almacén de datos de eventos de la organización.

CloudTrail evalúa junto con cualquier política basada DelegatedAdminResourcePolicy en recursos proporcionada para el almacén de datos de eventos de la organización. Solo se negaría el acceso a las cuentas de administrador delegado si la política basada en recursos proporcionada incluyera una declaración en la que se impidiera explícitamente a las cuentas de administrador delegado realizar en el almacén de datos de eventos de la organización una acción que, de otro modo, las cuentas de administrador delegado podrían realizar.

Esta DelegatedAdminResourcePolicy política se actualiza automáticamente cuando:

Puede ver la up-to-date política en la sección de políticas de recursos del administrador delegado de la CloudTrail consola o ejecutando el AWS CLI get-resource-policy comando y pasando el almacén de datos ARN de eventos de la organización.

En el siguiente ejemplo, se ejecuta el get-resource-policy comando en un banco de datos de eventos de la organización.

aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

El siguiente resultado de ejemplo muestra tanto la política basada en recursos proporcionada como la DelegatedAdminResourcePolicy generada para las cuentas de administrador delegado y. 333333333333 111111111111

{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Recursos adicionales