AWS CloudTrail e AWS Organizations - AWS Organizations
Ruoli collegati ai serviziPrincipali del servizioAbilitazione dell'accesso attendibileDisabilitare l'accesso attendibileAbilitazione dell'amministratore delegatoDisabilitazione di un amministratore delegato per CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudTrail e AWS Organizations

AWS CloudTrail è un AWS servizio che vi aiuta ad abilitare la governance, la conformità e il controllo operativo e dei rischi del vostro Account AWS. Utilizzando AWS CloudTrail, un utente di un account di gestione può creare un percorso organizzativo che registra tutti gli eventi per tutti Account AWS i membri dell'organizzazione. I trail di organizzazione vengono automaticamente applicati a tutti gli account membro dell'organizzazione. Gli account dei membri possono vedere il trail dell'organizzazione, ma non possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membri non hanno accesso ai file di log per il trail dell'organizzazione nel bucket Amazon S3. Questo consente di applicare in modo omogeneo la tua strategia di registrazione di eventi agli account della tua organizzazione.

Per ulteriori informazioni, consulta Creazione di un trail per un'organizzazione nella Guida per l'utente di AWS CloudTrail .

Utilizza le seguenti informazioni per aiutarti a eseguire l'integrazione AWS CloudTrail con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Questo ruolo consente di CloudTrail eseguire operazioni supportate all'interno degli account dell'organizzazione all'interno dell'organizzazione.

È possibile eliminare o modificare questo ruolo solo se si disabilita l'accesso affidabile tra CloudTrail e Organizations o se si rimuove l'account membro dall'organizzazione.

  • AWSServiceRoleForCloudTrail

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da CloudTrail Concedono l'accesso ai seguenti responsabili del servizio:

  • cloudtrail.amazonaws.com

Abilitazione dell'accesso attendibile con CloudTrail

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Se abiliti l'accesso affidabile creando un percorso dalla AWS CloudTrail console, l'accesso affidabile viene configurato automaticamente per te (scelta consigliata). Puoi anche abilitare l'accesso affidabile utilizzando la AWS Organizations console. Devi accedere con il tuo account di AWS Organizations gestione per creare un percorso organizzativo.

Se scegli di creare un percorso organizzativo utilizzando l' AWS CLI o l' AWS API, devi configurare manualmente l'accesso affidabile. Per ulteriori informazioni, consulta Enabling CloudTrail as a trusted service AWS Organizations nella Guida per l'AWS CloudTrail utente.

Importante

Ti consigliamo vivamente di utilizzare, quando possibile, la AWS CloudTrail console o gli strumenti per abilitare l'integrazione con Organizations.

Puoi abilitare l'accesso affidabile eseguendo un AWS CLI comando Organizations o chiamando un'operazione API Organizations in uno degli AWS SDK.

AWS CLI, AWS API
Per abilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti AWS CLI comandi o operazioni API per abilitare l'accesso affidabile ai servizi:

  • AWS CLI: enable-aws-service-access

    È possibile eseguire il comando seguente per abilitarlo AWS CloudTrail come servizio affidabile con Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: Abilita AWSServiceAccess

Disabilitazione dell'accesso attendibile con CloudTrail

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

AWS CloudTrail richiede un accesso affidabile AWS Organizations per utilizzare i percorsi organizzativi e gli archivi dati degli eventi organizzativi. Se disabiliti l'accesso affidabile AWS Organizations durante l'utilizzo AWS CloudTrail, tutti gli itinerari organizzativi per gli account dei membri vengono eliminati perché non CloudTrail possono accedere all'organizzazione. Tutti gli itinerari di organizzazione degli account di gestione e gli archivi dati degli eventi organizzativi vengono convertiti in percorsi a livello di account e archivi dati di eventi. Il AWSServiceRoleForCloudTrail ruolo creato per l'integrazione tra CloudTrail e AWS Organizations rimane all'interno dell'account. Se riattivi l'accesso affidabile, non CloudTrail interverrà sui percorsi e sugli archivi di dati di eventi esistenti. L'account di gestione deve aggiornare tutti gli itinerari e gli archivi di dati degli eventi a livello di account per applicarli all'organizzazione.

Per convertire un percorso o un data store di eventi a livello di account in un percorso organizzativo o in un data store di eventi organizzativi, procedi come segue:

  • Dalla CloudTrail console, aggiorna il trail o event data store e scegli l'opzione Abilita per tutti gli account della mia organizzazione.

  • Da AWS CLI, procedi come segue:

    • Per aggiornare una traccia, esegui il update-trailcomando e includi il --is-organization-trail parametro.

    • Per aggiornare un archivio dati di eventi, esegui il update-event-data-storecomando e includi il --organization-enabled parametro.

Solo un amministratore dell'account di AWS Organizations gestione può disabilitare l'accesso affidabile con AWS CloudTrail. Puoi disabilitare l'accesso affidabile solo con gli strumenti Organizations, utilizzando la AWS Organizations console, eseguendo un comando Organizations AWS CLI o chiamando un'operazione dell'API Organizations in uno degli AWS SDK.

Puoi disabilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando Organizations o chiamando un'operazione dell'API Organizations in uno degli AWS SDK.

AWS Management Console
Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations

  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS CloudTrailnell'elenco dei servizi.

  4. Scegli Disable trusted access (Disabilita accesso attendibile).

  5. Nella finestra di AWS CloudTrail dialogo Disabilita l'accesso affidabile per, digita disabilita per confermarlo, quindi scegli Disabilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS CloudTrail che ora può disabilitare quel servizio utilizzando la console o gli strumenti con cui lavorare AWS Organizations.

AWS CLI, AWS API
Per disabilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti AWS CLI comandi o operazioni API per disabilitare l'accesso affidabile ai servizi:

  • AWS CLI: disable-aws-service-access

    È possibile eseguire il comando seguente per disabilitarlo AWS CloudTrail come servizio affidabile con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: disabilita AWSServiceAccess

Attivazione di un account amministratore delegato per CloudTrail

Quando si utilizza CloudTrail con Organizations, è possibile registrare qualsiasi account all'interno dell'organizzazione per agire come amministratore CloudTrail delegato per gestire i percorsi e gli archivi di dati degli eventi dell'organizzazione per conto dell'organizzazione. Un amministratore delegato è un account membro di un'organizzazione che può eseguire le stesse attività amministrative dell'account di gestione. CloudTrail

Autorizzazioni minime

Solo un amministratore dell'account di gestione Organizations può registrare un amministratore delegato per CloudTrail.

È possibile registrare un account amministratore delegato utilizzando la CloudTrail console o utilizzando l'operazione Organizations RegisterDelegatedAdministrator CLI o SDK. Per registrare un amministratore delegato utilizzando la CloudTrail console, consulta Aggiungere un amministratore delegato. CloudTrail

Disabilitazione di un amministratore delegato per CloudTrail

Solo un amministratore dell'account di gestione Organizations può rimuovere un amministratore delegato per CloudTrail. È possibile rimuovere l'amministratore delegato utilizzando la CloudTrail console o utilizzando l'operazione Organizations DeregisterDelegatedAdministrator CLI o SDK. Per informazioni su come rimuovere un amministratore delegato utilizzando la CloudTrail console, consulta Rimuovere un amministratore delegato. CloudTrail