CloudTrail 概念 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 概念

本节总结了与之相关的基本概念 CloudTrail。

CloudTrail 事件

中的事件 CloudTrail 是 Amazon 账户中某项活动的记录。此活动可以是IAM身份采取的操作,也可以是可由 CloudTrail其监控的服务。 CloudTrail事件提供了通过 Amazon Web Services Management Console、、 Amazon SDKs、命令行工具和其他 Amazon 服务进行的非API账户活动的历史记录。API

CloudTrail 日志文件不是公共API调用的有序堆栈跟踪,因此事件不会按任何特定的顺序出现。

CloudTrail 记录四种类型的事件:

所有事件类型都使用 CloudTrail JSON日志格式。

默认情况下,跟踪记录和事件数据存储将记录管理事件,但不记录数据事件或 Insights 事件。

有关如何与 Amazon Web Services 服务 集成的信息 CloudTrail,请参阅Amazon 的服务主题 CloudTrail

管理事件

管理事件提供有关对您 Amazon 账户中的资源执行的管理操作的信息。这些也称为控制层面操作

示例管理事件包括:

  • 配置安全性(例如, Amazon Identity and Access Management AttachRolePolicyAPI操作)。

  • 注册设备(例如,Amazon EC2 CreateDefaultVpc API 运营)。

  • 配置数据路由规则(例如,Amazon EC2 CreateSubnet API 操作)。

  • 设置日志记录(例如, Amazon CloudTrail CreateTrailAPI操作)。

管理事件也可以包括您账户中发生的非API事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin事件。有关更多信息,请参阅 捕获的非API事件 CloudTrail

默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅记录管理事件

数据事件

数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。

示例数据事件包括:

下表显示可用于跟踪的数据事件类型。数据事件类型(控制台)列显示控制台中的相应选择。resources.typ resources.type e 值列显示了您使用或指定的值,以便在跟踪中包含该类型的数据事件。 Amazon CLI CloudTrail APIs

对于跟踪,您可以使用基本或高级事件选择器在通用存储桶、Lambda 函数和 DynamoDB 表(显示在表的前三行)中记录 Amazon S3 对象的数据事件。您只能使用高级事件选择器来记录其余行中显示的数据事件类型。

Amazon Web Services 服务 描述 数据事件类型(控制台) resources.type 值
Amazon DynamoDB

表上的 Amazon DynamoDB API 项目级活动(例如PutItemDeleteItem、和操作)。UpdateItem API

注意

对于启用了流的表,数据事件中的 resources 字段同时包含 AWS::DynamoDB::StreamAWS::DynamoDB::Table。如果您为 resources.type 指定 AWS::DynamoDB::Table,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除直播事件,请eventName在该字段上添加过滤器。

DynamoDB

AWS::DynamoDB::Table

Amazon Lambda

Amazon Lambda 函数执行活动 (the InvokeAPI)。

Lambda AWS::Lambda::Function
Amazon S3

Amazon S3 对象级API活动(例如GetObjectDeleteObject、和PutObjectAPI操作),涉及通用存储桶中的对象。

S3 AWS::S3::Object
Amazon AppConfig

Amazon AppConfig API用于配置操作@@ 的活动,例如对StartConfigurationSession和的调用GetLatestConfiguration

Amazon AppConfig AWS::AppConfig::Configuration
Amazon B2B 数据交换

Transformer 操作的 B2B 数据交换API活动,例如对GetTransformerJob和的调用StartTransformerJob

B2B 数据交换 AWS::B2BI::Transformer
Amazon Bedrock Amazon Bedrock 在代理别名上的API活动 Bedrock 代理别名 AWS::Bedrock::AgentAlias
Amazon Bedrock 流别名上的 Amazon Bedrock API 活动。 基岩流别名 AWS::Bedrock::FlowAlias
Amazon Bedrock Amazon Bedrock 在护栏上的API活动。 基岩护栏 AWS::Bedrock::Guardrail
Amazon Bedrock 知识库上的 Amazon Bedrock API 活动 Bedrock 知识库 AWS::Bedrock::KnowledgeBase
Amazon Bedrock Amazon Bedrock 在模特上的API活动。 基岩模型 AWS::Bedrock::Model
Amazon CloudFront

CloudFront API在 a 上的活动 KeyValueStore.

CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
Amazon Cloud Map Amazon Cloud Map API命名空间上的@@ 活动 Amazon Cloud Map 命名空间 AWS::ServiceDiscovery::Namespace
Amazon Cloud Map Amazon Cloud Map API服务上的@@ 活动 Amazon Cloud Map service AWS::ServiceDiscovery::Service
Amazon CloudTrail

CloudTrail PutAuditEvents用于记录外部事件的 L CloudTrail ake 频道上的活动 Amazon。

CloudTrail 频道 AWS::CloudTrail::Channel
Amazon CloudWatch

亚马逊在指标方面的 CloudWatch API活动

CloudWatch 公制 AWS::CloudWatch::Metric
Amazon CloudWatch RUM

应用程序监视器上的亚马逊 CloudWatch RUMAPI活动。

RUM应用程序监视器 AWS::RUM::AppMonitor
Amazon CodeWhisperer 亚马逊在定制方面的 CodeWhisperer API活动。 CodeWhisperer 定制 AWS::CodeWhisperer::Customization
Amazon CodeWhisperer 亚马逊在个人资料上的 CodeWhisperer API活动。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

亚马逊 Cognito 在亚马逊 Cog n ito 身份池上的API活动。

Cognito 身份池 AWS::Cognito::IdentityPool
Amazon Web Services Data Exchange

Amazon Web Services Data Exchange API资产活动。

Data Exchange 资产

AWS::DataExchange::Asset

Amazon Deadline Cloud

Deadline Cloud API舰队上的活动。

Deadline Cloud 舰队

AWS::Deadline::Fleet

Amazon Deadline Cloud

Deadline Cloud API工作中的活动。

Deadline Cloud 工作

AWS::Deadline::Job

Amazon Deadline Cloud

Deadline Cloud API队列中的活动。

Deadline Cloud queue

AWS::Deadline::Queue

Amazon Deadline Cloud

Deadline Cloud API对工人的活动。

Deadline Cloud 工人

AWS::Deadline::Worker

Amazon DynamoDB

亚马逊 Dynam API oDB 直播中的活动。

DynamoDB Streams AWS::DynamoDB::Stream
Amazon 最终用户消息社交 Amazon 最终用户消息电话号码上的社交API活动IDs。 社交消息电话号码 ID AWS::SocialMessaging::PhoneNumberId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) 直接存储,例如APIsPutSnapshotBlockGetSnapshotBlock、和ListChangedBlocks在亚马逊EBS快照上。

亚马逊EBS直销 APIs AWS::EC2::Snapshot
Amazon EMR Amazon 在预写日志工作空间中的EMRAPI活动 EMR预写日志工作空间 AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPI在环境中的活动。

FinSpace AWS::FinSpace::Environment
Amazon Glue

Amazon Glue API在 Lake Formation 创建的桌子上的活动。

Lake Formation AWS::Glue::Table
Amazon GuardDuty

探测器的亚马逊 GuardDuty API活动。

GuardDuty 探测器 AWS::GuardDuty::Detector
Amazon HealthImaging

Amazon HealthImaging API数据存储上的活动。

MedicalImaging 数据存储 AWS::MedicalImaging::Datastore
Amazon IoT

Amazon IoT API证书上的@@ 活动

物联网证书 AWS::IoT::Certificate
Amazon IoT

Amazon IoT API在事物上@@ 活动

物联网的东西 AWS::IoT::Thing
Amazon IoT Greengrass Version 2

组件版本上来自 API Greengrass 核心设备的 Greengrass 活动。

注意

Greengrass 不会记录被拒绝访问的事件。

物联网 Greengrass 组件版本 AWS::GreengrassV2::ComponentVersion
Amazon IoT Greengrass Version 2

部署时来自 G API reengrass 核心设备的 Greengrass 活动。

注意

Greengrass 不会记录被拒绝访问的事件。

物联网 Greengrass 部署 AWS::GreengrassV2::Deployment
Amazon IoT SiteWise

资产上的@@ 物联网 SiteWise API活动

物联网 SiteWise 资产 AWS::IoTSiteWise::Asset
Amazon IoT SiteWise

时间序列上的@@ 物联网 SiteWise API活动

物联网 SiteWise 时间序列 AWS::IoTSiteWise::TimeSeries
Amazon IoT TwinMaker

实体上的物联网 TwinMaker API活动。

物联网 TwinMaker 实体 AWS::IoTTwinMaker::Entity
Amazon IoT TwinMaker

工作空间中的物联网 TwinMaker API活动。

物联网 TwinMaker 工作空间 AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

Amazon Kendra 对重新评分API执行计划进行智能排名活动。

Kendra 排名 AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces(Apache Cassandra 兼容) 桌子上的 Amazon Keys API paces 活动 卡桑德拉桌 AWS::Cassandra::Table
Amazon Kinesis Data Streams Kinesis Data API Streams 直播中的活动 Kinesis 直播 AWS::Kinesis::Stream
Amazon Kinesis Data Streams Kinesis Data API Streams 对直播使用者的活动。 Kinesis 直播消费者 AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Kinesis Video Streams 视频API流上的 Kinesis Video Streams 活动,例如GetMedia对和的通话。PutMedia Kinesis 视频流 AWS::KinesisVideo::Stream
Amazon Machine Learning 机器学习模型上的 Machine Learning API 活动。 匹配学习 MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

Amazon Managed Blockchain 在网络上的API活动。

托管区块链网络 AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Manage JSON d Blockchain-在以太坊节点上RPC调用,例如eth_getBalanceeth_getBlockByNumber

托管区块链 AWS::ManagedBlockchain::Node
Amazon Neptune 图形

Neptune Graph 上的数据API活动,例如查询、算法或向量搜索。

Neptune 图形 AWS::NeptuneGraph::Graph
Amazon One Enterprise

Amazon One 企业版在 a UKey 上的API活动

Amazon One UKey AWS::One::UKey
Amazon One Enterprise

Amazon One 企业版针对用户的API活动。

Amazon One 用户 AWS::One::User
Amazon Payment Cryptography Amazon Payment Cryptography API别名上的活动。 支付密码学别名 AWS::PaymentCryptography::Alias
Amazon Payment Cryptography Amazon Payment Cryptography API按键上的活动。 付款密码学密钥 AWS::PaymentCryptography::Key
Amazon Private CA

Amazon Private CA API活动目录活动的连接器。

Amazon Private CA 活动目录连接器 AWS::PCAConnectorAD::Connector
Amazon Private CA

Amazon Private CA SCEPAPI活动连接器。

Amazon Private CA 连接器用于 SCEP AWS::PCAConnectorSCEP::Connector
亚马逊 Q 应用程序

亚马逊 Q 应用程序上的数据API活动。

亚马逊 Q 应用程序 AWS::QApps:QApp
Amazon Q Business

Amazon Q 企业在应用程序上的API活动

Amazon Q Business 应用程序 AWS::QBusiness::Application
Amazon Q Business

Amazon Q 业务在数据源上的API活动

Amazon Q Business 数据来源 AWS::QBusiness::DataSource
Amazon Q Business

亚马逊 Q 企业在指数上的API活动

Amazon Q Business 索引 AWS::QBusiness::Index
Amazon Q Business

Amazon Q Bus API iness 在网络体验上的活动

Amazon Q Business Web 体验 AWS::QBusiness::WebExperience
Amazon RDS

亚马逊在数据库集群上的RDSAPI活动

RDS数据 API-数据库集群 AWS::RDS::DBCluster
Amazon S3

Amazon S3 在接入点上的API活动

S3 接入点 AWS::S3::AccessPoint
Amazon S3

Amazon S3 对目录存储桶中的对象进行对象级API活动(例如GetObjectDeleteObject、和PutObjectAPI操作)。

S3 快车 AWS::S3Express::Object
Amazon S3

Amazon S3 对象 Lambda 接入点API活动,例如对和的调用。CompleteMultipartUpload GetObject

S3 对象 Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts

O@@ utposts 上的 Amazon S3 对象级活动API

S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker 亚马逊在终端节点上的 SageMaker InvokeEndpointWithResponseStream活动。 SageMaker 端点 AWS::SageMaker::Endpoint
Amazon SageMaker

亚马逊在特色商店上的 SageMaker API活动。

SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

Amazon 在实验试用组件上的 SageMaker API活动。

SageMaker 指标实验试验组件 AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

亚马逊对平台终端节点的SNSPublishAPI操作。

SNS平台终端节点 AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publish和有关主题的PublishBatchAPI操作。

SNS话题 AWS::SNS::Topic
Amazon SQS

亚马逊在消息上的SQSAPI活动

SQS AWS::SQS::Queue
Amazon Step Functions

状态机上的 Step Functions API 活动

Step Functions 状态机 AWS::StepFunctions::StateMachine
Amazon Supply Chain

Amazon Supply Chain API实例上的活动。

供应链 AWS::SCN::Instance
Amazon SWF

亚马逊在域名上的SWFAPI活动。

SWF域 AWS::SWF::Domain
Amazon Systems Manager Systems Manager 在控制通道上的API活动 Systems Manager (系统管理员) AWS::SSMMessages::ControlChannel
Amazon Systems Manager 托管节点上的 Systems Manager API 活动 Systems Manager 托管式节点 AWS::SSM::ManagedNode
Amazon Timestream 亚马逊 Timestream 在QueryAPI数据库上的活动。 Timestream 数据库 AWS::Timestream::Database
Amazon Timestream Amazon Timestream 在QueryAPI表格上的活动。 Timestream 表 AWS::Timestream::Table
Amazon Verified Permissions

策略商店上的 Amazon 已验证权限API活动。

Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces 瘦客户机 WorkSpaces 设备上的瘦客户机API活动。 瘦客户端设备 AWS::ThinClient::Device
Amazon WorkSpaces 瘦客户机 WorkSpaces 环境中的瘦客户机API活动。 瘦客户端环境 AWS::ThinClient::Environment
Amazon X-Ray

痕迹上的 X 射线API活动

X 射线追踪 AWS::XRay::Trace

默认情况下,在您创建跟踪或事件数据存储时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的每种资源类型。有关记录事件数据的更多信息,请参阅 记录数据事件

记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价

网络活动事件

注意

网络活动事件处于预览版 CloudTrail ,可能会发生变化。

CloudTrail 网络活动事件使VPC端点所有者能够记录使用其VPC端点从私有VPC到的 Amazon API呼叫 Amazon Web Services 服务。网络活动事件可让您了解在网络中执行的资源操作VPC。

您可以记录以下服务的网络活动事件:

  • Amazon CloudTrail

  • Amazon EC2

  • Amazon KMS

  • Amazon Secrets Manager

创建跟踪或事件数据存储时,默认情况下不会记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确设置要为其收集活动的事件源。有关更多信息,请参阅 记录网络活动事件

记录网络活动事件需要支付额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价

洞察活动

CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 Amazon 账户中异常的API通话率或错误率活动。Insights 事件提供相关信息API,例如关联的错误代码、事件时间和统计数据,可帮助您了解异常活动并采取行动。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户API使用情况或错误率日志记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。

可能生成 Insights 事件的活动的示例包括:

  • 您的账户通常每分钟记录不超过 20 个 Amazon S3 deleteBucket API 呼叫,但您的账户开始平均每分钟记录 100 个deleteBucketAPI呼叫。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。

  • 您的账户通常每分钟记录 20 次给 Amazon 的呼叫 EC2 AuthorizeSecurityGroupIngressAPI,但您的账户开始记录的呼叫为零AuthorizeSecurityGroupIngress。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。

  • 通常,您的账户在七天内在 Amazon Identity and Access Management API、DeleteInstanceProfile上记录的AccessDeniedException错误少于一个。您的账户开始在DeleteInstanceProfileAPI通话中平均每分钟记录 12 个AccessDeniedException错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。

这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。

要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅 使用控制台为 Insights 事件创建事件数据存储

将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价

事件历史记录

CloudTrail 事件历史记录提供了过去 90 天中管理事件的可查看、可搜索、可下载且不可变的 CloudTrail 记录。 Amazon Web Services 区域您可以使用此历史记录在 Amazon Web Services Management Console、 Amazon SDKs、命令行工具和其他 Amazon 服务中查看您的 Amazon 账户中执行的操作。您可以通过选择显示哪些列来自定义 CloudTrail 控制台中的事件历史记录视图。有关更多信息,请参阅 处理 CloudTrail 事件历史记录

跟踪

跟踪是一种配置,允许将 CloudTrail 事件传输到 S3 存储桶,也可以选择传送到 L CloudWatch ogs 和 A mazon EventBridge。您可以使用跟踪来选择要发送 CloudTrail 的事件,使用密 Amazon KMS 钥加密 CloudTrail 事件日志文件,并设置日志文件传送的 Amazon SNS 通知。有关如何创建和管理跟踪的更多信息,请参阅为您创建路线 Amazon Web Services 账户

多区域和单区域跟踪

您可以为自己创建多区域和单区域跟踪。 Amazon Web Services 账户

多区域跟踪

创建多区域跟踪时,会在您工作的Amazon 分区 Amazon Web Services 区域中 CloudTrail 记录所有事件,并将 CloudTrail 事件日志文件传送到您指定的 S3 存储桶。如果在创建多区域跟踪后添加了,则会自动包含该新区域,并记录该区域中的事件。 Amazon Web Services 区域 推荐的最佳实践是创建多区域跟踪,因为您可记录您账户中的所有区域的活动。您使用 CloudTrail 控制台创建的所有跟踪都是多区域的。您可以使用将单区域跟踪转换为多区域跟踪。 Amazon CLI有关更多信息,请参阅在控制台中创建跟踪将应用到一个区域的跟踪转换为应用到所有区域

单区域跟踪

创建单区域跟踪时,仅 CloudTrail 记录该区域的事件。然后,它 CloudTrail 会将事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 Amazon CLI创建单区域跟踪。如果您创建其他单个跟踪,则可以让这些跟踪将 CloudTrail 事件日志文件传送到同一 S3 存储桶或单独的存储桶。这是使用 Amazon CLI 或创建跟踪时的默认选项 CloudTrail API。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon CLI

注意

对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。

多区域跟踪具有以下优点:

  • 跟踪的配置设置一致地应用于所有轨迹 Amazon Web Services 区域。

  • 您可以在单个 Amazon S3 存储桶 Amazon Web Services 区域 中接收来自所有 CloudTrail 事件的事件,也可以选择在 CloudWatch 日志日志组中接收事件。

  • 您可以 Amazon Web Services 区域 从一个位置管理所有人的跟踪配置。

将跟踪应用于所有 Amazon 区域时, CloudTrail 使用您在特定区域中创建的跟踪,在您所在Amazon 分区的所有其他区域中创建配置相同的跟踪。

这有以下影响:

  • CloudTrail 将所有 Amazon 区域的账户活动日志文件传输到您指定的单个 Amazon S3 存储桶,也可以传输到 CloudWatch 日志日志组。

  • 如果您为跟踪配置了 Amazon SNS 主题,则有关所有 Amazon 区域日志文件传输的SNS通知将发送到该单一SNS主题。

无论跟踪是多区域还是单区域,发送到 Ama EventBridge zon 的事件都会在每个区域的事件总线中接收,而不是在单个事件总线中接收。

每区域多个跟踪记录

如果您拥有不同但相关的用户组,例如开发人员、安全人员和 IT 审计人员,您可以为每个区域创建多个跟踪记录。这可使每个组均接收各自的日志文件副本。

CloudTrail 每个区域支持五条跟踪。多区域跟踪计为每个区域一条跟踪。

以下是包含五条轨迹的区域的示例:

  • 您在美国西部(加利福尼亚北部)区域创建了两个仅适用于此区域的跟踪记录。

  • 您又在美国西部(加利福尼亚北部)地区创建了两条多区域跟踪。

  • 您在亚太地区(悉尼)地区创建另一条多区域跟踪。此跟踪也作为美国西部(加利福尼亚北部)区域中的跟踪存在。

您可以在 CloudTrail 控制台的 Trails 页面 Amazon Web Services 区域 中查看跟踪列表。有关更多信息,请参阅 使用 CloudTrail 控制台更新跟踪。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价

组织足迹

组织跟踪是一种配置,允许将管理账户和 Amazon Organizations 组织中所有成员账户中的 CloudTrail 事件传送到同一 Amazon S3 存储桶、 CloudWatch 日志和 Amazon EventBridge。创建组织跟踪可帮助您为组织定义统一的事件记录策略。

使用控制台创建的所有组织跟踪都是多区域组织跟踪,用于记录组织 Amazon Web Services 区域 中每个成员账户中已启用的事件。要记录组织中所有 Amazon 分区中的事件,请在每个分区中创建多区域组织跟踪。您可以使用创建单区域或多区域组织跟踪。 Amazon CLI如果您创建单区域跟踪,则只能在该跟踪 Amazon Web Services 区域 (也称为区域)中记录活动。

尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅Amazon Account Management 参考指南中的启用和禁用区域之前的注意事项。有关 CloudTrail支持的区域列表,请参阅CloudTrail 支持的区域

创建组织跟踪时,将在属于您的组织的成员账户中创建带有您指定名称的跟踪副本。

  • 如果组织跟踪适用于单区域,而跟踪的主区域不是 Opt-Region,则会在组织跟踪的主区域的每个成员账户中创建跟踪的副本。

  • 如果组织跟踪是针对单区域的,而跟踪的主区域是选择区域,则会在组织跟踪的主区域中在启用该区域的成员账户中创建该跟踪的副本。

  • 如果组织跟踪是多区域,并且跟踪的主区域不是可选区域,则会在每个成员账户中启用的 Amazon Web Services 区域 每个跟踪中创建一个跟踪副本。当成员账户启用可选区域时,将在该区域的激活完成后,在新选择的区域中为该成员账户创建多区域跟踪的副本。

  • 如果组织跟踪是多区域,而主区域可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如,如果您创建了多区域跟踪并选择欧洲(西班牙)地区作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)地区的成员账户才会将其账户活动发送到组织跟踪。

注意

CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪。验证失败的示例包括:

  • Amazon S3 存储桶策略不正确

  • 错误的 Amazon SNS 话题政策

  • 无法传送到 CloudWatch 日志组

  • 权限不足,无法使用密KMS钥进行加密

拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看组织跟踪的详细信息页面或运行,查看组织跟踪的任何验证失败情况 Amazon CLI get-trail-status命令。

拥有成员账户 CloudTrail 权限的用户在从账户登录 Amazon CloudTrail 控制台时或运行诸如(尽管成员 Amazon 账户在使用时必须使用组织跟踪而不是名称ARN)之类的 Amazon CLI 命令时,他们将能够看到组织跟踪describe-trails(包括跟踪 Amazon CLI)。ARN但是,成员账户中的用户将没有足够的权限删除组织跟踪、开启或关闭日志记录、更改记录的事件类型或以任何方式更改组织跟踪。有关 Amazon Organizations的更多信息,请参阅 Organizations 术语和概念。有关创建和使用组织跟踪记录的更多信息,请参阅为组织创建跟踪

CloudTrail 见解

CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应异常数量的APIAPI呼叫或通话中记录的错误。Insights 事件记录了write管理活动的异常水平,或者管理API活动中返回的异常错误级别。API默认情况下,跟踪和事件数据存储不记录 CloudTrail Insights 事件。在控制台中,您可以选择在创建或更新跟踪或事件数据存储时记录 Insights 事件。使用时 CloudTrail API,您可以通过编辑现有跟踪或事件数据存储的设置来记录 Insights 事件PutInsightSelectorsAPI。记录 CloudTrail Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅 记录 Insights 事件Amazon CloudTrail 定价

标签

标签是客户定义的密钥和可选值,可以分配给 Amazon 资源,例如 CloudTrail 跟踪、事件数据存储和频道、用于存储 CloudTrail 日志文件的 S3 存储桶、 Amazon Organizations 组织和组织单位等等。通过向跟踪和用于存储跟踪日志文件的 S3 存储桶中添加相同的标签,您可以更轻松地管理、搜索和筛选这些资源。Amazon Resource Groups您可以实施标记策略以帮助您持续、高效且轻松地查找和管理您的资源。有关更多信息,请参阅为Amazon 资源添加标签的最佳实践

Amazon Security Token Service 和 CloudTrail

Amazon Security Token Service (Amazon STS) 是一项具有全局终端节点的服务,还支持特定于区域的终端节点。终端节点URL是 Web 服务请求的入口点。例如,https://cloudtrail.us-west-2.amazonaws.com是该 Amazon CloudTrail 服务的美国西部(俄勒冈)区域入口点。区域性终端节点可帮助减少应用程序中的延迟。

当您使用 Amazon STS 特定于区域的终端节点时,该区域中的跟踪仅传送该区域中发生 Amazon STS 的事件。例如,如果您使用终端节点 sts.us-west-2.amazonaws.com,则 us-west-2 中的跟踪仅传输源自 us-west-2 的 Amazon STS 事件。有关 Amazon STS 区域终端节点的更多信息,请参阅《IAM用户指南》 Amazon STS 中的在 Amazon 区域内激活和停用

有关 Amazon 区域终端节点的完整列表,请参阅中的Amazon 区域和终端节点Amazon Web Services 一般参考。有关来自全局 Amazon STS 终端节点的事件的详细信息,请参阅全球服务事件

全球服务事件

重要

自 2021 年 11 月 22 日起,亚马逊 CloudFront 活动仅在处理事件的区域(中国(宁夏)区域 cn-north Amazon CloudTrail west-1 上线。

对于监控全球服务事件的跟踪,请务必将中国(北京)区域 cn-north-1 的单区域跟踪转换为多区域跟踪,以包括中国(宁夏)区域 cn-northwest-1 的事件。有关捕获 CloudFront 事件的更多信息,请参阅本节启用和禁用全球服务事件记录后面的内容。

对于大多数服务,事件被记录在发生操作的区域。对于诸如 Amazon Identity and Access Management (IAM) 和 Amazon 之类的全球服务 CloudFront,事件会发送到包含全球服务的任何跟踪。 Amazon STS

对于大多数全球服务,事件记录为发生在中国(北京)区域,但有些全球服务事件记录为发生在中国(宁夏)区域。

要避免接收重复的全球服务事件,请注意:

  • 默认情况下,全局服务事件会传递到使用 CloudTrail 控制台创建的跟踪。事件传输到跟踪的存储桶中。

  • 如果您有多个单区域跟踪记录,可考虑将跟踪配置为只在其中一个跟踪记录中传输全球服务事件。有关更多信息,请参阅 启用和禁用全球服务事件记录

  • 如果将跟踪配置从记录所有区域改为只记录单个区域,则会自动为该跟踪关闭全球服务事件日志记录。同理,如果将跟踪配置从记录单个区域改为记录所有区域,则会自动为该跟踪打开全球服务事件日志记录。

    有关更改跟踪的全球服务事件日志记录的更多信息,请参阅 启用和禁用全球服务事件记录

示例:

  1. 您可以在 CloudTrail 控制台中创建跟踪。默认情况下,此跟踪将记录全球服务事件。

  2. 您有多个单区域跟踪记录。

  3. 您不需要为单区域跟踪记录包含全球服务。全球服务事件会提交给第一个跟踪。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon CLI

注意

使用、或创建或更新跟踪时 Amazon CLI Amazon SDKs CloudTrail API,您可以指定是包含还是排除跟踪的全局服务事件。您无法从 CloudTrail 控制台配置全局服务事件日志。