本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为组织创建跟踪
如果您在中创建了组织 Amazon Organizations,则可以创建记录该组织 Amazon Web Services 账户 中所有人的所有事件的跟踪。这有时称为企业跟踪记录。
组织的管理账户可以指定委托管理员来创建新的组织跟踪或管理现有的组织跟踪。有关添加委托管理员的更多信息,请参阅添加 CloudTrail 委派管理员。
组织的管理账户可以编辑账户中的现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关的更多信息 Amazon Organizations,请参阅 Organizat ions 术语和概念。
注意
您必须使用管理账户或与组织关联的委托管理员账户登录,才能创建组织跟踪。您还必须对管理账户或委托管理员账户中的用户或角色具有足够的权限,才能创建跟踪。如果您没有足够的权限,则无法获得用于将跟踪应用于组织的选项。
使用控制台创建的所有组织跟踪都是多区域组织跟踪,用于记录组织 Amazon Web Services 区域 中每个成员账户中已启用的事件。要记录组织中所有 Amazon 分区中的事件,请在每个分区中创建多区域组织跟踪。您可以使用创建单区域或多区域组织跟踪。 Amazon CLI如果您创建单区域跟踪,则只能在该跟踪 Amazon Web Services 区域 (也称为主区域)中记录活动。
尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《Amazon Account Management 参考指南》中的启用和禁用区域之前的注意事项。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域。
创建组织跟踪时,将在属于您的组织的成员账户中创建带有您指定名称的跟踪副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是 Opt-Region,则会在组织跟踪的主区域的每个成员账户中创建跟踪的副本。
-
如果组织跟踪是针对单区域的,而跟踪的主区域是选择区域,则会在组织跟踪的主区域中在启用该区域的成员账户中创建跟踪的副本。
-
如果组织跟踪是多区域,并且跟踪的主区域不是可选区域,则会在每个成员账户中启用的 Amazon Web Services 区域 每个跟踪中创建一个跟踪副本。当成员账户启用可选区域时,将在该区域的激活完成后,在新选择的区域中为该成员账户创建多区域跟踪的副本。
-
如果组织跟踪是多区域,而主区域是可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如,如果您创建了多区域跟踪并选择欧洲(西班牙)地区作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)地区的成员账户才会将其账户活动发送到组织跟踪。
注意
CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪。验证失败的示例包括:
-
Amazon S3 存储桶策略不正确
-
不正确的 Amazon SNS 主题政策
-
无法传送到 CloudWatch 日志组
-
使用 KMS 密钥加密的权限不足
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 Amazon CLI get-trail-status命令来查看组织跟踪的任何验证失败。
拥有成员账户 CloudTrail 权限的用户在从自己的 Amazon Web Services 账户账户登录 Amazon CloudTrail 控制台或运行诸如之类的 Amazon CLI 命令时可以看到组织跟踪describe-trails。但是,成员账户中的用户没有足够的权限来删除组织跟踪、开启或关闭日志记录、更改记录的事件类型或以任何方式更改组织跟踪。
当您在控制台中创建组织跟踪或在 Organizations 中 CloudTrail 作为可信服务启用时,这会创建一个服务相关角色来在组织的成员账户中执行日志任务。此角色已命名 AWSServiceRoleForCloudTrail,并且是记录组织事件所必需 CloudTrail 的。如果向组织添加了, Amazon Web Services 账户 则会向该组织添加组织跟踪和与服务相关的角色 Amazon Web Services 账户,并在组织跟踪中自动开始该账户的日志记录。如果从组织中移除了, Amazon Web Services 账户 则将从不再属于 Amazon Web Services 账户 该组织的组织中删除组织跟踪和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。
如果组织的管理账户创建了 Amazon Organizations 组织跟踪,但随后被删除为该组织的管理账户,则使用其账户创建的任何组织跟踪都将成为非组织跟踪。
在以下示例中,该组织的管理账户 111111111111 创建了一条以该组织命名的此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。组织中的所有账户都可以在其跟踪列表MyOrganizationTrail跟踪 o-exampleorgid。MyOrganizationTrail中看到,但成员账户无法删除或修改组织跟踪。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户才能访问跟踪的 Amazon S3 存储桶my-organization-bucket以及其中包含的日志。日志文件的高级存储桶结构包含一个以企业 ID 命名的文件夹,其子文件夹以企业中每个账户的账户 ID 命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果成员帐户 444444444444 已从组织中删除,MyOrganizationTrail并且服务相关角色不再出现在 Amazon 账户 444444444444 中,并且组织追踪不会为该账户记录进一步的事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。
在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/。此 ARN 也是所有成员账户中的跟踪的 ARN。MyOrganizationTrail
组织跟踪记录在很多方面都类似于常规跟踪记录。您可以为组织创建多个跟踪,并选择是在所有区域还是在单区域中创建组织跟踪,以及希望在组织跟踪中记录哪些类型的事件,就像在任何其他跟踪中一样。但存在一些区别。例如,当您在控制台中创建跟踪并选择是否记录 Amazon S3 存储桶或 Amazon Lambda 函数的数据事件时, CloudTrail 控制台中列出的资源仅为管理账户的资源,但您可以为成员账户中的资源添加 ARN。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、Insights 事件和数据事件的更多信息,请参阅使用 CloudTrail 日志文件。
注意
在控制台中,您创建可记录所有区域的跟踪。这是推荐的最佳实践;在所有区域记录活动可帮助您提高 Amazon 环境的安全性。要创建单区域跟踪,请使用 Amazon CLI。
您还可以配置其他 Amazon 服务,以进一步分析和处理组织跟踪 CloudTrail 日志中收集的事件数据,就像处理任何其他跟踪一样。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 Amazon 与日志的服务集成 CloudTrail 。