Preparar a criação de uma trilha para sua organização - AWS CloudTrail
Práticas recomendadas de segurança nas trilhas da organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Preparar a criação de uma trilha para sua organização

Antes de criar uma trilha para sua organização, verifique se a conta de gerenciamento ou conta de administrador delegado está configurada corretamente para a criação de trilha.

  • Sua organização deve ter todos os recursos habilitados antes de você criar uma trilha para ela. Para obter mais informações, consulte Habilitar todos os recursos na sua organização.

  • A conta de gerenciamento deve ter o AWSServiceRoleForOrganizationsFunção do . Essa função é criada automaticamente pelo Organizations quando você cria sua organização e é necessária CloudTrail para registrar eventos de uma organização. Para obter mais informações, consulte Organizations e funções vinculadas ao serviço.

  • O perfil ou usuário do IAM que cria a trilha da organização na conta de gerenciamento ou de administrador delegado deve ter permissões suficientes para criar uma trilha da organização. Você deve pelo menos aplicar o AWSCloudTrail_FullAccesspolítica, ou uma política equivalente, para essa função ou usuário. Você também deve ter permissões suficientes em IAM and Organizations para criar a função vinculada ao serviço e habilitar o acesso confiável. Se você optar por criar um novo bucket do S3 para uma trilha da organização usando o CloudTrail console, sua política também precisa incluir o s3:PutEncryptionConfiguration ação porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. A política de exemplo a seguir mostra as permissões mínimas necessárias.

    nota

    Você não deve compartilhar o AWSCloudTrail_FullAccesspolítica ampla em todo o seu Conta da AWS. Em vez disso, você deve restringi-lo a Conta da AWS administradores devido à natureza altamente sensível das informações coletadas por CloudTrail. Os usuários com essa função têm a capacidade de desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em seus Contas da AWS. Por esse motivo, você deve controlar e monitorar de perto o acesso a essa política.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "iam:CreateServiceLinkedRole",
                "organizations:DisableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

  • Para usar o AWS CLI ou CloudTrail APIs para criar uma trilha organizacional, você deve habilitar o acesso confiável para CloudTrail in Organizations e criar manualmente um bucket do Amazon S3 com uma política que permita o registro de uma trilha organizacional. Para obter mais informações, consulte Criando uma trilha para uma organização com o AWS CLI.

  • Para usar uma IAM função existente para adicionar monitoramento de uma trilha organizacional ao Amazon CloudWatch Logs, você deve modificar manualmente a IAM função para permitir a entrega de CloudWatch registros das contas membros ao grupo CloudWatch Logs da conta de gerenciamento, conforme mostrado no exemplo a seguir.

    nota

    Você deve usar uma IAM função e um grupo de CloudWatch registros de registros que exista em sua própria conta. Você não pode usar uma IAM função ou um grupo de CloudWatch registros de propriedade de uma conta diferente. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

    Você pode aprender mais sobre o CloudTrail Amazon CloudWatch Logs inMonitorando arquivos de CloudTrail log com o Amazon CloudWatch Logs. Além disso, considere os limites dos CloudWatch registros e as considerações de preço do serviço antes de decidir habilitar a experiência para uma trilha organizacional. Para obter mais informações, consulte Limites de CloudWatch registros e CloudWatchpreços da Amazon.

  • Para registrar eventos de dados na trilha da sua organização para recursos específicos em contas de membros, prepare uma lista de nomes de recursos da Amazon (ARNs) para cada um desses recursos. Os recursos da conta do membro não são exibidos no CloudTrail console quando você cria uma trilha; você pode procurar recursos na conta de gerenciamento na qual a coleta de eventos de dados é suportada, como buckets do S3. Da mesma forma, se você quiser adicionar recursos específicos para membros ao criar ou atualizar uma trilha da organização na linha de comando, precisará do ARNs para esses recursos.

    nota

    Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Você também deve analisar quantas trilhas já existem na conta de gerenciamento e nas contas dos membros antes de criar uma trilha da organização. CloudTrail limita o número de trilhas que podem ser criadas em cada região. Você não pode exceder esse limite na região em que cria a trilha da organização na conta de gerenciamento. No entanto, ela será criada nas contas-membro mesmo que elas tenham atingido o limite de trilhas em uma região. Embora a primeira trilha de eventos de gerenciamento em qualquer região seja gratuita, as trilhas adicionais são cobradas. Para reduzir o possível custo de uma trilha da organização, considere excluir qualquer trilha desnecessária nas contas de gerenciamento e membro. Para obter mais informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

Práticas recomendadas de segurança nas trilhas da organização

Como prática recomendada de segurança, recomendamos adicionar a chave de aws:SourceArn condição às políticas de recursos (como aquelas para buckets, KMS chaves ou SNS tópicos do S3) que você usa com uma trilha organizacional. O valor de aws:SourceArn é a trilha da organização ARN (ouARNs, se você estiver usando o mesmo recurso para mais de uma trilha, como o mesmo bucket do S3 para armazenar registros de mais de uma trilha). Isso garante que o recurso, como um bucket do S3, aceite somente dados associados à trilha específica. A trilha ARN deve usar o ID da conta de gerenciamento. O trecho de política a seguir mostra um exemplo em que mais de uma trilha está usando o recurso.

"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}

Para obter informações sobre como adicionar chaves de condição às políticas de recursos, consulte o seguinte: