Cree un almacén de datos de eventos de la organización Aplique un banco de datos de eventos a nivel de cuenta a una organización Véase también

Descripción de los almacenes de datos de eventos de la organización

Si ha creado una organización en AWS Organizations, puede crear un almacén de datos de eventos de la organización que registre todos los eventos de todos Cuentas de AWS en esa organización. Los almacenes de datos de eventos de la organización se pueden aplicar a todos Regiones de AWS, o la región actual. No puedes usar el almacén de datos de eventos de una organización para recopilar eventos ajenos a AWS.

Puede crear un banco de datos de eventos de la organización mediante la cuenta de administración o la cuenta de administrador delegado. Cuando un administrador delegado crea un almacén de datos de eventos de la organización, el almacén de datos de eventos de la organización existe en la cuenta de administración de la organización. Este enfoque se debe a que la cuenta de administración mantiene la propiedad de todos los recursos de la organización.

La cuenta de administración de una organización puede actualizar un banco de datos de eventos a nivel de cuenta para aplicarlo a una organización.

Cuando se especifica que el almacén de datos de eventos de la organización se aplica a una organización, se aplica automáticamente a todas las cuentas de miembros de la organización. Las cuentas de miembro no pueden ver el almacén de datos de eventos de la organización, ni pueden modificarlo o eliminarlo. De forma predeterminada, las cuentas de miembro no tienen acceso al almacén de datos de eventos de la organización, ni pueden realizar consultas en los almacenes de datos de eventos de la organización.

En la siguiente tabla se muestran las capacidades de la cuenta de administración y las cuentas de administrador delegado dentro del AWS Organizations organización.

Capacidades	Cuenta de administración	Cuenta de administrador delegado
Registrar o eliminar las cuentas de administrador delegado.	Sí	No
Cree un almacén de datos de eventos de la organización para AWS CloudTrail eventos o AWS Config elementos de configuración.	Sí	Sí
Habilite Insights en un almacén de datos de eventos de la organización.	Sí	No
Actualizar un almacén de datos de eventos de la organización.	Sí	Sí ¹
Habilitar la federación de consultas de Lake en un almacén de datos de eventos de la organización. ²	Sí	Sí
Deshabilitar la federación de consultas de Lake en un almacén de datos de eventos de la organización.	Sí	Sí
Eliminar un almacén de datos de eventos de la organización.	Sí	Sí
Copie eventos de registro de seguimiento en un almacén de datos de eventos.	Sí	No
Ejecutar consultas en almacenes de datos de eventos de la organización.	Sí	Sí
Consulte el panel de control de CloudTrail Lake para ver un almacén de datos de eventos de la organización.	Sí	Sí

¹ Solo la cuenta de administración puede convertir un banco de datos de eventos de la organización en un banco de datos de eventos a nivel de cuenta, o convertir un banco de datos de eventos a nivel de cuenta en un banco de datos de eventos de la organización. Estas acciones no están permitidas para el administrador delegado porque los almacenes de datos de eventos de la organización solo existen en la cuenta de administración. Cuando un banco de datos de eventos de la organización se convierte en un banco de datos de eventos a nivel de cuenta, solo la cuenta de administración tiene acceso al banco de datos de eventos. Del mismo modo, solo un almacén de datos de eventos a nivel de cuenta de la cuenta de administración se puede convertir en un almacén de datos de eventos de la organización.

² Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado pueden consultar y compartir información mediante la característica de uso compartido de datos de Lake Formation. Cualquier cuenta de administrador delegado, así como la cuenta de administración de la organización, pueden deshabilitar la federación.

Cree un almacén de datos de eventos de la organización

La cuenta de administración o la cuenta de administrador delegado de una organización pueden crear un banco de datos de eventos de la organización para recopilar CloudTrail eventos (eventos de administración, eventos de datos) o AWS Config elementos de configuración.

nota

Solo la cuenta de administración de la organización puede copiar los eventos de seguimiento a un almacén de datos de eventos.

CloudTrail console

Para crear un almacén de datos de eventos de la organización mediante la consola

Siga los pasos del procedimiento de creación de un banco de datos de CloudTrail eventos para crear un banco de datos de eventos de la organización para eventos CloudTrail de administración o de datos.

OR

Siga los pasos que se indican en la sección Crear un banco de datos de eventos para AWS Config elementos de configuración: procedimiento para crear un banco de datos de eventos de la organización AWS Config elementos de configuración.
En la página Elegir eventos, elija Activar para todas las cuentas de mi organización.

AWS CLI

Para crear un almacén de datos de eventos de la organización, ejecute el create-event-data-storeejecute el comando e incluya la --organization-enabled opción.

El siguiente ejemplo AWS CLI create-event-data-storeel comando crea un almacén de datos de eventos de la organización que recopila todos los eventos de administración. Como CloudTrail registra los eventos de administración de forma predeterminada, no es necesario especificar selectores de eventos avanzados si el banco de datos de eventos registra todos los eventos de administración y no recopila ningún evento de datos.


aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

El siguiente ejemplo AWS CLI create-event-data-storeel comando crea un banco de datos de eventos de la organización denominado config-items-org-eds que recopila AWS Config elementos de configuración. Para recopilar los elementos de configuración, especifique que el eventCategory campo es igual ConfigurationItem en los selectores de eventos avanzados.


aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Aplique un banco de datos de eventos a nivel de cuenta a una organización

La cuenta de administración de la organización puede convertir un banco de datos de eventos a nivel de cuenta para aplicarlo a una organización.

Véase también

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administrar los recursos de la federación de CloudTrail Lake con AWS Lake Formation

Integraciones