在控制台中为您的组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在控制台中为您的组织创建跟踪

要在 CloudTrail 控制台中创建组织跟踪,您必须使用拥有足够权限的管理账户中的 IAM 用户或角色登录该控制台。如果您未使用管理账户登录,则在 CloudTrail 控制台中创建或编辑跟踪时,则不会显示用于将跟踪应用到组织的选项。

您可以选择通过多种方式配置组织跟踪。例如,您可以:

  • 默认情况下,在控制台中创建跟踪时,此跟踪会记录所有区域。推荐的最佳实践是记录账户中的所有区域。要创建单区域跟踪,请使用 Amazon CLI。有关更多信息,请参阅 CloudTrail 的工作原理

  • 指定是否要将跟踪应用于您的组织。默认设置是不这样做;您必须选择此选项才能创建组织跟踪。

  • 指定用于接收组织跟踪的日志文件的 Simple Storage Service(Amazon S3)存储桶。您可以在管理账户中选择现有 Simple Storage Service(Amazon S3)存储桶,也可以专门为组织跟踪创建一个存储桶。

  • 对于管理事件和数据事件,指定您要记录 Read(读取)事件、Write(写入)事件还是同时记录两者。CloudTrail Insights 事件仅在管理事件中记录,并且您必须记录 Write(写入)事件。您可以通过从控制台以及成员账户(如果您指定要为其启用数据事件日志记录的每个资源的 ARN)的列表中选择资源,来指定为管理账户中这些资源记录数据事件。有关更多信息,请参阅 数据事件

使用 Amazon Web Services Management Console创建组织跟踪

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

    您必须以管理账户中的用户、角色或根账户身份登录,并且必须拥有足够的权限,才能创建组织跟踪。

  2. 选择 Trails(跟踪记录),然后选择 Create trail(创建跟踪记录)。

  3. Create Trail 页面上,对于 Trail name,键入一个跟踪名。有关更多信息,请参阅 CloudTrail 跟踪命名要求

  4. 选择 Enable for all accounts in my organization(为我的组织中的所有账户启用)。如果您使用管理账户中的 IAM 用户或角色登录控制台,则只会看到此选项。要成功创建组织跟踪,请确保相应用户或角色具有足够的权限

  5. 对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。

    注意

    如果选择 Use existing S3 bucket(使用现有 S3 存储桶),则在 Trail log bucket name(跟踪日志存储桶名称)中指定一个存储桶,或选择 Browse(浏览)以选择存储桶。存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅针对 CloudTrail 的 Amazon S3 存储桶策略

    为了更轻松地查找日志,在现有存储桶中创建新文件夹(又称为前缀)来存储您的 CloudTrail 日志。在 Prefix(前缀)字段中输入前缀。

  6. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果您希望使用 SSE-KMS 而非 SSE-S3 来加密日志文件,则选择 Enabled(已启用)。默认值为 Enabled(已启用)。有关此加密类型的更多信息,请参阅使用具有 Simple Storage Service(Amazon S3)托管加密密钥的服务器端加密(SSE-S3)保护数据

    如果您启用了 SSE-KMS 加密,请选择 New(新建)或 Existing(现有)Amazon KMS key。在 Amazon KMS Alias(Amazon KMS 别名)中,使用 alias/MyAliasName 的格式指定别名。有关更多信息,请参阅 更新跟踪以使用 KMS 密钥

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新跟踪以使用 KMS 密钥。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅为 CloudTrail 配置 Amazon KMS 密钥策略

  7. Additional configuration(其他配置)中,请配置以下内容。

    1. 对于 Log file validation(日志文件验证),选择 Enabled(已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件验证日志文件在由 CloudTrail 传送之后没有发生改变。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

    2. 对于 SNS notification delivery(SNS 通知传输),选择 Enabled(已启用)以在每次日志传送到您的存储桶时收到通知。CloudTrail 将多个事件存储在单个日志文件中。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 为 CloudTrail 配置 Amazon SNS 通知

      如果您启用了 SNS 通知,则对于 Create a new SNS topic(创建新 SNS 主题),选择 New(新建)创建主题,或选择 Existing(现有)使用现有的主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择 New(新建),CloudTrail 会为您指定新主题的名称,您也可以键入名称。如果选择 Existing(现有),则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 针对 CloudTrail 的 Amazon SNS 主题策略

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 Amazon Simple Notification Service 入门指南

  8. 或者,在 CloudWatch Logs 中选择 Enabled(已启用)以将 CloudTrail 配置将日志文件发送到 CloudWatch Logs。有关更多信息,请参阅 将事件发送到 CloudWatch Logs

    1. 如果您启用了与 CloudWatch Logs 的集成,请选择 New(新建)创建新日志组,或选择 Existing(现有)使用现有的日志组。如果选择 New(新建),CloudTrail 会为您指定新日志组的名称,您也可以键入名称。

    2. 如果选择 Existing(现有),则从下拉列表中选择一个日志组。

    3. 选择 New(新建)创建新 IAM 角色,以获得将日志发送到 CloudWatch Logs 的权限。选择 Existing(现有)以从下拉列表中选择一个现有 IAM 角色。展开 Policy document(策略文档)时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅 与 CloudTrail 使用 CloudWatch Logs 进行监控对应的角色策略文档

      注意

      在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果您希望 CloudTrail 将事件传送至 CloudWatch Logs 日志组,则必须选择当前账户中的日志组。

  9. 对于 Tags (标签),将一个或多个自定义标签(键值对)添加到跟踪中。标签可帮助您识别 CloudTrail 跟踪记录和包含 CloudTrail 日志文件的 Simple Storage Service(Amazon S3)存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅Amazon Resource Groups和为什么要对跟踪使用标签?

  10. Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于 Management events (管理事件),请执行以下操作。

    1. 对于 API activity(API 活动),选择您希望跟踪记录 Read(读取)事件、Write(写入)事件,还是记录两者。有关更多信息,请参阅 管理事件

    2. 选择 Exclude Amazon KMS events(排除 Amazon KMS 事件)以从跟踪中筛选出 Amazon Key Management Service (Amazon KMS) 事件。默认设置是包含所有 Amazon KMS 事件。

      只有当您在跟踪上记录管理事件时,用于记录或排除 Amazon KMS 事件的选项才可用。如果选择不记录管理事件,则不会记录 Amazon KMS 事件,并且您无法更改 Amazon KMS 事件日志记录设置。

      Amazon KMS、EncryptDecryptGenerateDataKey 操作通常会生成大量事件(占比超过 99%)。这些操作现在记录为读取事件。DisableDeleteScheduleKey(通常占不到 Amazon KMS 事件量的 0.5%)等少量的相关 Amazon KMS 操作记录为 Write(写入)事件。

      如果要排除大批量事件(例如 EncryptDecryptGenerateDataKey),但仍然记录相关事件(例如 DisableDeleteScheduleKey),选择记录 Write(写入)管理事件,然后清除 Exclude Amazon KMS events(排除 Amazon KMS 事件)复选框。

  11. 对于 Data events(数据事件),您可以指定 Simple Storage Service(Amazon S3)存储桶、Amazon Lambda 函数、Amazon DynamoDB 表或这些资源类型的多个其它资源类型。默认情况下,跟踪记录不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅 数据事件。有关 CloudTrail 定价的信息,请参阅 Amazon CloudTrail 定价

    注意

    如果使用高级事件选择器,则有更多数据事件类型可用。如果您已选择使用高级事件选择器,请按照 在控制台中创建跟踪(高级事件选择器) 中的步骤配置跟踪的数据事件日志记录。

    对于 Simple Storage Service(Amazon S3)存储桶:

    1. 对于 Data event source(数据事件源),选择 S3

    2. 您可以选择记录 All current and future S3 buckets(所有当前和未来 S3 存储桶),也可以指定单个存储桶或函数。默认情况下,记录所有当前和未来 S3 存储桶的数据事件。

      注意

      保留默认 All current and future S3 buckets(所有当前和未来 S3 存储桶)选项会为您的 Amazon 账户中现有的所有存储桶和您完成跟踪创建后创建的任何存储桶启用数据事件日志记录。它也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的存储桶执行的。

      如果跟踪仅应用于一个区域,则选择 Select all S3 buckets in your account (选择您账户中的所有 S3 存储桶) 选项会为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 Amazon 账户的其他区域中的 Simple Storage Service(Amazon S3)存储桶记录数据事件。

    3. 如果保留默认值 All current and future S3 buckets(所有当前和未来 S3 存储桶),则选择记录 Read(读取)事件、Write(写入)事件,还是记录两者。

    4. 要选择单个存储桶,请清空 All current and future S3 buckets(所有当前和未来 S3 存储桶)的 Read(读取)和Write(写入)复选框。在 Individual bucket selection(单个存储桶选择)中,浏览要在其上记录数据事件的存储桶。要查找特定存储桶,键入所需存储桶的存储桶前缀。您可以在此窗口中选择多个存储桶。选择 Add bucket(添加存储桶)以记录更多存储桶的数据事件。选择记录 Read(读取)事件(如 GetObject)、Write(写入)事件(如 PutObject)或同时记录两种事件。

      此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 Read 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 Read 已经是选中状态。您无法清除此选择。只能配置 Write 选项。

      要从日志记录中删除存储桶,请选择 X

  12. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。

  13. 对于 Lambda 函数:

    1. 对于 Data event source(数据事件源),选择 Lambda

    2. Lambda function(Lambda 函数)中,选择 All regions(所有区域)记录所有 Lambda 函数,或选择 Input function as ARN(输入函数作为 ARN)以记录特定函数上的数据事件。

      要记录 Amazon 账户中的所有 Lambda 函数的数据事件,请选择 Log all current and future functions(记录所有当前和未来函数)。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。

      注意

      如果为所有区域创建了一个跟踪,则此选择将为您的 Amazon 账户中当前包含的所有函数以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数启用数据事件日志记录。如果您正在为单个区域创建跟踪(通过使用 Amazon CLI 完成),则此选择将为您的 Amazon 账户中的该区域中当前包含的所有函数以及您在创建跟踪后可能在该区域中创建的任何 Lambda 函数启用数据事件日志记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

      所有函数的日志记录数据事件也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的函数执行的。

    3. 如果选择 Input function as ARN(输入函数作为 ARN),则输入 Lambda 函数的 ARN。

      注意

      如果您的账户中有 15000 个以上的 Lambda 函数,则在创建跟踪时,您无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用 Amazon CLI 和 put-event-selectors 命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 使用 Amazon CLI 管理跟踪

  14. 对于 DynamoDB 表:

    1. 对于 Data event source(数据事件源),选择 DynamoDB

    2. DynamoDB table selection(DynamoDB 表选择)中,选择 Browse(浏览)以选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 采用以下格式:

      arn:partition:dynamodb:region:account_ID:table/table_name

      要添加另一个表,请选择 Add row(添加行),然后浏览到某个表或粘贴到您有权访问的表的 ARN 中。

  15. 完成选择要记录的事件类型的操作后,选择 Next(下一步)。

  16. Review and create(审核和重建)页面上,审核您的选择。在相关部分中选择 Edit(编辑)以更改该部分中显示的跟踪设置。在准备好创建跟踪时,选择 Create trail(创建跟踪)。

  17. 新跟踪记录出现在 Trails(跟踪记录)页面上。一个组织跟踪最多可能需要 24 小时才能在所有成员账户的所有区域中创建完成。Trails(跟踪记录)页面显示您的账户中来自所有区域的跟踪记录。CloudTrail 会在约 15 分钟内发布日志文件,其中显示在您的组织中发起的 Amazon API 调用。您可以在指定的 Simple Storage Service(Amazon S3)存储桶中查看日志文件。

注意

创建跟踪后,不能对其重命名。不过,可以删除跟踪并创建新跟踪。

后续步骤

创建您的跟踪后,您可以返回到该跟踪以进行更改:

注意

在您配置跟踪时,可以选择属于另一个账户的 Simple Storage Service(Amazon S3)存储桶和 SNS 主题。但是,如果您希望 CloudTrail 将事件传送至 CloudWatch Logs 日志组,则必须选择当前账户中的日志组。