Preparazione per la creazione di un percorso per la tua organizzazione - AWS CloudTrail
Best practice relative alla sicurezza nei trail dell'organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Preparazione per la creazione di un percorso per la tua organizzazione

Prima di creare un trail per la tua organizzazione, assicurati che sia l'account di gestione dell'organizzazione che l'account di gestione siano configurati correttamente per la creazione di trail.

  • La tua organizzazione deve disporre di tutte le caratteristiche abilitate prima di poter creare un trail. Per ulteriori informazioni, consulta Abilitazione di tutte le caratteristiche nell'organizzazione.

  • L'account di gestione deve disporre del ruolo AWSServiceRoleForOrganizations. Questo ruolo viene creato automaticamente da Organizations al momento della creazione dell'organizzazione ed è necessario per CloudTrail registrare gli eventi di un'organizzazione. Per ulteriori informazioni, consulta Organizations e ruoli collegati ai servizi.

  • L'utente o il ruolo che crea il percorso dell'organizzazione nell'account di gestione o nell'account dell'amministratore delegato deve disporre di autorizzazioni sufficienti per creare un percorso. È necessario almeno applicare la policy AWSCloudTrail_FullAccess, o una policy equivalente, a quel ruolo o utente. È inoltre necessario disporre di autorizzazioni sufficienti in IAM and Organizations per creare il ruolo collegato al servizio e abilitare l'accesso affidabile. Se scegli di creare un nuovo bucket S3 per un percorso organizzativo utilizzando la console, CloudTrail la tua politica deve includere anche il s3:PutEncryptionConfiguration azione perché per impostazione predefinita la crittografia lato server è abilitata per il bucket. La policy di esempio seguente mostra le autorizzazioni minime richieste.

    Nota

    Non dovresti condividere la AWSCloudTrail_FullAccesspolitica su larga scala tra i tuoi. Account AWS Dovresti invece limitarla agli Account AWS amministratori a causa della natura altamente sensibile delle informazioni raccolte da. CloudTrail Gli utenti con questo ruolo hanno la possibilità di disabilitare o riconfigurare le funzioni di auditing più sensibili e importanti negli Account AWS. Per questo motivo, l'accesso a questa policy deve essere strettamente controllato e monitorato.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • Per utilizzare AWS CLI o CloudTrail APIs per creare un percorso organizzativo, devi abilitare l'accesso affidabile per CloudTrail in Organizations e devi creare manualmente un bucket Amazon S3 con una politica che consenta la registrazione per un percorso organizzativo. Per ulteriori informazioni, consulta Creare un percorso per un'organizzazione con AWS CLI.

  • Per utilizzare un IAM ruolo esistente per aggiungere il monitoraggio di un percorso organizzativo ad Amazon CloudWatch Logs, devi modificare manualmente il IAM ruolo per consentire la consegna dei CloudWatch log per gli account membri al gruppo CloudWatch Logs per l'account di gestione, come mostrato nell'esempio seguente.

    Nota

    È necessario utilizzare un IAM ruolo e un gruppo di log CloudWatch Logs esistenti nel proprio account. Non è possibile utilizzare un IAM ruolo o un gruppo di log CloudWatch Logs di proprietà di un account diverso. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    Puoi saperne di più CloudTrail e CloudWatch accedere ad Amazon Logs. Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs Inoltre, considera i limiti imposti ai CloudWatch log e le considerazioni relative ai prezzi del servizio prima di decidere di abilitare l'esperienza per un'organizzazione. Per ulteriori informazioni, consulta CloudWatch Logs Limits e Amazon CloudWatch Pricing.

  • Per registrare gli eventi relativi ai dati nella traccia della tua organizzazione per risorse specifiche negli account dei membri, prepara un elenco di Amazon Resource Names (ARNs) per ciascuna di queste risorse. Le risorse dell'account membro non vengono visualizzate nella CloudTrail console quando crei un percorso; puoi cercare le risorse nell'account di gestione su cui è supportata la raccolta di eventi di dati, come i bucket S3. Allo stesso modo, se desideri aggiungere risorse specifiche per i membri durante la creazione o l'aggiornamento di un percorso organizzativo dalla riga di comando, hai bisogno ARNs di tali risorse.

    Nota

    Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per CloudTrail i prezzi, consulta la sezione AWS CloudTrail Prezzi.

Prima di creare un percorso organizzativo, dovresti anche prendere in considerazione la possibilità di verificare quanti percorsi esistono già nell'account di gestione e negli account dei membri. CloudTrail limita il numero di sentieri che possono essere creati in ogni regione. Non puoi superare questo limite nella Regione in cui crei il percorso dell'organizzazione nell'account di gestione. Tuttavia, il percorso verrà creato negli account membri anche se questi hanno raggiunto il limite di percorsi in una Regione. Il primo percorso degli eventi di gestione in qualsiasi Regione è gratuito, tuttavia si applicano tariffe per i percorsi aggiuntivi. Per ridurre il costo potenziale di un percorso dell'organizzazione, considera l'eliminazione di qualsiasi percorso non necessario negli account di gestione e membri. Per ulteriori informazioni sui CloudTrail prezzi, consulta la AWS CloudTrail pagina Prezzi.

Best practice relative alla sicurezza nei trail dell'organizzazione

Come best practice di sicurezza, ti consigliamo di aggiungere la chiave di aws:SourceArn condizione alle politiche delle risorse (come quelle per i bucket, KMS le chiavi o SNS gli argomenti S3) che usi con un percorso organizzativo. Il valore di aws:SourceArn è l'organigramma ARN (oARNs, se utilizzi la stessa risorsa per più di un itinerario, ad esempio lo stesso bucket S3 per archiviare i log di più di un itinerario). Ciò garantisce che la risorsa, come un bucket S3, accetti solo i dati associati al trail specifico. Il percorso ARN deve utilizzare l'ID account dell'account di gestione. Il seguente frammento di policy mostra un esempio in cui più di un trail utilizza la risorsa.

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Per informazioni su come aggiungere chiavi di condizione ai criteri delle risorse, consulta quanto segue: