Criar trilhas em contas adicionais - AWS CloudTrail
Usar o console para criar trilhas em contas adicionais Usando o CLI para ativar CloudTrail contas adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar trilhas em contas adicionais

Você pode usar o console ou o AWS CLI para criar trilhas adicionais Contas da AWS e agregar seus arquivos de log em um bucket do Amazon S3. Como alternativa, você pode criar uma trilha organizacional para registrar todos os Contas da AWS que fazem parte de uma organização AWS Organizations. Para obter mais informações, consulte Criar uma trilha para uma organização.

Usando o console para criar trilhas em AWS contas adicionais

Você pode usar o CloudTrail console para criar trilhas em contas adicionais.

  1. Faça login AWS Management Console com a conta para a qual você deseja criar uma trilha. Siga estas etapas em Criar uma trilha no console para criar uma trilha usando o console.

  2. Em Storage location (Local de armazenamento), escolha Use existing S3 bucket (Usar bucket S3 existente). Use a caixa de texto para inserir o nome do bucket que você está usando para armazenar arquivos de log nas contas.

    nota

    A política do bucket deve conceder CloudTrail permissão para gravar nela. Para obter informações sobre como editar manualmente a política de bucket, consulte Definir a política de bucket para várias contas.

    Usar bucket doo S3 existente

  3. Em Prefixo, insira o prefixo que você está usando para armazenar arquivos de log nas contas. Se você optar por usar um prefixo diferente do especificado na política do bucket, deverá editar a política do bucket no bucket de destino CloudTrail para permitir a gravação de arquivos de log no bucket usando esse novo prefixo.

Usando o CLI para criar uma trilha em AWS contas adicionais

Você pode usar as ferramentas de linha de AWS comando para criar trilhas em contas adicionais e agregar seus arquivos de log em um bucket do Amazon S3. Para obter mais informações sobre essas ferramentas, consulte cloudtrail na Referência de AWS CLI comandos.

Para criar uma trilha usando o comando create-trail, especifique o seguinte:

  • --name especifica o nome da trilha.

  • --s3-bucket-name especifica o bucket do Amazon S3 que você está usando para armazenar arquivos de log entre contas.

  • --s3-prefix especifica um prefixo para o caminho de entrega de arquivos de log (opcional).

  • --is-multi-region-trailespecifica que essa trilha registrará eventos em todas as AWS regiões na partição em que você está trabalhando.

Você pode criar uma trilha para cada região na qual uma conta está administrando AWS recursos.

O exemplo de comando a seguir mostra como criar uma trilha para suas contas adicionais usando a AWS CLI. Para que os arquivos de log dessa conta sejam fornecidos ao bucket que você criou em sua primeira conta (neste exemplo, 111111111111), especifique o nome do bucket na opção --s3-bucket-name. Os nomes dos buckets do Amazon S3 são globalmente exclusivos. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail

Quando você executar o comando, verá um resultado semelhante a este:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Para obter mais informações sobre como usar as ferramentas CloudTrail da linha de AWS comando, consulte a referência da linha de CloudTrail comando.