Risoluzione dei problemi relativi a un percorso organizzativo - AWS CloudTrail
CloudTrail non offre eventiCloudTrail non invia SNS notifiche Amazon per un account membro di un'organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi a un percorso organizzativo

Questa sezione fornisce informazioni su come risolvere i problemi relativi a un organigramma.

CloudTrail non offre eventi

If CloudTrail non fornisce file di CloudTrail log al bucket Amazon S3

Verifica se c'è un problema con il bucket S3.

  • Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se c'è un problema con il bucket S3, la pagina dei dettagli include un avviso che indica che la consegna al bucket S3 non è riuscita.

  • Dal AWS CLI, esegui il get-trail-statuscomando. In caso di errore, l'output del comando include il LatestDeliveryError campo, che mostra tutti gli errori di Amazon S3 che si sono CloudTrail verificati durante il tentativo di inviare i file di log al bucket designato. Questo errore si verifica solo quando c'è un problema con il bucket S3 di destinazione e non si verifica per le richieste con timeout. Per risolvere il problema, correggi la policy del bucket in modo che CloudTrail possa scrivere nel bucket; oppure crea un nuovo bucket, quindi chiama update-trail per specificare il nuovo bucket. Per informazioni sulla policy del bucket dell'organizzazione, consulta Creare o aggiornare un bucket Amazon S3 da utilizzare per archiviare i file di registro per un percorso organizzativo.

Nota

Se configuri erroneamente il percorso (ad esempio, il bucket S3 non è raggiungibile), CloudTrail tenterà di reinviare i file di registro al bucket S3 per 30 giorni e questi eventi saranno soggetti a tariffe standard. attempted-to-deliver CloudTrail Per evitare addebiti su un percorso configurato erroneamente devi eliminarlo.

CloudTrail Se non consegna i log a Logs CloudWatch

Verifica se c'è un problema con la configurazione della politica del ruolo CloudWatch Logs.

  • Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se c'è un problema con CloudWatch i registri, la pagina dei dettagli include un avviso che indica che il recapito CloudWatch dei registri non è riuscito.

  • Dal AWS CLI, esegui il get-trail-statuscomando. In caso di errore, l'output del comando include il LatestCloudWatchLogsDeliveryError campo, che mostra tutti gli errori di CloudWatch log che si sono CloudTrail verificati durante il tentativo di recapitare i log ai registri. CloudWatch Per risolvere il problema, correggi la politica del CloudWatch ruolo Logs. Per informazioni sulla politica del ruolo CloudWatch Logs, vedere. Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio

Se non vedi l'attività di un account membro in un percorso organizzativo

Se non vedi l'attività di un account membro in un percorso organizzativo, controlla quanto segue:

  • Controlla la regione di provenienza del percorso per vedere se si tratta di una regione che accetta l'iscrizione

    Sebbene la maggior parte Regioni AWS sono abilitati di default per il tuo Account AWS, è necessario abilitare manualmente determinate regioni (chiamate anche regioni opt-in). Per informazioni sulle regioni abilitate per impostazione predefinita, consulta Considerazioni prima di abilitare e disabilitare le regioni nella AWS Account Management Guida di riferimento. Per l'elenco delle regioni CloudTrail supportate, vedereCloudTrail Regioni supportate.

    Se il percorso organizzativo è multiregionale e la regione di origine è una regione a cui è richiesto l'accesso, gli account dei membri non invieranno attività all'organizzazione a meno che non aderiscano alla Regione AWS dove è stato creato il percorso multiregionale. Ad esempio, se crei un percorso multiregionale e scegli la regione Europa (Spagna) come regione di origine del percorso, solo gli account membri che hanno abilitato la regione Europa (Spagna) per il proprio account invieranno l'attività dell'account all'organizzazione del percorso. Per risolvere il problema, abilita la regione di attivazione in ogni account membro della tua organizzazione. Per informazioni sull'attivazione di una regione con attivazione, consulta Abilitare o disabilitare una regione nella tua organizzazione nella AWS Account Management Guida di riferimento.

  • Verifica se la politica dell'organizzazione basata sulle risorse è in conflitto con la politica dei ruoli collegati ai servizi CloudTrail

    CloudTrail utilizza il ruolo collegato al servizio denominato per supportare gli itinerari organizzativi. AWSServiceRoleForCloudTrail Questo ruolo collegato al servizio consente di CloudTrail eseguire azioni sulle risorse dell'organizzazione, ad esempio. organizations:DescribeOrganization Se la politica basata sulle risorse dell'organizzazione nega un'azione consentita nella politica relativa ai ruoli collegati ai servizi, non CloudTrail sarà in grado di eseguire l'azione anche se è consentita nella politica relativa ai ruoli collegati ai servizi. Per risolvere il problema, correggi la politica basata sulle risorse dell'organizzazione in modo che non neghi le azioni consentite nella politica relativa ai ruoli collegati ai servizi.

CloudTrail non invia SNS notifiche Amazon per un account membro di un'organizzazione

Quando un account membro con un AWS Organizations organization trail non invia SNS notifiche Amazon, potrebbe esserci un problema con la configurazione della policy dell'SNSargomento. CloudTrail crea gli itinerari organizzativi negli account dei membri anche se la convalida di una risorsa fallisce, ad esempio, l'SNSargomento dell'organigramma non include tutti gli account IDs dei membri. Se la politica dell'SNSargomento non è corretta, si verifica un errore di autorizzazione.

Per verificare se la politica degli SNS argomenti di un percorso presenta un errore di autorizzazione:

  • Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se si verifica un errore di autorizzazione, la pagina dei dettagli include un avviso SNS authorization failed e indica di correggere la politica dell'SNSargomento.

  • Dal AWS CLI, esegui il get-trail-statuscomando. Se si verifica un errore di autorizzazione, l'output del comando include il LastNotificationError campo con un valore diAuthorizationError. Per risolvere il problema, correggi la policy SNS tematica di Amazon. Per informazioni sulla politica SNS tematica di Amazon, consultaPolicy SNS tematica di Amazon per CloudTrail.

Per ulteriori informazioni sugli SNS argomenti e su come abbonarsi, consulta Getting started with Amazon SNS nella Amazon Simple Notification Service Developer Guide.