Sobre o registro em log no AWS Control Tower - AWS Control Tower

Sobre o registro em log no AWS Control Tower

O AWS Control Tower realiza o registro em log automático de ações e eventos, por meio de sua integração com o AWS CloudTrail e o AWS Config, e os registra no CloudWatch. Todas as ações são registradas em log, incluindo aquelas das contas de gerenciamento do AWS Control Tower e das contas-membros da organização. As ações e os eventos da conta de gerenciamento podem ser visualizados na página Atividades no console. É possível visualizar ações e eventos de contas-membros nos arquivos de arquivamento de logs.

Trilhas no nível da organização

O AWS Control Tower configura uma nova trilha do CloudTrail quando você configura uma zona de pouso. É uma trilha no nível da organização, o que significa que ela registra em log todos os eventos para a conta de gerenciamento e todas as contas-membros da organização. Esse recurso depende de acesso confiável para dar à conta de gerenciamento permissões para criar uma trilha em cada conta-membro.

Consulte mais informações sobre o AWS Control Tower e trilhas de organização do CloudTrail em Creating a trail for an organization.

nota

Nas versões do AWS Control Tower antes da versão 3.0 da zona de pouso, o AWS Control Tower criou uma trilha de conta-membro em cada conta. Quando você atualiza para a versão 3.0, sua trilha do CloudTrail se torna uma trilha organizacional. Para conhecer as práticas recomendadas ao se deslocar entre trilhas, consulte Best practices for changing trails no Guia do usuário do CloudTrail.

Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da organização do AWS Control Tower. Se você já tiver uma implantação de uma trilha do CloudTrail na conta, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.

nota

Quando você atualiza para a versão 3.0 da zona de pouso, o AWS Control Tower exclui as trilhas no nível da conta (que o AWS Control Tower criou) nas suas contas inscritas em seu nome. Seus arquivos de log existentes no nível da conta são preservados em seu bucket do Amazon S3.