本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解组织事件数据存储
如果您在中创建了组织 Amazon Organizations,则可以创建一个组织事件数据存储,用于记录该组织 Amazon Web Services 账户 中所有人的所有事件。组织事件数据存储可以应用于所有区域 Amazon Web Services 区域,也可以应用于当前区域。您不能使用组织事件数据存储从 Amazon之外收集事件。
您可以通过使用管理账户或委派管理员账户来创建组织事件数据存储。委托管理员创建组织事件数据存储时,组织事件数据存储存在于组织的管理账户中。之所以采用这种方法,是因为管理账户保留对所有组织资源的所有权。
组织的管理账户可以更新账户级事件数据存储以将其应用于组织。
在将组织事件数据存储指定为应用于某个组织时,它将自动应用于该组织中的所有成员账户。成员账户无法查看组织事件数据存储,也无法对其进行修改或删除。默认情况下,成员账户无权访问组织事件数据存储,也不能对组织事件数据存储进行查询。
下表显示了 Amazon Organizations 组织内管理账户和委派管理员账户的权能。
功能 | 管理帐户 | 委托管理员帐户 |
---|---|---|
注册或移除委托管理员账户。 |
|
|
为事件或 Amazon Config 配置项目创建组织 Amazon CloudTrail 事件数据存储。 |
|
|
在组织事件数据存储上启用 Insights。 |
|
|
更新组织事件数据存储。 |
|
|
在组织事件数据存储上启动和停止事件摄取。 |
|
|
在组织事件数据存储上启用 Lake 查询联合身份验证。2 |
|
|
在组织事件数据存储上禁用 Lake 查询联合身份验证。 |
|
|
删除组织事件数据存储。 |
|
|
将跟踪事件复制到事件数据存储。 |
|
|
对组织事件数据存储运行查询。 |
|
|
查看组织事件数据存储的托管仪表板。 |
|
|
为组织事件数据存储启用 “亮点” 控制面板。 |
|
|
为查询组织事件数据存储的自定义仪表板创建微件。 |
|
|
1只有管理账户可以将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。因为组织事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织事件数据存储转换为账户级事件数据存储时,只有管理账户才能访问事件数据存储。同理,只有管理账户中的账户级事件数据存储才能转换为组织事件数据存储。
2只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。
创建组织事件数据存储
组织的管理帐户或委托管理员帐户可以创建组织事件数据存储以收集 CloudTrail 事件(管理事件、数据事件)或 Amazon Config 配置项目。
注意
只有组织的管理账户可以将跟踪事件复制到事件数据存储。
将账户级事件数据存储应用于组织
组织的管理账户可以转换账户级事件数据存储以将其应用于组织。
委派管理员的默认资源策略
CloudTrail 自动生成以组织事件数据存储命DelegatedAdminResourcePolicy
名的资源策略,该策略列出了允许委派管理员帐户对组织事件数据存储执行的操作。中的DelegatedAdminResourcePolicy
权限来自中委派的管理员权限 Amazon Organizations。
的DelegatedAdminResourcePolicy
目的是确保委派的管理员帐户可以代表组织管理组织事件数据存储,并且在将基于资源的策略附加到允许或拒绝委托人对组织事件数据存储执行操作的组织事件数据存储时,不会被无意中拒绝访问组织事件数据存储。
CloudTrail 与为DelegatedAdminResourcePolicy
组织事件数据存储提供的任何基于资源的策略一起进行评估。只有在提供的基于资源的策略中包含明确拒绝委派管理员账户对组织事件数据存储执行本来可以执行的操作的声明时,才会拒绝委派管理员账户的访问权限。
在以下DelegatedAdminResourcePolicy
情况下,本政策会自动更新:
-
管理账户将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。
-
组织结构发生了变化。例如,管理账户注册或删除 CloudTrail 委派管理员账户。
您可以在 CloudTrail 控制台的 up-to-date委派管理员资源策略部分查看策略,也可以通过运行 Amazon CLI get-resource-policy
命令并传递组织事件数据存储ARN的命令来查看策略。
以下示例在组织事件数据存储上运行该get-resource-policy
命令。
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
以下示例输出显示了提供的基于资源的策略以及为委派的管理员账户333333333333
和DelegatedAdminResourcePolicy
111111111111
生成的策略。
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207", "ResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "EdsPolicyA", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::666666666666:root" }, "Action": [ "cloudtrail:geteventdatastore", "cloudtrail:startquery", "cloudtrail:describequery", "cloudtrail:cancelquery", "cloudtrail:generatequery", "cloudtrail:generatequeryresultssummary" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] }, "DelegatedAdminResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement", "Effect": "Allow", "Principal": { "AWS": ["333333333333", "111111111111"] }, "Action": [ "cloudtrail:AddTags", "cloudtrail:CancelQuery", "cloudtrail:CreateEventDataStore", "cloudtrail:DeleteEventDataStore", "cloudtrail:DescribeQuery", "cloudtrail:DisableFederation", "cloudtrail:EnableFederation", "cloudtrail:GenerateQuery", "cloudtrail:GenerateQueryResultsSummary", "cloudtrail:GetEventConfiguration", "cloudtrail:GetEventDataStore", "cloudtrail:GetInsightSelectors", "cloudtrail:GetQueryResults", "cloudtrail:ListEventDataStores", "cloudtrail:ListQueries", "cloudtrail:ListTags", "cloudtrail:RemoveTags", "cloudtrail:RestoreEventDataStore", "cloudtrail:UpdateEventDataStore", "cloudtrail:StartEventDataStoreIngestion", "cloudtrail:StartQuery", "cloudtrail:StopEventDataStoreIngestion", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] } }