Solução de problemas com uma trilha de organização - AWS CloudTrail
CloudTrail não está entregando eventosCloudTrail não está enviando notificações do Amazon SNS para uma conta membro em uma organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas com uma trilha de organização

Esta seção fornece informações sobre como solucionar problemas com uma trilha organizacional.

CloudTrail não está entregando eventos

Se não CloudTrail estiver entregando arquivos de CloudTrail log para o bucket do Amazon S3

Verifique se há algum problema com o bucket do S3.

  • No CloudTrail console, confira a página de detalhes da trilha. Se houver um problema com o bucket do S3, a página de detalhes incluirá um aviso de que a entrega para o bucket do S3 falhou.

  • A partir do AWS CLI, execute o get-trail-statuscomando . Se houver uma falha, a saída do comando inclui o LatestDeliveryError campo, que exibe qualquer erro do Amazon S3 CloudTrail encontrado ao tentar entregar arquivos de log para o bucket designado. Esse erro ocorre somente quando há um problema com o bucket S3 de destino e não ocorre em solicitações que atingem o tempo limite. Para resolver o problema, corrija a política do bucket para que ele CloudTrail possa gravar no bucket; ou crie um novo bucket e, em seguida, chame update-trail para especificar o novo bucket. Para obter informações sobre a política de bucket da organização, consulte Criar ou atualizar um bucket do Amazon S3 que será usado para armazenar os arquivos de log de uma trilha de organização.

nota

Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 está inacessível), CloudTrail tentará reenviar os arquivos de log para o bucket do S3 por 30 dias, e esses attempted-to-deliver eventos estarão sujeitos às cobranças padrão. CloudTrail Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.

Se não CloudTrail estiver entregando registros para o CloudWatch Logs

Verifique se há algum problema com a configuração da política de função de CloudWatch registros.

  • No CloudTrail console, confira a página de detalhes da trilha. Se houver um problema com CloudWatch os registros, a página de detalhes incluirá um aviso indicando que a entrega CloudWatch dos registros falhou.

  • A partir do AWS CLI, execute o get-trail-statuscomando . Se houver uma falha, a saída do comando inclui o LatestCloudWatchLogsDeliveryError campo, que exibe qualquer erro de CloudWatch registros CloudTrail encontrado ao tentar entregar CloudWatch registros ao Logs. Para resolver o problema, corrija a política de função de CloudWatch registros. Para obter informações sobre a política de função de CloudWatch registros, consulteDocumento de política de funções CloudTrail para usar CloudWatch registros para monitoramento.

Se você não estiver vendo a atividade de uma conta-membro em uma trilha da organização

Se você não estiver vendo a atividade de uma conta-membro em uma trilha da organização, verifique o seguinte:

  • Verifique a região de origem da trilha para ver se é uma região de adesão

    Embora a maioria Regiões da AWS esteja ativada por padrão para você Conta da AWS, você deve ativar manualmente determinadas regiões (também chamadas de regiões opcionais). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de habilitar ou desabilitar regiões no Guia de referência da AWS Account Management . Para ver a lista de regiões CloudTrail compatíveis, consulteCloudTrail Regiões suportadas.

    Se a trilha da organização for multirregional e a região de origem for uma região opcional, as contas dos membros não enviarão atividades para a trilha da organização, a menos que optem pela trilha multirregional em Região da AWS que a trilha multirregional foi criada. Por exemplo, se você criar uma trilha de várias regiões e escolher a região Europa (Espanha) como a região de Origem da trilha, somente as contas-membro que habilitaram a região Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização. Para resolver o problema, habilite a região de adesão em cada conta-membro de sua organização. Para obter informações sobre como habilitar uma região de adesão, consulte Habilitar ou desabilitar uma região em sua organização no Guia de referência do AWS Account Management .

  • Verifique se a política baseada em recursos da organização está em conflito com a política de função vinculada ao CloudTrail serviço

    CloudTrail usa a função vinculada ao serviço nomeada AWSServiceRoleForCloudTrailpara apoiar as trilhas da organização. Essa função vinculada ao serviço permite CloudTrail realizar ações nos recursos da organização, como. organizations:DescribeOrganization Se a política baseada em recursos da organização negar uma ação permitida na política de função vinculada ao serviço, não CloudTrail poderá realizar a ação, mesmo que ela seja permitida na política de função vinculada ao serviço. Para resolver o problema, corrija a política baseada em recursos da organização para que ela não negue ações permitidas na política de perfil vinculada ao serviço.

CloudTrail não está enviando notificações do Amazon SNS para uma conta membro em uma organização

Quando uma conta membro com uma trilha AWS Organizations organizacional não está enviando notificações do Amazon SNS, pode haver um problema com a configuração da política de tópicos do SNS. CloudTrail cria trilhas da organização nas contas dos membros mesmo se a validação do recurso falhar, por exemplo, o tópico do SNS da trilha da organização não inclui todas as contas IDs dos membros. Se a política de tópicos do SNS estiver incorreta, ocorrerá falha na autorização.

Como verificar se a política de tópicos do SNS de uma trilha tem uma falha de autorização:

  • No CloudTrail console, confira a página de detalhes da trilha. Se houver uma falha na autorização, a página de detalhes incluirá um aviso SNS authorization failed e indicará que a política de tópicos do SNS deve ser corrigida.

  • A partir do AWS CLI, execute o get-trail-statuscomando . Se houver uma falha na autorização, a saída do comando incluirá o campo LastNotificationError com um valor de AuthorizationError. Para resolver o problema, corrija a política de tópicos do Amazon SNS. Para obter informações sobre a política de tópicos do Amazon SNS, consulte Política de tópicos do Amazon SNS para CloudTrail.

Para obter mais informações sobre tópicos do SNS e como se associar a eles, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.