Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Crear un registro para una organización con AWS CLI
Puede crear un registro de seguimiento de organización mediante la AWS CLI. Se AWS CLI actualiza periódicamente con funciones y comandos adicionales. Para garantizar el éxito, asegúrese de haber instalado o actualizado a una AWS CLI versión reciente antes de empezar.
**nota**
Los ejemplos de esta sección son específicos para la creación y actualización de registros de seguimiento de organización. Para ver ejemplos del uso de la AWS CLI para gestionar senderos, consulte [Administrar senderos con el AWS CLI](cloudtrail-additional-cli-commands.md) y[Configuración de la supervisión de CloudWatch registros con AWS CLI](send-cloudtrail-events-to-cloudwatch-logs.md#send-cloudtrail-events-to-cloudwatch-logs-cli). Al crear o actualizar un registro de la organización con la AWS CLI, debes usar un AWS CLI perfil en la cuenta de administración o en la cuenta de administrador delegado con permisos suficientes. Si va a convertir un registro de seguimiento de organización en un registro de seguimiento que no sea de la organización, debe utilizar la cuenta de administración de la organización.
Debe configurar el bucket de Amazon S3 utilizado para una registro de seguimiento de organización con permisos suficientes.
## Creación o actualización de un bucket de Amazon S3 para utilizarlo a fin de almacenar los archivos de registros de un registro de seguimiento de organización
Debe especificar un bucket de Amazon S3 para recibir los archivos de registros de un registro de seguimiento de organización. Este depósito debe tener una política que permita CloudTrail colocar los archivos de registro de la organización en el depósito.
El siguiente es un ejemplo de política para un bucket de Amazon S3 denominado*amzn-s3-demo-bucket*, que es propiedad de la cuenta de administración de la organización. Sustituya *amzn-s3-demo-bucket* *region**managementAccountID*,*trailName*, y por *o-organizationID* los valores de su organización
Esta política de bucket contiene tres instrucciones.
+ La primera afirmación permite llamar CloudTrail a la `GetBucketAcl` acción de Amazon S3 en el bucket de Amazon S3.
+ La segunda instrucción permite el registro en caso de que se cambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.
+ La tercera instrucción permite registrar el registro de seguimiento de una organización.
La política de ejemplo incluye una clave de condición `aws:SourceArn` para la política de bucket de Amazon S3. La clave de condición global de IAM `aws:SourceArn` ayuda a garantizar que solo se CloudTrail escriba en el bucket de S3 para una o varias rutas específicas. En una traza de organización, el valor de `aws:SourceArn` debe ser un ARN de seguimiento que pertenece a la cuenta de administración y utilice el ID de cuenta de administración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a los archivos de registro creados para la organización. De forma predeterminada, solo la cuenta de administración tendrá acceso a los archivos de registros de organización. Para obtener información sobre cómo permitir a los usuarios de IAM de las cuentas miembro el acceso de lectura al bucket de Amazon S3, consulte [Compartir archivos de CloudTrail registro entre AWS cuentas](cloudtrail-sharing-logs.md).
## Se habilita CloudTrail como un servicio confiable en AWS Organizations
Para poder crear un registro de seguimiento de organización, primero debe habilitar todas las características en Organizations. Para obtener más información, consulte [Habilitar todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) o ejecute el siguiente comando mediante un perfil con permisos suficientes en la cuenta de administración:
```
aws organizations enable-all-features
```
Después de habilitar todas las funciones, debe configurar Organizations para que confíe CloudTrail como un servicio de confianza.
Para crear una relación de servicio de confianza entre AWS Organizations y CloudTrail, abra un terminal o una línea de comandos y utilice un perfil en la cuenta de administración. Ejecute el comando `aws organizations enable-aws-service-access`, como se muestra en el ejemplo siguiente.
```
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
```
## Uso de create-trail
### Creación de un registro de seguimiento de organización que se aplique a todas las regiones
Para crear un registro de seguimiento de organización que se aplique a todas las regiones, agregue las opciones `--is-organization-trail` y `--is-multi-region-trail`.
**nota**
Al crear un registro organizativo con la AWS CLI, debe utilizar un AWS CLI perfil en la cuenta de administración o en la cuenta de administrador delegado con permisos suficientes.
En el ejemplo siguiente, se crea un registro de seguimiento de organización que envía registros de todas las regiones a un bucket existente denominado `amzn-s3-demo-bucket`:
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail --is-multi-region-trail
```
Para confirmar que el registro de seguimiento exista en todas las regiones, los parámetros `IsOrganizationTrail` e `IsMultiRegionTrail` en la salida se establecen en `true`:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**nota**
Ejecute el comando `start-logging` para comenzar a ejecutar el registro de seguimiento. Para obtener más información, consulte [Detención e inicio del registro de un registro de seguimiento](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands).
### Creación de un registro de seguimiento de organización como registro de seguimiento de una sola región
El siguiente comando crea un registro de la organización que solo registra los eventos en un único registro Región de AWS, también conocido como registro de una sola región. La AWS región en la que se registran los eventos es la región especificada en el perfil de configuración de AWS CLI.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail
```
Para obtener más información, consulte [Requisitos de nomenclatura para CloudTrail los recursos, los buckets de S3 y las claves de KMS](cloudtrail-trail-naming-requirements.md).
Código de salida de ejemplo:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
De forma predeterminada, el comando `create-trail` crea un registro de seguimiento para una sola región que no permite la validación de archivos de registros.
**nota**
Ejecute el comando `start-logging` para comenzar a ejecutar el registro de seguimiento.
## Ejecución de **update-trail** para actualizar un registro de seguimiento de organización
Puede ejecutar el comando `update-trail` para cambiar las opciones de configuración de un registro de seguimiento de organización o para aplicar un registro de seguimiento existente para una sola cuenta de AWS a toda una organización. Recuerde que puede ejecutar el comando `update-trail` únicamente desde la región en la que se creó el registro de seguimiento.
**nota**
Si utilizas una AWS CLI o una de ellas AWS SDKs para actualizar una ruta, asegúrate de que la política de segmentos de la ruta sea la misma up-to-date. Para obtener más información, consulte [Crear un registro para una organización con AWS CLI](#cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli).
Al actualizar el registro de una organización con la AWS CLI, debe utilizar un AWS CLI perfil de la cuenta de administración o de la cuenta de administrador delegado con permisos suficientes. Si desea convertir un registro de seguimiento de la organización en un registro de seguimiento que no sea de la organización, debe utilizar la cuenta de administración de la organización, ya que la cuenta de administración es la propietaria de todos los recursos de la organización.
CloudTrail actualiza los registros de la organización en las cuentas de los miembros incluso si se produce un error en la validación de un recurso. Ejemplos de errores de validación:
Una política de buckets de Amazon S3 incorrecta
Una política de temas de Amazon SNS incorrecta
incapacidad para realizar envíos a un grupo de CloudWatch registros
Permisos insuficientes para cifrar mediante una clave de KMS
Una cuenta de miembro con CloudTrail permisos puede ver cualquier error de validación del registro de una organización consultando la página de detalles del registro en la CloudTrail consola o ejecutando el AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)comando.
### Aplicación de un registro de seguimiento existente a una organización
Para cambiar un registro existente para que también se aplique a una organización en lugar de a una sola AWS cuenta, añade la `--is-organization-trail` opción, como se muestra en el siguiente ejemplo.
**nota**
Use la cuenta de administración para cambiar un registro de seguimiento existente que no es de la organización por un registro de seguimiento de la organización.
```
aws cloudtrail update-trail --name my-trail --is-organization-trail
```
Para confirmar que el registro de seguimiento se aplica ahora a la organización, el parámetro `IsOrganizationTrail` del resultado tiene el valor `true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
En el ejemplo anterior, el registro de seguimiento se configuró como registro de seguimiento de varias regiones (`"IsMultiRegionTrail": true`). Un registro de seguimiento que solo se aplica a una sola región mostrará `"IsMultiRegionTrail": false` en el resultado.
### Conversión de un registro de seguimiento organizativo de una sola región en un registro de seguimiento organizativo de varias regiones
Para convertir un registro de seguimiento de organización de una sola región existente en un registro de seguimiento de organización de varias regiones, agregue la opción `--is-multi-region-trail` tal como se muestra en el siguiente ejemplo.
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
Para confirmar que el registro de seguimiento se aplica ahora a varias regiones, controle que el parámetro `IsMultiRegionTrail` del resultado tiene el valor `true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "amzn-s3-demo-bucket"
}
```