在控制台中为您的组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在控制台中为您的组织创建跟踪

要从 CloudTrail 控制台创建组织跟踪,您必须以具有足够权限的管理账户或委托管理员账户中的用户或角色登录控制台。如果您未使用管理或委托管理员帐户登录,则在 CloudTrail控制台创建或编辑跟踪时,您将看不到向组织应用跟踪的选项。

要使用创建组织跟踪 Amazon Web Services Management Console
  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

    您必须以拥有足够权限的管理账户或委托管理员账户中的 IAM 身份登录,才能创建组织跟踪。

  2. 选择 Trails(跟踪记录),然后选择 Create trail(创建跟踪记录)。

  3. Create Trail 页面上,对于 Trail name,键入一个跟踪名。有关更多信息,请参阅 CloudTrail 资源、S3 存储桶和 KMS 密钥的命名要求

  4. 选择 Enable for all accounts in my organization(为我的组织中的所有账户启用)。如果您使用管理账户或委托管理员账户中的用户或角色登录到控制台,则只会看到此选项。要成功创建组织跟踪,请确保相应用户或角色具有足够的权限

  5. 对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。

    注意

    如果选择 Use existing S3 bucket(使用现有 S3 存储桶),则在 Trail log bucket name(跟踪日志存储桶名称)中指定一个存储桶,或选择 Browse(浏览)以选择存储桶。您可以选择属于任何账户的存储桶,但是,存储桶策略必须授予写入该存储桶的 CloudTrail权限。有关手动编辑存储桶策略的信息,请参阅适用于 Amazon S3 存储桶政策 CloudTrail

    为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为前缀)来存储 CloudTrail 日志。在 Prefix(前缀)字段中输入前缀。

  6. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果您希望使用 SSE-KMS 加密而非 SSE-S3 加密对您的日志文件进行加密,请选择 Enabled(已启用)。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志进行加密。有关 SSE-KMS 加密的更多信息,请参阅使用具有 Amazon Key Management Service 的服务器端加密(SSE-KMS)。有关 SSE-S3 加密的更多信息,请参阅配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)

    如果您启用 SSE-KMS 加密,请选择 “新建” 或 “现有”。 Amazon KMS key在Amazon KMS 别名中,按以下格式指定别名alias/MyAliasName。有关更多信息,请参阅 更新资源以使用 KMS 密钥

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新资源以使用 KMS 密钥。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥政策的信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail

  7. Additional configuration(其他配置)中,请配置以下内容。

    1. 对于 Log file validation(日志文件验证),选择 Enabled(已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件来验证您的日志文件在 CloudTrail 交付后是否没有更改。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

    2. 传送 SNS 通知,请选择 “启用”,以便每次向您的存储桶传送日志时都会收到通知。 CloudTrail 在日志文件中存储多个事件。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 配置 Amazon SNS 通知 CloudTrail

      如果您启用了 SNS 通知,则对于 Create a new SNS topic(创建新 SNS 主题),选择 New(新建)创建主题,或选择 Existing(现有)使用现有的主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择 “新建”,则会为您 CloudTrail 指定新主题的名称,也可以键入名称。如果选择 Existing(现有),则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 Amazon SNS 主题政策 CloudTrail

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门

  8. 或者,通过选择在日志中启用,配置 CloudTrail 为将 CloudWatch 日志文件发送到CloudWatch 日志。有关更多信息,请参阅 将事件发送到 CloudWatch 日志

    注意

    只有管理账户才能使用控制台为组织跟踪配置 CloudWatch 日志组。授权的管理员可以使用 Amazon CLI 或 CloudTrail CreateTrailUpdateTrail API 操作配置 CloudWatch 日志组。

    1. 如果您启用了与 CloudWatch 日志的集成,请选择 “建” 来创建新的日志组,或者选择 “有” 以使用现有的日志组。如果选择 “新建”,则会为您 CloudTrail 指定新日志组的名称,也可以键入名称。

    2. 如果选择 Existing(现有),则从下拉列表中选择一个日志组。

    3. 选择 “建” 创建新的 IAM 角色,以获得向日志发送 CloudWatch 日志的权限。选择 Existing(现有)以从下拉列表中选择一个现有 IAM 角色。展开 Policy document(策略文档)时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅 使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档

      注意

      在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 Amazon SNS 主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。

  9. 对于 Tags(标签),将一个或多个自定义标签(键值对)添加到跟踪中。标签可以帮助您识别您的 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以将资源组用于您的 CloudTrail 资源。有关更多信息,请参阅 Amazon Resource Groups标签

  10. Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于 Management events (管理事件),请执行以下操作。

    1. 对于 API activity(API 活动),选择您希望跟踪记录 Read(读取)事件、Write(写入)事件,还是记录两者。有关更多信息,请参阅 管理事件

    2. 选择 “排除 Amazon KMS 事件”,从您的跟踪中筛选 Amazon Key Management Service (Amazon KMS) 事件。默认设置是包含所有 Amazon KMS 事件。

      只有在跟踪中记录管理 Amazon KMS 事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录 Amazon KMS 事件,也无法更改 Amazon KMS 事件日志记录设置。

      Amazon KMS 诸如EncryptDecrypt、和之类的操作GenerateDataKey通常会生成大量事件(超过 99%)。这些操作现在记录为读取事件。诸如DisableDelete、和ScheduleKey(通常占事件量不到 0.5%)之类的低容量相关 Amazon KMS 操作被记录为写入 Amazon KMS 事件。

      如果要排除大批量事件(例如 EncryptDecryptGenerateDataKey),但仍然记录相关事件(例如 DisableDeleteScheduleKey),选择记录 Write(写入)管理事件,然后清除 Exclude Amazon KMS events(排除 Amazon KMS 事件)复选框。

  11. 要记录数据事件,请选择 Data events(数据事件)。记录数据事件将收取额外费用。有关更多信息,请参阅Amazon CloudTrail 定价

  12. 重要

    默认情况下,步骤 12-16 用于使用高级事件选择器配置数据事件。高级事件选择器让您可以配置更多数据事件类型,并对跟踪捕获的数据事件进行精细控制。如果您选择使用基本事件选择器,请完成 使用基本事件选择器配置数据事件设置 中的步骤,然后返回到此程序的步骤 17。

    对于 Data event type(数据事件类型),选择要在其上记录数据事件的资源类型。有关可用数据事件类型的更多信息,请参阅 数据事件

    注意

    要记录由 Lake Formati Amazon Glue on 创建的表的数据事件,请选择 La ke Formation

  13. 选择日志选择器模板。 CloudTrail 包括用于记录该资源类型的所有数据事件的预定义模板。要构建自定义日志选择器模板,请选择 Custom(自定义)。

    注意

    为 S3 存储桶选择预定义的模板可以记录当前您 Amazon 账户中的所有存储分段以及您在创建完跟踪后创建的任何存储分段的数据事件。它还允许记录您 Amazon 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 Amazon 账户的存储桶上执行的。

    如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 Amazon 账户的其他区域中的 Simple Storage Service(Amazon S3)存储桶记录数据事件。

    如果您要为所有区域创建跟踪,则选择 Lambda 函数的预定义模板可以记录当前 Amazon 账户中的所有函数以及您在完成跟踪创建后可能在任何区域创建的任何 Lambda 函数的数据事件。如果您要为单个区域创建跟踪(使用完成 Amazon CLI),则此选择将启用您 Amazon 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

    记录所有函数的数据事件还可以记录 Amazon 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 Amazon 账户的函数上执行的。

  14. (可选)在选择器名称中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 Name,展开 JSON 视图即可查看该名称。

  15. Advanced event selectors(高级事件选择器)中,为您要记录其数据事件的特定资源构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。

    1. 从下面的字段中选择。

      • readOnly-readOnly 可以设置为等于truefalse的值。只读数据事件是不会更改资源状态的事件,例如 Get*Describe* 事件。写入事件可添加、更改或删除资源、属性或构件,例如 Put*Delete*Write* 事件。要记录 readwrite 两种事件,请不要添加 readOnly 选择器。

      • eventName - eventName 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如PutBucketPutItem、或GetSnapshotBlock

      • resources.ARN-您可以将任何运算符与一起使用resources.ARN,但是如果您使用于或不等于,则该值必须与您在模板中指定为的值的有效资源的 ARN 完全匹配。resources.type

        下表显示每个 resources.type 的有效 ARN 格式。

        注意

        您不能使用该resources.ARN字段筛选没有 ARN 的资源类型。

        resources.type resources.ARN
        AWS::DynamoDB::Table1
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        arn:partition:s3:::DOC-EXAMPLE-BUCKET/ arn:partition:s3:::DOC-EXAMPLE-BUCKET/object_or_file_name/
        AWS::AppConfig::Configuration
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN 必须采用以下格式之一:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID

        AWS::SSMMessages::ControlChannel
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARN 必须采用以下格式之一:

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name

        AWS::SWF::Domain
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 对于启用了流的表,数据事件中的 resources 字段同时包含 AWS::DynamoDB::StreamAWS::DynamoDB::Table。如果您为 resources.type 指定 AWS::DynamoDB::Table,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除直播事件,请eventName在该字段上添加过滤器。

        2 要记录特定 S3 存储桶中所有对象的所有数据事件,请使用 StartsWith 运算符,并且仅包含存储桶 ARN 作为匹配值。刻意使用尾部斜杠;切勿排除它。

        3 要记录 S3 接入点中的所有对象的事件,建议您仅使用接入点 ARN,而不要包含对象路径,并且使用 StartsWithNotStartsWith 运算符。

      有关数据事件资源的 ARN 格式的更多信息,请参阅 Amazon Identity and Access Management 用户指南中的操作、资源和条件键

    2. 对于每个字段,请选择 + 条件以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从跟踪中记录的数据事件中排除两个 S3 存储桶的数据事件,您可以将该字段设置为 Resou rces.arn,将运算符设置为 “不开头”,然后粘贴到 S3 存储桶 ARN 中,或者浏览您不想为其记录事件的 S3 存储桶。

      要添加第二个 S3 存储桶,请选择 + 条件,然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。

      注意

      对于跟踪上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 eventName。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。

      如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在 CloudTrail 控制台中查看或选择所有函数。您仍可使用预定义选择器模板记录所有函数,即使这些函数未显示出来也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建,然后使用 Amazon CLI 和put-event-selectors命令为特定 Lambda 函数配置数据事件记录。有关更多信息,请参阅 使用管理跟踪 Amazon CLI

    3. 根据需要,选择 + Field(+ 字段)以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。

  16. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。重复步骤 12 至此步骤,为数据事件类型配置高级事件选择器。

  17. 如果您希望跟踪记录见解事件,请选择 CloudTrail Insights 事件。

    Event type(事件类型)中,选择 Insights events(Insights 事件)。在 Insights events(Insights 事件)中,选择 API call rate(API 调用率)和/或 API error rate(API 错误率)。您必须记录写入管理事件,以针对 API 调用率记录 Insights 事件。您必须记录读取写入管理事件,以针对 API 错误率记录 Insights 事件。

    CloudTrail Insights 会分析管理事件中是否存在异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录 Insights 事件。有关 Insights 事件的更多信息,请参阅记录 Insights 事件。记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价

    Insights 事件将传送到另一个文件夹,该文件夹以同一 S3 存储桶命名/CloudTrail-Insight,该存储桶在跟踪详细信息页面的存储位置区域中指定。 CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 DOC-EXAMPLE-DESTINATION-BUCKET/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 DOC-EXAMPLE-DESTINATION-BUCKET/AWSLogs/CloudTrail-Insight/

  18. 完成选择要记录的事件类型的操作后,选择 Next(下一步)。

  19. Review and create(审核和重建)页面上,审核您的选择。在相关部分中选择 Edit(编辑)以更改该部分中显示的跟踪设置。在准备好创建跟踪时,选择 Create trail(创建跟踪)。

  20. 新跟踪记录出现在 Trails(跟踪记录)页面上。一个组织跟踪最多可能需要 24 小时才能在所有成员账户的所有区域中创建完成。Trails(跟踪记录)页面显示您的账户中来自所有区域的跟踪记录。大约 5 分钟后, CloudTrail 发布显示组织中进行的 Amazon API 调用的日志文件。您可以在指定的 Simple Storage Service(Amazon S3)存储桶中查看日志文件。

注意

创建跟踪后,不能对其重命名。不过,可以删除跟踪并创建新跟踪。

后续步骤

创建您的跟踪后,您可以返回到该跟踪以进行更改:

注意

在您配置跟踪时,可以选择属于另一个账户的 Simple Storage Service(Amazon S3)存储桶和 SNS 主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。