准备为您的组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

准备为您的组织创建跟踪

在为贵组织创建跟踪之前,请确保正确设置贵组织的管理账户或委托管理员账户,以便创建跟踪。

  • 您的组织必须先启用所有功能,然后才能为其创建跟踪。有关更多信息,请参阅启用组织中的所有功能

  • 管理账户必须具有 AWSServiceRoleForOrganizations 角色。此角色由 Organizations 在您创建组织时自动创建,并且是记录组织事件所必需的。 CloudTrail 有关更多信息,请参阅 Organizations 和服务相关角色

  • 在管理账户或委托管理员账户中创建组织跟踪的用户或角色必须拥有足够的权限才能创建组织跟踪。您必须至少将 AWSCloudTrail_FullAccess 策略或等效策略应用于该角色或用户。您还必须在 IAM 和 Organizations 中具有足够的权限,才能创建服务相关角色并启用可信访问。以下示例策略显示了所需的最低权限。

    注意

    不应跨 Amazon Web Services 账户 广泛共享 AWSCloudTrail_FullAccess 策略。相反,您应将其限制在Amazon Web Services 账户管理员范围内,因为所收集的信息具有高度敏感性 CloudTrail。拥有此角色的用户能够关闭或重新配置他们的 Amazon Web Services 账户 中最敏感且最重要的审计功能。因此,您必须密切控制和监控对此策略的访问。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
  • 要使用Amazon CLI或 CloudTrail API 创建组织跟踪,您必须在 Organizations CloudTrail 中为启用可信访问,并且必须使用允许记录组织跟踪的策略手动创建 Amazon S3 存储桶。有关更多信息,请参阅 使用 Amazon Command Line Interface 为组织创建跟踪

  • 要使用现有 IAM 角色向 Amazon L CloudWatch ogs 添加对组织跟踪的监控,您必须手动修改 IAM 角色以允许将成员账户的 CloudWatch 日志传送到管理账户的日志组,如以下示例所示。 CloudWatch

    注意

    您必须使用自己账户中存在的 IAM 角色和 CloudWatch 日志组。您不能使用其他账户拥有的 IAM 角色或 CloudWatch 日志组。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }

    您可以在 Amazon 登录中详细了解 CloudTrail 和使用 Amazon CloudWatch 登录使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。此外,在决定为组织跟踪启用体验之前,请考虑 CloudWatch 日志的限制和服务的定价注意事项。有关更多信息,请参阅CloudWatch 日志限制Amazon CloudWatch 定价

  • 要在组织跟踪中记录成员账户中特定资源的数据事件,请为每项资源准备好 Amazon Resource Name(ARN)列表。创建跟踪时,成员账户资源不会显示在 CloudTrail 控制台中;您可以浏览管理账户中支持数据事件收集的资源,例如 S3 存储桶。同样,如果要在命令行中创建或更新组织跟踪时添加特定成员资源,则需要这些资源的 ARN。

    注意

    记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail定价

在创建组织跟踪之前,您还应该考虑查看管理账户和成员账户中已经存在多少条跟踪。 CloudTrail 限制在每个区域中可以创建的跟踪数量。您在管理账户中创建组织跟踪的区域中不能超出此限制。但是,即使成员账户已达到区域中的跟踪限制,也会在成员账户中创建跟踪。虽然任何区域中的管理事件的第一个跟踪都是免费的,但其他跟踪需要付费。要降低组织跟踪记录的潜在成本,请考虑删除管理账户和成员账户中任何不需要的跟踪记录。有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail定价

企业跟踪记录安全最佳实践

作为安全最佳实践,建议您将 aws:SourceArn 条件密钥添加到用于企业跟踪记录的资源策略(例如 S3 存储桶、KMS 密钥或 SNS 主题的策略)。aws:SourceArn 的值是企业跟踪记录 ARN(或 ARN,如果您使用同一资源进行多个跟踪,例如用同一个 S3 存储桶存储多个跟踪记录的日志)。这可确保资源(例如 S3 存储桶)只接受与特定跟踪记录关联的数据。跟踪 ARN 必须使用管理账户的账户 ID。以下策略代码段显示有多个跟踪记录正在使用该资源的示例。

"Condition": { "StringEquals": { "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"] } }

有关如何向资源策略添加条件密钥的信息,请参阅以下内容: