组织事件数据存储 - Amazon CloudTrail
创建组织事件数据存储将账户级别的事件数据存储应用于组织另请参阅
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组织事件数据存储

如果您在中创建了组织 Amazon Organizations,则可以创建一个组织事件数据存储,用于记录该组织 Amazon Web Services 账户 中所有人的所有事件。组织事件数据存储可以应用于所有区域 Amazon Web Services 区域,也可以应用于当前区域。您不能使用组织事件数据存储从 Amazon之外收集事件。

您可以使用管理账户或委派管理员账户创建组织事件数据存储。委托管理员创建组织事件数据存储时,组织事件数据存储存在于组织的管理账户中。之所以采用这种方法,是因为管理账户保留对所有组织资源的所有权。

组织的管理账户可以更新账户级事件数据存储以将其应用于组织。

在将组织事件数据存储指定为应用于某个组织时,它将自动应用于该组织中的所有成员账户。成员账户无法查看组织事件数据存储,也无法对其进行修改或删除。默认情况下,成员账户无权访问组织事件数据存储,也不能对组织事件数据存储进行查询。

下表显示了 Amazon Organizations 组织内管理账户和委派管理员账户的权能。

功能 管理账户 委托管理员账户

注册或移除委托管理员账户。

支持

不支持

为事件或 Amazon Config 配置项目创建组织 Amazon CloudTrail 事件数据存储。

支持

支持

在组织事件数据存储上启用 Insights。

支持

不支持

更新组织事件数据存储。

支持

1

在组织事件数据存储上启用 Lake 查询联合身份验证。2

支持

支持

在组织事件数据存储上禁用 Lake 查询联合身份验证。

支持

支持

删除组织事件数据存储。

支持

支持

将跟踪事件复制到事件数据存储。

支持

不支持

对组织事件数据存储运行查询。

支持

支持

查看组织事件数据存储的 CloudTrail Lake 控制面板。

支持

支持

1 只有管理账户才能将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。因为组织事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。将组织事件数据存储转换为账户级事件数据存储时,只有管理账户才能访问该事件数据存储。同样,只有管理账户中的账户级事件数据存储才能转换为组织事件数据存储。

2只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。

创建组织事件数据存储

组织的管理帐户或委托管理员帐户可以创建组织事件数据存储以收集 CloudTrail 事件(管理事件、数据事件)或 Amazon Config 配置项目。

注意

只有组织的管理账户才能将跟踪事件复制到事件数据存储中。

CloudTrail console
使用控制台创建组织事件数据存储

  1. 按照为事件创建事件数据存储过程中的步骤,为 CloudTrail 管理 CloudTrail 事件或数据事件创建组织事件数据存储。

    或者

    按照为配置项目创建事件数据存储过程中的步骤为 Amazon Config 配置项目创建组织事件数据存储。 Amazon Config

  2. 选择活动页面上,为我的组织中的所有账户选择启用

Amazon CLI

要创建组织事件数据存储,请运行create-event-data-store命令并添加--organization-enabled选项。

以下示例 Amazon CLI create-event-data-store命令创建了一个收集所有管理事件的组织事件数据存储。由于默认情况下会 CloudTrail 记录管理事件,因此如果您的事件数据存储正在记录所有管理事件并且未收集任何数据事件,则无需指定高级事件选择器。

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

以下为响应示例。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

下一个示例 Amazon CLI create-event-data-store命令创建一个名为的组织事件数据存储config-items-org-eds,用于收集 Amazon Config 配置项目。要收集配置项目,请在高级事件选择器ConfigurationItem中指定该eventCategory字段等于。

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select Amazon Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

将账户级别的事件数据存储应用于组织

组织的管理账户可以转换账户级事件数据存储以将其应用于组织。

CloudTrail console
使用控制台更新账户级事件数据存储

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。

  4. General details(一般详细信息)中,选择 Edit(编辑)。

  5. 为我组织中的所有账户选择 “启用”。

  6. 选择 ‬保存更改

有关更新事件数据存储的其他信息,请参阅更新事件数据存储

Amazon CLI

要更新账户级事件数据存储以将其应用于组织,请运行update-event-data-store命令并添加选项。--organization-enabled

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

另请参阅