本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为组织创建跟踪
如果您在中创建了组织 Amazon Organizations,则可以创建记录该组织 Amazon Web Services 账户 中所有人的所有事件的跟踪。这有时称为企业跟踪记录。
组织的管理账户可以指定委托管理员来创建新的组织跟踪或管理现有的组织跟踪。有关添加委托管理员的更多信息,请参阅添加 CloudTrail 委派管理员。
组织的管理账户可以编辑账户中的现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关的更多信息 Amazon Organizations,请参阅 Organizat ions 术语和概念。
注意
您必须使用管理账户或与组织关联的委托管理员账户登录,才能创建组织跟踪。您还必须对管理账户或委托管理员账户中的用户或角色具有足够的权限,才能创建跟踪。如果您没有足够的权限,则无法获得用于将跟踪应用于组织的选项。
使用控制台创建的所有组织跟踪都是多区域组织跟踪,用于记录组织 Amazon Web Services 区域 中每个成员账户中已启用的组织跟踪的事件。要记录组织中所有 Amazon 分区中的事件,请在每个分区中创建多区域组织跟踪。您可以通过使用 Amazon CLI创建单区域或多区域组织跟踪。如果您创建单区域跟踪,则只能记录跟踪的 Amazon Web Services 区域 (也称为主区域)中的活动。
尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《Amazon 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域。
当您创建组织跟踪时,将在属于您组织的成员账户中创建具有您所指定名称的跟踪副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是可选区域,则会在组织跟踪的主区域的每个成员账户中创建跟踪的副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域是可选区域,则会在组织跟踪的主区域中启用该区域的成员账户中创建跟踪的副本。
-
如果组织跟踪是多区域,并且跟踪的主区域不是可选区域,则会在每个成员账户中启用的 Amazon Web Services 区域 每个跟踪中创建一个跟踪副本。当成员账户启用选择加入区域时,在激活该区域完成后,将在新选择加入的区域中为成员帐户创建多区域跟踪的副本。
-
如果组织跟踪是多区域,而主区域是可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如,如果您创建了多区域跟踪,并选择欧洲(西班牙)区域作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)区域的成员账户才会将其账户活动发送到组织跟踪。
注意
CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪。验证失败的示例包括:
-
Amazon S3 存储桶策略不正确
-
Amazon SNS 主题策略不正确
-
无法传送到 CloudWatch 日志组
-
权限不足,无法使用 KMS 密钥进行加密
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看组织跟踪的详细信息页面或运行 Amazon CLI get-trail-status 命令。
拥有成员账户 CloudTrail 权限的用户在从自己的 Amazon Web Services 账户账户登录 CloudTrail 控制台或运行诸如之类的 Amazon CLI 命令时可以看到组织跟踪describe-trails。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。
在控制台中创建组织跟踪时, CloudTrail 会创建一个服务相关角色以在组织的成员账户中执行日志记录任务。这个角色的名字是 AWSServiceRoleForCloudTrail,是记录组织事件所必需 CloudTrail 的。如果向组织添加了, Amazon Web Services 账户 则会向该组织添加组织跟踪和与服务相关的角色 Amazon Web Services 账户,并在组织跟踪中自动开始该账户的日志记录。如果从组织中移除了, Amazon Web Services 账户 则将从不再属于 Amazon Web Services 账户 该组织的组织中删除组织跟踪和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。
如果组织的管理账户创建了 Amazon Organizations 组织跟踪,但随后被删除为该组织的管理账户,则使用其账户创建的任何组织跟踪都将成为非组织跟踪。
在以下示例中,该组织的管理账户 111111111111 为该组织创建了一条名为的跟踪。MyOrganizationTrail o-exampleorgid此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。组织中的所有账户都可以在其跟踪列表MyOrganizationTrail中看到,但成员账户无法删除或修改组织跟踪。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户可以访问跟踪的 Amazon S3 存储桶以及其中包含的日志。日志文件的高级存储桶结构包含一个以组织 ID 命名的文件夹,以及以组织中每个账户 IDs 的账户命名的子文件夹。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果成员帐户 444444444444 已从组织中删除,MyOrganizationTrail并且服务相关角色不再出现在 Amazon 账户 444444444444 中,并且组织追踪不会为该账户记录进一步的事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。
在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/。此 ARN 也是所有成员账户中的跟踪的 ARN。MyOrganizationTrail
组织跟踪记录在很多方面都类似于常规跟踪记录。您可以为组织创建多个跟踪,并选择创建多区域组织跟踪还是单区域组织跟踪,以及要在组织跟踪中记录哪些类型的事件,就像在任何其他跟踪中一样。但存在一些区别。例如,当您在控制台中创建跟踪并选择是否记录 Amazon S3 存储桶或 Amazon Lambda 函数的数据事件时, CloudTrail 控制台中列出的资源仅为管理账户的资源,但您可以 ARNs 为成员账户中的资源添加资源。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、Insights 事件和数据事件的更多信息,请参阅 记录管理事件、记录数据事件 和 使用见 CloudTrail 解。
注意
在控制台中,您可以创建多区域跟踪。建议的最佳做法是在您的所有已启用区域中记录活动 Amazon Web Services 账户,因为这可以帮助您提高 Amazon 环境的安全。要创建单区域跟踪,请使用 Amazon CLI。
当您在中的某个组织的 “活动历史记录” 中查看事件时 Amazon Organizations,只能查看 Amazon Web Services 账户 与您登录的组织的事件。例如,如果您使用组织管理账户登录,Event history(事件历史记录)将显示该管理账户的过去 90 天的管理事件。组织成员账户事件不会显示在管理账户的 Event history(事件历史记录)中。要查看 Event history(事件历史记录)中的会员账户事件,请使用会员账户登录。
您可以配置其他 Amazon 服务,以进一步分析和处理组织跟踪 CloudTrail 日志中收集的事件数据,就像处理任何其他跟踪一样。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 Amazon 与日志的服务集成 CloudTrail 。