本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为组织创建跟踪
如果您已在中创建了组织 AWS Organizations,则可以创建跟踪来记录该组织 AWS 账户 中所有的所有事件。这有时称为企业跟踪记录。
组织的管理账户可以指定委托管理员来创建新的组织跟踪或管理现有的组织跟踪。有关添加委托管理员的更多信息,请参阅添加 CloudTrail 委托管理员。
组织的管理账户可以编辑账户中的现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关的更多信息 AWS Organizations,请参阅 Organiz ations 术语和概念。
注意
您必须使用管理账户或与组织关联的委托管理员账户登录,才能创建组织跟踪。您还必须对管理账户或委托管理员账户中的用户或角色具有足够的权限,才能创建跟踪。如果您没有足够的权限,则无法获得用于将跟踪应用于组织的选项。
使用控制台创建的所有组织跟踪都是多区域组织跟踪,它们记录组织 AWS 区域 中每个成员账户中已启用的的事件。要记录组织中所有 AWS 分区的事件,请在每个分区中创建多区域组织跟踪。您可以通过使用 AWS CLI创建单区域或多区域组织跟踪。如果您创建单区域跟踪,则只能记录跟踪的 AWS 区域 (也称为主区域)中的活动。
尽管您 AWS 区域 的默认启用了大多数 AWS 账户,但您必须手动启用某些区域(也称为选择加入区域)。有关默认启用哪些区域的信息,请参阅《AWS 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域。
当您创建组织跟踪时,将在属于您组织的成员账户中创建具有您所指定名称的跟踪副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在每个成员账户的组织跟踪主区域中创建该跟踪的副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域是选择加入区域,则会在已启用该区域的成员账户中的组织跟踪主区域中创建该跟踪的副本。
-
如果组织跟踪是多区域,并且跟踪的主区域不是选择加入区域,则会在每个成员账户中每个已启用 AWS 区域 的中创建跟踪副本。当成员账户启用选择加入区域时,在激活该区域完成后,将在新选择加入的区域中为成员帐户创建多区域跟踪的副本。
-
如果组织跟踪是多区域,而主区域是选择加入区域,则成员账户将不会向组织跟踪发送活动,除非它们选择加入创建多区域跟踪的。 AWS 区域 例如,如果您创建了多区域跟踪,并选择欧洲(西班牙)区域作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)区域的成员账户才会将其账户活动发送到组织跟踪。
注意
CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪。验证失败的示例包括:
-
Amazon S3 存储桶策略不正确
-
Amazon SNS 主题策略不正确
-
无法传输至 Lo CloudWatch gs 日志组
-
权限不足,无法使用 KMS 密钥进行加密
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 AWS CLI get-trail-status命令来查看组织跟踪的任何验证失败。
在成员账户中拥有 CloudTrail 权限的用户在从其账户登录 CloudTrail 控制台时 AWS 账户,或者当他们运行 AWS CLI 命令(如)时,将能够看到组织跟踪describe-trails。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。
在控制台中创建组织跟踪时, CloudTrail 会创建服务相关角色,以在您企业的成员账户中执行日志记录任务。此角色已命名 AWSServiceRoleForCloudTrail,并且是记录组织事件所必需 CloudTrail 的。如果某 AWS 账户 个已添加到企业,则会将企业跟踪记录和服务相关角色添加到该 AWS 账户,并将在企业跟踪记录中自动开始针对该账户的日志录入。如果从企业中删除了,则将会从不再是 AWS 账户 该企业一部分的中删除企业跟踪记录和服务相关角色。 AWS 账户 但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。
如果组织的管理账户创建了 AWS Organizations 组织跟踪,但随后作为该组织的管理账户被移除,则使用其账户创建的任何组织跟踪都将成为非组织跟踪。
在下面的示例中,组织的管理账户 1111111111 为组织创建名为 trail 的跟踪。MyOrganizationTrail o-exampleorgid此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。组织中的所有账户均可以在其跟踪记录列表MyOrganizationTrail中看到,但成员账户无法删除或修改组织跟踪。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户可以访问跟踪的 Amazon S3 存储桶以及其中包含的日志。日志文件的高级存储桶结构包含一个以企业 ID 命名的文件夹,其子文件夹以企业中每个账户 IDs 的账户命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果从企业中删除了成员账户 4444444444444444444444444444444444444444444444444444444444444444444444444444444444444 MyOrganizationTrail AWS 但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。
在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/。此 ARN 也是所有成员账户中的跟踪的 ARN。MyOrganizationTrail
组织跟踪记录在很多方面都类似于常规跟踪记录。您可以为组织创建多个跟踪,并选择创建多区域或单区域组织跟踪,以及您希望在组织跟踪记录中记录哪些类型的事件,就像在任何其他跟踪中一样。但存在一些区别。例如,在控制台中创建跟踪和选择是否记录 Simple Storage Service(Amazon S3)存储桶或 AWS Lambda 函数的数据事件时, CloudTrail 控制台中列出的仅有资源是管理账户的资源,但您可以在成员账户中添加资源的。 ARNs 将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、Insights 事件和数据事件的更多信息,请参阅 记录管理事件、记录数据事件 和 使用见 CloudTrail 解。
注意
在控制台中,您可以创建多区域跟踪。推荐的最佳实践,您的中的所有已启用区域中的日志记录 AWS 账户,因为这样做有助于保持 AWS 环境更加安全。要创建单区域跟踪,请使用 AWS CLI。
当您在中查看中的组织在 Event hist AWS Organizations ory(事件历史记录)中的事件时,只能查看您登录时 AWS 账户 使用的的事件。例如,如果您使用组织管理账户登录,Event history(事件历史记录)将显示该管理账户的过去 90 天的管理事件。组织成员账户事件不会显示在管理账户的 Event history(事件历史记录)中。要查看 Event history(事件历史记录)中的会员账户事件,请使用会员账户登录。
您可以配置其他 AWS 服务,以便进一步分析在 CloudTrail 日志中为组织跟踪收集的事件数据并采取相应的措施(所采用的方式与对其他任何跟踪的方式相同)。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 AWS 与日志的服务集成 CloudTrail 。
