Risoluzione dei problemi relativi a un percorso organizzativo - AWS CloudTrail
CloudTrail non offre eventiCloudTrail non invia notifiche Amazon SNS per un account membro in un'organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi a un percorso organizzativo

Questa sezione fornisce informazioni su come risolvere i problemi relativi a un organigramma.

CloudTrail non offre eventi

If CloudTrail non fornisce file di CloudTrail log al bucket Amazon S3

Verifica se c'è un problema con il bucket S3.

  • Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se c'è un problema con il bucket S3, la pagina dei dettagli include un avviso che indica che la consegna al bucket S3 non è riuscita.

  • Da, esegui il AWS CLIget-trail-statuscomando. In caso di errore, l'output del comando include il LatestDeliveryError campo, che mostra tutti gli errori di Amazon S3 che si sono CloudTrail verificati durante il tentativo di inviare i file di log al bucket designato. Questo errore si verifica solo quando c'è un problema con il bucket S3 di destinazione e non si verifica per le richieste con timeout. Per risolvere il problema, correggi la policy del bucket in modo che CloudTrail possa scrivere nel bucket; oppure crea un nuovo bucket, quindi chiama update-trail per specificare il nuovo bucket. Per informazioni sulla policy del bucket dell'organizzazione, consulta Creare o aggiornare un bucket Amazon S3 da utilizzare per archiviare i file di registro per un percorso organizzativo.

Nota

Se configuri erroneamente il percorso (ad esempio, il bucket S3 non è raggiungibile), CloudTrail tenterà di reinviare i file di registro al bucket S3 per 30 giorni e questi eventi saranno soggetti a tariffe standard. attempted-to-deliver CloudTrail Per evitare addebiti su un percorso configurato erroneamente devi eliminarlo.

CloudTrail Se non consegna i log a Logs CloudWatch

Verifica se c'è un problema con la configurazione della politica del ruolo CloudWatch Logs.

  • Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se c'è un problema con CloudWatch i registri, la pagina dei dettagli include un avviso che indica che il recapito CloudWatch dei registri non è riuscito.

  • Da AWS CLI, esegui il get-trail-statuscomando. Se si verifica un errore, l'output del comando include il LatestCloudWatchLogsDeliveryError campo, che mostra qualsiasi errore di CloudWatch log che si è CloudTrail verificato durante il tentativo di recapitare i log a Logs. CloudWatch Per risolvere il problema, correggi la politica del CloudWatch ruolo Logs. Per informazioni sulla politica del ruolo CloudWatch Logs, vedere. Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio

Se non vedi l'attività di un account membro in un percorso organizzativo

Se non vedi l'attività di un account membro in un percorso organizzativo, controlla quanto segue:

  • Controlla la regione di provenienza del percorso per vedere se si tratta di una regione che accetta l'iscrizione

    Sebbene la Regioni AWS maggior parte sia abilitata di default per la tua Account AWS, devi abilitare manualmente alcune regioni (dette anche regioni opzionali). Per informazioni sulle regioni abilitate per impostazione predefinita, consulta Considerazioni prima di abilitare e disabilitare le regioni nella AWS Account Management Guida di riferimento. Per l'elenco delle regioni CloudTrail supportate, vedere. CloudTrail Regioni supportate

    Se il percorso organizzativo è multiregionale e la regione di origine è una regione con attivazione, gli account dei membri non invieranno attività al percorso organizzativo a meno che non scelgano il luogo in Regione AWS cui è stato creato il percorso multiregionale. Ad esempio, se crei un percorso multiregionale e scegli la regione Europa (Spagna) come regione di origine del percorso, solo gli account dei membri che hanno abilitato la regione Europa (Spagna) per il proprio account invieranno l'attività dell'account all'organigramma. Per risolvere il problema, abilita la regione di attivazione in ogni account membro della tua organizzazione. Per informazioni sull'attivazione di un'area geografica, consulta Abilitare o disabilitare una regione nella tua organizzazione nella Guida AWS Account Management di riferimento.

  • Verifica se la politica dell'organizzazione basata sulle risorse è in conflitto con la politica dei ruoli collegati ai servizi CloudTrail

    CloudTrail utilizza il ruolo collegato al servizio denominato per supportare gli itinerari organizzativi. AWSServiceRoleForCloudTrail Questo ruolo collegato al servizio consente di CloudTrail eseguire azioni sulle risorse dell'organizzazione, ad esempio. organizations:DescribeOrganization Se la politica basata sulle risorse dell'organizzazione nega un'azione consentita nella politica relativa ai ruoli collegati ai servizi, non CloudTrail sarà in grado di eseguire l'azione anche se è consentita nella politica relativa ai ruoli collegati ai servizi. Per risolvere il problema, correggi la politica basata sulle risorse dell'organizzazione in modo che non neghi le azioni consentite nella politica relativa ai ruoli collegati ai servizi.

CloudTrail non invia notifiche Amazon SNS per un account membro in un'organizzazione

Quando un account membro con un percorso AWS Organizations organizzativo non invia notifiche Amazon SNS, potrebbe esserci un problema con la configurazione della policy tematica SNS. CloudTrail crea percorsi organizzativi negli account dei membri anche se la convalida di una risorsa fallisce, ad esempio, l'argomento SNS dell'organization trail non include tutti gli account dei membri. IDs Se la policy dell'argomento SNS non è corretta, si verifica un errore di autorizzazione.

Per verificare se la policy degli argomenti SNS di un percorso presenta un errore di autorizzazione:

  • Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se si verifica un errore di autorizzazione, la pagina dei dettagli include un avviso SNS authorization failed e indica di correggere la politica dell'argomento SNS.

  • Da AWS CLI, esegui il get-trail-statuscomando. Se si verifica un errore di autorizzazione, l'output del comando include il LastNotificationError campo con un valore diAuthorizationError. Per risolvere il problema, correggi la policy tematica di Amazon SNS. Per informazioni sulla policy tematica di Amazon SNS, consulta. Policy tematica di Amazon SNS per CloudTrail

Per ulteriori informazioni sugli argomenti relativi a SNS e sulla sottoscrizione ad essi, consulta Getting started with Amazon SNS nella Amazon Simple Notification Service Developer Guide.