Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere gli archivi di dati degli eventi organizzativi

Se è stata creata un'organizzazione in AWS Organizations, è possibile creare un data store di eventi organizzativi che registri tutti Account AWS gli eventi di quell'organizzazione. Gli archivi dati degli eventi organizzativi possono essere applicati a tutti Regioni AWS o alla regione corrente. Non puoi utilizzare un datastore di eventi dell'organizzazione per raccogliere eventi dall'esterno di AWS.

È possibile creare un data store di eventi organizzativi utilizzando l'account di gestione o l'account amministratore delegato. Quando un amministratore delegato crea un datastore di eventi dell'organizzazione, quest'ultimo esiste nell'account di gestione dell'organizzazione. Questo approccio è dovuto al fatto che l'account di gestione mantiene la proprietà di tutte le risorse dell'organizzazione.

L'account di gestione di un'organizzazione può aggiornare un data store di eventi a livello di account per applicarlo a un'organizzazione.

Quando il datastore di eventi dell'organizzazione viene specificato come applicabile a un'organizzazione, viene applicato automaticamente a tutti gli account membri di tale organizzazione. Gli account membri non possono visualizzare il datastore di eventi dell'organizzazione né possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membri non hanno accesso al datastore di eventi dell'organizzazione né possono eseguire query su tali datastore.

La tabella seguente mostra le funzionalità dell'account di gestione e degli account amministratore delegato all'interno dell'organizzazione. AWS Organizations

¹ Solo l'account di gestione può convertire un data store di eventi organizzativi in un data store di eventi a livello di account o convertire un data store di eventi a livello di account in un data store di eventi organizzativi. Queste operazioni non sono consentite all'amministratore delegato perché i datastore di eventi dell'organizzazione esistono solo nell'account di gestione. Quando un data store di eventi organizzativi viene convertito in un data store di eventi a livello di account, solo l'account di gestione ha accesso al data store degli eventi. Analogamente, solo un data store di eventi a livello di account nell'account di gestione può essere convertito in un data store di eventi dell'organizzazione.

²Solo un singolo account amministratore delegato o l'account di gestione può abilitare la federazione in un datastore di eventi dell'organizzazione. Altri account amministratore delegato possono eseguire query e condividere informazioni utilizzando la funzionalità di condivisione dei dati di Lake Formation. Qualsiasi account amministratore delegato, nonché l'account di gestione dell'organizzazione, può disabilitare la federazione.

Crea un data store di eventi organizzativi

L'account di gestione o l'account amministratore delegato di un'organizzazione può creare un data store di eventi organizzativi per raccogliere CloudTrail eventi (eventi di gestione, eventi relativi ai dati) o elementi di AWS Config configurazione.

CloudTrail console

Per creare un data store di eventi organizzativi utilizzando la console

1. Segui i passaggi della procedura Crea un data store di CloudTrail eventi per eventi per creare un data store di eventi organizzativi per la CloudTrail gestione degli eventi o dei dati.

   OPPURE

   Segui i passaggi della procedura di creazione di un data store di eventi per gli elementi di AWS Config configurazione per creare un data store di eventi dell'organizzazione per gli elementi di AWS Config configurazione.

2. Nella pagina Scegli eventi, scegli Abilita per tutti gli account della mia organizzazione.

AWS CLI

Per creare un archivio dati di eventi organizzativi, esegui il create-event-data-storecomando e includi l'--organization-enabledopzione.

Il AWS CLI create-event-data-store comando di esempio seguente crea un archivio dati degli eventi organizzativi che raccoglie tutti gli eventi di gestione. Poiché CloudTrail registra gli eventi di gestione per impostazione predefinita, non è necessario specificare selettori di eventi avanzati se l'Event Data Store registra tutti gli eventi di gestione e non raccoglie alcun evento relativo ai dati.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

Di seguito è riportata una risposta di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Il AWS CLI create-event-data-store comando di esempio successivo crea un archivio dati di eventi organizzativi denominato config-items-org-eds che raccoglie AWS Config gli elementi di configurazione. Per raccogliere gli elementi di configurazione, specificate che il eventCategory campo sia uguale ConfigurationItem nei selettori di eventi avanzati.

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Applica un data store di eventi a livello di account a un'organizzazione

L'account di gestione dell'organizzazione può convertire un data store di eventi a livello di account per applicarlo a un'organizzazione.

CloudTrail console

Per aggiornare un data store di eventi a livello di account utilizzando la console

1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo. https://console.aws.amazon.com/cloudtrail/

2. Nel riquadro di navigazione, seleziona Datastore di eventi in Lake.

3. Scegli il datastore di eventi da aggiornare. Questa operazione apre la pagina dei dettagli del datastore di eventi.

4. In General details (Dettagli generali), scegli Edit (Modifica).

5. Scegli Abilita per tutti gli account della mia organizzazione.

6. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sull'aggiornamento di un archivio dati di eventi, consultaAggiorna un data store di eventi con la console.

AWS CLI

Per aggiornare un Event Data Store a livello di account per applicarlo a un'organizzazione, esegui il update-event-data-storecomando e includi l'--organization-enabledopzione.

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Politica delle risorse predefinita per gli amministratori delegati

CloudTrail genera automaticamente una politica delle risorse denominata DelegatedAdminResourcePolicy Data Store degli eventi organizzativi che elenca le azioni che gli account amministratore delegati sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni in DelegatedAdminResourcePolicy derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations

Lo scopo di DelegatedAdminResourcePolicy è garantire che gli account amministratore delegato possano gestire l'archivio dati degli eventi dell'organizzazione per conto dell'organizzazione e non venga negato involontariamente l'accesso all'archivio dati degli eventi dell'organizzazione quando all'archivio dati degli eventi dell'organizzazione è associata una politica basata sulle risorse che consente o impedisce ai responsabili di eseguire un'azione sull'archivio dati degli eventi dell'organizzazione.

CloudTrail valuta insieme a qualsiasi politica basata DelegatedAdminResourcePolicy sulle risorse fornita per l'archivio dati degli eventi dell'organizzazione. L'accesso agli account degli amministratori delegati verrebbe negato solo se la politica basata sulle risorse fornita includesse una dichiarazione che impediva esplicitamente agli account amministratore delegati di eseguire un'azione sul data store degli eventi organizzativi che gli account amministratore delegati sarebbero altrimenti in grado di eseguire.

Questa politica viene aggiornata automaticamente quando: DelegatedAdminResourcePolicy

È possibile visualizzare la up-to-date politica nella sezione Politica delle risorse dell'amministratore delegato sulla CloudTrail console oppure eseguendo il AWS CLI get-resource-policy comando e passando il data store ARN degli eventi dell'organizzazione.

L'esempio seguente esegue il get-resource-policy comando su un archivio dati di eventi organizzativi.

aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

L'output di esempio seguente mostra sia la politica basata sulle risorse fornita sia quella DelegatedAdminResourcePolicy generata per gli account di amministratore delegato e. 333333333333 111111111111

{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Risorse aggiuntive