为组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为组织创建跟踪

如果您已在 Amazon Organizations 中创建组织,则可以创建跟踪,此跟踪将记录该组织中所有 Amazon 账户的所有事件。这种方法有时称为组织跟踪。您还可以选择在管理账户中编辑现有跟踪并将其应用于组织,从而使其成为组织跟踪。组织跟踪组织内的管理账户和所有成员账户的日志事件。有关 的更多信息Amazon Organizations,请参阅Organizations 术语和概念

注意

您必须使用组织的管理账户登录,才能创建组织跟踪。您还必须对管理账户中的 IAM 用户或角色具有足够的权限,才能成功创建组织跟踪。如果您没有足够的权限,则无法显示用于将跟踪应用到组织的选项。

当您创建组织跟踪时,将在属于您的组织的每个 Amazon 账户中创建具有您所指定名称的跟踪。在成员账户中具有 CloudTrail 权限的用户在登录Amazon CloudTrail控制台中的Amazon帐户,或者当他们运行Amazon CLI命令,如describe-trail。但是,成员账户中的用户将没有足够的权限删除组织跟踪、启用和关闭日志记录、更改要记录的事件类型,或以任何其他方式更改组织跟踪。

当您在控制台中创建 Organizations 跟踪时,或当您在组织中将 CloudTrail 启用为可信服务时,这样做会创建服务相关角色,以在您组织的成员账户中执行日志记录任务。该角色命名为AWSServiceRoleForCloudTrail,并且是 CloudTrail 成功记录组织事件所必需的。如果某个 Amazon 账户已添加到组织,则会将组织跟踪和服务相关角色添加到该 Amazon 账户,并将在组织跟踪中自动开始针对该账户的日志记录。如果从组织中删除了 Amazon 账户,则将会从不再是该组织一部分的 Amazon 账户中删除组织跟踪和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Amazon S3 存储桶(其中存储了日志文件以用于跟踪)中。

在下面的示例中,管理帐户 111111111111 中的用户创建名为MyOrganizationTrail对于组织o 示例。此跟踪将组织中所有账户的活动记录在同一 Amazon S3 存储桶中。组织中的所有账户均可以在其跟踪列表中看到 MyOrganizationTrail,但成员账户将无法删除或修改组织跟踪。只有管理账户才能更改或删除组织的跟踪,正如只有管理账户才能从组织中删除成员账户一样。同样,默认情况下,只有管理账户可以访问 Amazon S3 存储桶。我的组织存储桶查看跟踪及其中包含的日志。日志文件的高级存储桶结构包含一个以组织 ID 命名的文件夹,其子文件夹以组织中每个账户的账户 ID 命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果成员帐户 444444444444444444 在将来某个时刻从组织中删除,MyOrganizationTrail,服务相关角色将不再显示在Amazon帐户 44444444444444444444,并且组织跟踪不会记录该帐户的其他事件。但是,444444444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Amazon S3 存储桶中。

在此示例中,在管理账户中创建跟踪的 ARN 为aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。此 ARN 也是所有成员账户中的跟踪的 ARN。

组织跟踪在很多方面都类似于常规跟踪。可以为您的组织创建多个跟踪,并选择是在所有区域还是在单个区域中创建组织跟踪,以及您希望在组织跟踪中记录哪些类型的事件,就像在任何其他跟踪中一样。但存在一些区别。例如,当您在控制台中创建跟踪并选择是记录 Amazon S3 存储桶的数据事件还是Amazon Lambda函数,则 CloudTrail 控制台中列出的仅有资源为管理账户的资源,但您可以在成员账户中添加资源的 ARN。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、见解事件和数据事件的更多信息,请参阅使用 CloudTrail 日志文件

注意

在控制台中,您可以创建记录所有区域的跟踪。这是推荐的最佳实践;所有区域的日志记录活动可帮助您保持Amazon环境更加安全。要创建单区域跟踪,使用Amazon CLI

您也可以配置其他Amazon服务,以便进一步分析在 CloudTrail 日志中收集的事件数据并采取相应的措施,其方式与对其他跟踪的方式相同。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 Amazon服务与 CloudTrail 日志集成

活动历史记录和组织跟踪

组织跟踪可以在中查看最近 90 天的管理事件。事件历史记录与个人账户的方式相同。当您在中查看事件时事件历史记录中的组织Amazon Organizations,则只能查看 Amazon Web Services 账户 登录时使用的文件。例如,如果您使用组织管理帐户登录,事件历史记录显示管理账户的管理事件的过去 90 天。组织成员帐户事件不会显示在事件历史记录对于管理帐户。要查看事件历史记录,请使用会员帐户登录。

从成员帐户跟踪移动到组织跟踪的最佳做法

如果您已经为各个成员账户配置了 CloudTrail 跟踪,但希望转到组织跟踪以记录所有账户中的事件,则在创建组织跟踪之前,您不希望通过删除各个成员账户跟踪来丢失事件。但是,当您有两个跟踪时,您会由于传递到组织跟踪的事件的额外副本而产生更高的成本。

为了帮助管理成本,但要避免在组织跟踪中开始日志传输之前丢失事件,请考虑同时保留单个成员账户跟踪和组织跟踪最多一天。这可确保组织跟踪记录所有事件,但您只会在一天内产生重复事件成本。第一天过后,您可以停止登录(或删除)任何单个会员账户跟踪。