AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

准备为您的组织创建跟踪

在为您的组织创建跟踪之前,您需要确保正确设置您的组织和主账户以创建跟踪。

  • 您的组织必须先启用所有功能,然后才能为其创建跟踪。有关更多信息,请参阅启用组织中的所有功能

  • 主账户必须具有 AWSServiceRoleForOrganizations 角色。此角色由 组织 在您创建组织时自动创建,并且是 CloudTrail 记录组织事件所必需的。有关更多信息,请参阅 组织 和服务相关角色

  • 将用于在主账户中创建组织跟踪的 IAM 用户或角色必须具有足够的权限才能创建组织跟踪。为了创建组织跟踪,您至少必须应用 AWSCloudTrailFullAccess 策略或等效权限。您还必须在 IAM 和 组织 中具有足够的权限,才能创建服务相关角色并启用可信访问。下面的示例策略中显示了所需的最低权限:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
  • 如果要使用 AWS CLI 或 CloudTrail API 来创建组织跟踪,则必须在 组织 中为 CloudTrail 启用可信访问,且必须使用允许组织跟踪的日志记录的策略手动创建一个 Amazon S3 存储桶。有关更多信息,请参阅 使用 AWS Command Line Interface 为组织创建跟踪

  • 如果要使用现有 IAM 角色将组织跟踪的监控功能添加到 Amazon CloudWatch Logs 中,则必须手动修改 IAM 角色,以允许将成员账户的 CloudWatch Logs 传送到主账户中的 CloudWatch Logs 组。例如:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] } ] }

    您可以在使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件中了解有关 CloudTrail 和 Amazon CloudWatch Logs 的更多信息。此外,在决定启用组织跟踪的体验之前,请考虑对 CloudWatch Logs 的限制和服务的定价注意事项。有关更多信息,请参阅 CloudWatch Logs 限制Amazon CloudWatch 定价

  • 如果要在组织跟踪中记录成员账户中特定 Amazon S3 存储桶或 AWS Lambda 函数的数据事件,请为每项资源收集 Amazon 资源名称 (ARN) 的列表。创建跟踪时,成员账户资源不会显示在 CloudTrail 控制台中;只能显示主账户中的 Amazon S3 和 Lambda 函数。同样,如果要在命令行中创建或更新组织跟踪时添加特定成员资源,则需要这些资源的 ARN。

    注意

    记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅 AWS CloudTrail 定价

您还应该考虑在创建组织跟踪之前查看主账户和成员账户中已存在的跟踪数。CloudTrail 会限制可在每个区域中创建的跟踪数。您在主账户中创建组织跟踪的区域中不能超出此限制。但是,即使成员账户已达到区域中的跟踪限制,也会在成员账户中创建跟踪。虽然任何区域中的第一个跟踪都是免费的,但其他跟踪需要付费。要降低组织跟踪的潜在成本,请考虑删除主账户和成员账户中任何不需要的跟踪。有关 CloudTrail 定价的更多信息,请参阅 AWS CloudTrail 定价