AWS CloudTrail e AWS Organizations - AWS Organizations
Funções vinculadas a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesabilitar acesso confiávelHabilitar administrador delegadoDesabilitar um administrador delegado para o CloudTrail

AWS CloudTrail e AWS Organizations

O AWS CloudTrail é um serviço da AWS que ajuda você a habilitar a governança, a conformidade, as auditorias operacionais e as auditorias de risco em sua Conta da AWS. Usando o AWS CloudTrail, um usuário em uma conta de gerenciamento pode criar uma trilha da organização que registra em log todos os eventos de todas as Contas da AWS dessa organização. As trilhas da organização são aplicadas automaticamente a todas as contas-membro da organização. As contas-membro podem ver a trilha da organização, mas não pode modificá-la ou excluí-la. Por padrão, as contas-membro não têm acesso aos arquivos de log da trilha da organização no bucket do Amazon S3. Isso ajuda você a aplicar e impor sua estratégia de registro de eventos em log de modo uniforme em todas as contas de sua organização.

Para obter informações consulte Criar uma trilha para uma organização no Guia do usuário do AWS CloudTrail.

Use as informações a seguir para ajudá-lo a integrar o AWS CloudTrail ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o CloudTrail realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o CloudTrail e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForCloudTrail

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo CloudTrail concedem acesso às seguintes entidades de serviço primárias:

  • cloudtrail.amazonaws.com

Habilitar o acesso confiável no CloudTrail

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Se você habilitar o acesso confiável criando uma trilha via console do AWS CloudTrail, o acesso confiável será configurado automaticamente para você. Você também pode habilitar o acesso confiável usando o console do AWS Organizations. Você deve fazer login com sua conta de gerenciamento do AWS Organizations para criar uma trilha da organização.

Se você optar por criar uma trilha da organização usando a AWS CLI ou a API da AWS, você deverá configurar o acesso confiável manualmente. Para obter mais informações, consulte Habilitar o CloudTrail como um serviço confiável no AWS Organizations no Guia do usuário do AWS CloudTrail.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS CloudTrail para habilitar a integração com o Organizations.

Você pode habilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API
Para habilitar o acesso confiável a serviços usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS CloudTrail como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no CloudTrail

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

O AWS CloudTrail requer acesso confiável com o AWS Organizations para trabalhar com trilhas de organização e armazenamentos de dados de eventos de organização. Se você desabilitar o acesso confiável usando o AWS Organizations enquanto estiver usando o AWS CloudTrail, todas as trilhas da organização para contas-membro são excluídas porque o CloudTrail não consegue acessar a organização. Todas as trilhas da organização da conta de gerenciamento e os armazenamentos de dados de eventos da organização são convertidos em trilhas no nível da conta e armazenamentos de dados de eventos. O perfil AWSServiceRoleForCloudTrail criado para a integração entre o CloudTrail e o AWS Organizations permanece na conta. Se você habilitar novamente o acesso confiável, o CloudTrail não tomará nenhuma medida nas trilhas e nos armazenamento de dados de eventos existente. A conta de gerenciamento deve atualizar todas as trilhas no nível da conta e nos armazenamentos de dados de eventos para aplicá-los à organização.

Para converter uma trilha no nível da conta ou um armazenamento de dados de eventos em uma trilha ou um armazenamento de dados de eventos da organização, faça o seguinte:

  • No console do CloudTrail, atualize a trilha ou o armazenamento de dados de evento e selecione a opção Enable for all accounts in my organization.

  • Na AWS CLI, faça o seguinte:

    • Para atualizar uma trilha, execute o comando update-trail e inclua o parâmetro --is-organization-trail.

    • Para atualizar um armazenamento de dados de evento, execute o comando update-event-data-store e inclua o parâmetro --organization-enabled.

Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar acesso confiável com o AWS CloudTrail. Você pode desabilitar o acesso confiável usando as ferramentas do Organizations, o console do AWS Organizations, executando um comando de CLI do Organizations da AWS ou chamando uma operação da API do Organizations em um dos SDKs da AWS.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS Management Console
Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha AWS CloudTrail na lista de serviços.

  4. Escolha Disable trusted access (Desabilitar acesso confiável).

  5. Na caixa de diálogo Disable trusted access for AWS CloudTrail, digite disable para confirmar e selecione Disable trusted access.

  6. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS CloudTrail que agora ele pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API
Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS CloudTrail como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado para o CloudTrail

Ao usar o CloudTrail com o Organizations, é possível registrar qualquer conta da organização para atuar como administrador delegado do CloudTrail e gerenciar as trilhas e os armazenamentos de dados de eventos da organização em nome da organização. Um administrador delegado corresponde a uma conta-membro em uma organização que pode executar tarefas administrativas semelhantes às tarefas da conta de gerenciamento do CloudTrail.

Permissões mínimas

Somente um administrador na conta de gerenciamento do Organizations pode registrar um administrador delegado para o CloudTrail.

É possível registrar uma conta de administrador delegado ao usar o console do CloudTrail ou a operação RegisterDelegatedAdministrator da CLI ou do SDK do Organizations. Para registrar um administrador delegado usando o console do CloudTrail, consulte Add a CloudTrail delegated administrator (Adicionar um administrador delegado do CloudTrail).

Desabilitar um administrador delegado para o CloudTrail

Somente um administrador na conta de gerenciamento do Organizations pode remover um administrador delegado para o CloudTrail. É possível remover o administrador delegado ao usar o console do CloudTrail ou a operação DeregisterDelegatedAdministrator da CLI ou do SDK do Organizations. Para obter informações sobre como remover um administrador delegado usando o console do CloudTrail, consulte Remove a CloudTrail delegated administrator (Remover um administrador delegado do CloudTrail).