使用 Amazon Command Line Interface 为组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Command Line Interface 为组织创建跟踪

可通过使用 Amazon CLI 创建组织跟踪。会用其他功能和命令定期更新 Amazon CLI。为了帮助确保成功,确保您已安装或更新至最新的 Amazon CLI 版本,然后再开始。

注意

本节中的示例特定于创建和更新组织跟踪记录。有关使用 Amazon CLI 管理跟踪的示例,请参阅 使用 Amazon CLI 管理跟踪记录通过 Amazon CLI 配置 CloudWatch Logs 监控。在使用 Amazon CLI 创建或更新组织跟踪时,必须使用拥有足够权限的管理账户或委托管理员账户中的 Amazon CLI 配置文件。如果您要将组织跟踪转换为非组织跟踪,则必须使用组织的管理账户。

您必须具有足够的权限以配置用于组织跟踪的 Simple Storage Service(Amazon S3)存储桶。

创建或更新 Simple Storage Service(Amazon S3)存储桶以用于存储组织跟踪的日志文件

您必须指定一个 Simple Storage Service(Amazon S3)存储桶以接收组织跟踪的日志文件。此存储桶必须有 CloudTrail 允许将组织的日志文件放入存储桶的策略。

以下是名为的 Amazon S3 存储桶的策略示例 myOrganizationBucket,该存储桶归该组织的管理账户所有。将myOrganizationBucket区域ManagementAccountID、T railName 和 o-organizatid 替换为组织的值

此存储桶策略包含三条语句。

  • 第一条语句允许 CloudTrail 对亚马逊 S3 存储桶调用 Amazon S3 GetBucketAcl 操作。

  • 第二条语句支持在跟踪仅从组织跟踪更改为该账户的跟踪时进行日志记录。

  • 第三条语句支持对组织跟踪进行日志记录。

示例策略包括 Simple Storage Service(Amazon S3)存储桶策略的 aws:SourceArn 条件密钥。IAM 全局条件密钥aws:SourceArn有助于确保仅针对一个或多个特定的跟踪 CloudTrail 写入 S3 存储桶。在企业跟踪记录中,aws:SourceArn 的值必须是由管理账户拥有并使用管理账户 ID 的跟踪记录 ARN。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myOrganizationBucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/managementAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myOrganizationBucket/AWSLogs/o-organizationID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } } ] }

此示例策略不允许来自成员账户的任何用户访问为组织创建的日志文件。默认情况下,组织日志文件只能由管理账户访问。有关如何允许成员账户中的 IAM 用户对 Simple Storage Service(Amazon S3)存储桶进行读取访问的信息,请参阅 在 Amazon 账户之间共享 CloudTrail 日志文件

在中 CloudTrail 作为可信服务启用 Amazon Organizations

在创建组织跟踪之前,必须先启用 Organizations 中的所有功能。有关更多信息,请参阅启用组织中的所有功能,或使用管理账户中具有足够权限的配置文件运行以下命令:

aws organizations enable-all-features

启用所有功能后,必须将 Organizations 配置 CloudTrail 为可信服务。

要在Amazon Organizations和之间创建可信服务关系 CloudTrail,请打开终端或命令行并使用管理账户中的配置文件。运行 aws organizations enable-aws-service-access 命令,如下例所示。

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

使用 create-trail

创建应用于所有区域的组织跟踪

要创建应用于所有区域的组织跟踪,请添加 --is-organization-trail--is-multi-region-trail 选项。

注意

在使用 Amazon CLI 创建组织跟踪时,必须使用拥有足够权限的管理账户或委托管理员账户中的 Amazon CLI 配置文件。

以下示例中创建的组织跟踪将所有区域的日志传送到名为 my-bucket 的现有存储桶:

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail --is-multi-region-trail

要确认跟踪是否存在于所有区域中,输出中的 IsOrganizationTrailIsMultiRegionTrail 参数均应设置为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }
注意

运行 start-logging 命令可以为您的跟踪启动日志记录操作。有关更多信息,请参阅 停止和启动跟踪的日志记录

将组织跟踪创建为单区域跟踪

以下命令会创建仅在单个 Amazon Web Services 区域 中记录事件的组织跟踪,也称为单区域跟踪。将记录事件的 Amazon 区域是 Amazon CLI 的配置文件中指定的区域。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail

有关更多信息,请参阅 命名要求

示例输出:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }

默认情况下,create-trail 命令会创建一个不启用日志文件验证的单区域跟踪。

注意

运行 start-logging 命令可以为您的跟踪启动日志记录操作。

运行 update-trail 以更新组织跟踪

您可以运行 update-trail 命令更改组织跟踪的配置设置,或将单个 Amazon 账户的现有跟踪应用于整个组织。请记住,您只能从在其中创建跟踪的区域运行 update-trail 命令。

注意

如果您使用Amazon CLI或其中一个Amazon软件开发工具包来更新跟踪,请确保跟踪的存储桶策略是 up-to-date。有关更多信息,请参阅 使用 Amazon Command Line Interface 为组织创建跟踪

在使用 Amazon CLI 更新组织跟踪时,必须使用拥有足够权限的管理账户或委托管理员账户中的 Amazon CLI 配置文件。如果要将组织跟踪转换为非组织跟踪,必须使用组织的管理账户,因为管理账户是所有组织资源的拥有者。

将现有跟踪应用于组织

要更改现有跟踪以使其也应用于组织而非单个 Amazon 账户,请添加 --is-organization-trail 选项,如下例中所示。

注意

使用管理账户将现有的非组织跟踪更改为组织跟踪。

aws cloudtrail update-trail --name my-trail --is-organization-trail

要确认跟踪现已应用于相应组织,输出中的 IsOrganizationTrail 参数的值应为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }

在前面的示例中,已将跟踪配置为应用于所有区域 ("IsMultiRegionTrail": true)。仅应用于单区域的跟踪将在输出中显示 "IsMultiRegionTrail": false

将应用于一个区域的组织跟踪转换为应用于所有区域

要更改现有组织跟踪以使其应用于所有区域,请添加 --is-multi-region-trail 选项,如下例中所示。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

要确认跟踪现已应用于所有区域,输出中的 IsMultiRegionTrail 参数的值应为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket" }