Criar trilhas em contas adicionais - AWS CloudTrail
Usar o console para criar trilhas em contas adicionais Usar a CLI para ativar o CloudTrail em contas adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar trilhas em contas adicionais

Você pode usar o console ou a AWS CLI para criar trilhas em Contas da AWS adicionais e agregar seus arquivos de log a um bucket do Amazon S3. Como alternativa, você pode criar uma trilha da organização para registrar todas as Contas da AWS que fazem parte de uma organização do AWS Organizations. Para ter mais informações, consulte Criar uma trilha para uma organização.

Usar o console para criar trilhas em contas da AWS adicionais

É possível usar o console do CloudTrail para criar trilhas em contas adicionais.

  1. Faça login no AWS Management Console com a conta para a qual você deseja criar uma trilha. Siga estas etapas em Criar uma trilha no console para criar uma trilha usando o console.

  2. Em Storage location (Local de armazenamento), escolha Use existing S3 bucket (Usar bucket S3 existente). Use a caixa de texto para inserir o nome do bucket que você está usando para armazenar arquivos de log nas contas.

    nota

    A política de bucket precisa conceder ao CloudTrail permissão para gravar nele. Para obter informações sobre como editar manualmente a política de bucket, consulte Definir a política de bucket para várias contas.

    Usar bucket doo S3 existente

  3. Em Prefixo, insira o prefixo que você está usando para armazenar arquivos de log nas contas. Se você optar por usar um prefixo diferente do especificado na política do bucket, será necessário editar essa política no bucket de destino para permitir que o CloudTrail grave arquivos de log em seu bucket usando esse novo prefixo.

Usar a CLI para criar uma trilha em contas da AWS adicionais

Você pode usar as ferramentas de linha de comando da AWS para criar trilhas em contas adicionais e agregar seus arquivos de log a um bucket do Amazon S3. Para obter mais informações sobre essas ferramentas, consulte cloudtrail na Referência de comandos da AWS CLI.

Para criar uma trilha usando o comando create-trail, especifique o seguinte:

  • --name especifica o nome da trilha.

  • --s3-bucket-name especifica o bucket do Amazon S3 que você está usando para armazenar arquivos de log entre contas.

  • --s3-prefix especifica um prefixo para o caminho de entrega de arquivos de log (opcional).

  • --is-multi-region-trail especifica que essa trilha registrará eventos em todas as regiões da AWS na partição em que você está trabalhando.

Você pode criar uma trilha para cada região em que uma conta está executando recursos da AWS.

O exemplo de comando a seguir mostra como criar uma trilha para suas contas adicionais usando a AWS CLI. Para que os arquivos de log dessa conta sejam fornecidos ao bucket que você criou em sua primeira conta (neste exemplo, 111111111111), especifique o nome do bucket na opção --s3-bucket-name. Os nomes dos buckets do Amazon S3 são globalmente exclusivos. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail

Quando você executar o comando, verá um resultado semelhante a este:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Para obter mais informações sobre o uso do CloudTrail a partir das ferramentas da linha de comando da AWS, consulte a Referência de linha de comando do CloudTrail.