为组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为组织创建跟踪

如果您已在 Amazon Organizations 中创建企业,则可以创建跟踪记录,此跟踪将录入该企业中所有 Amazon 账户的所有事件。这有时称为企业跟踪记录。您还可以选择在管理账户中编辑现有跟踪并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关 Amazon Organizations 的更多信息,请参阅 Organizations 术语和概念

注意

您必须使用组织的管理账户登录,才能创建组织跟踪。您还必须对管理账户中的 IAM 用户或角色具有足够的权限,才能成功创建组织跟踪。如果您没有足够的权限,则无法显示用于将跟踪应用到组织的选项。

当您创建企业跟踪记录时,将在属于您企业的每个 Amazon 账户中创建具有您所指定名称的跟踪记录。在成员账户中具有 CloudTrail 权限的用户在从其 Amazon 账户登录 Amazon CloudTrail 控制台时,或者当他们运行 Amazon CLI 命令(如 describe-trail)时,将能够看到此跟踪记录。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。

默认情况下,当您在 CloudTrail 控制台中创建企业跟踪记录时,该跟踪记录为多区域跟踪记录;也就是说,它会录入企业里每个账户中所有区域的事件,但仅在创建跟踪记录所在的 Amazon 分区中执行操作。要录入您企业中所有 Amazon 分区的所有区域的事件,请在每个分区中创建多区域企业跟踪记录。

当您在控制台中创建企业跟踪记录时,或当您在 Organizations 中将 CloudTrail 作为可信服务启用时,这样做会创建服务相关角色,以在您企业的成员账户中执行日志记录任务。该角色名为 AWSServiceRoleForCloudTrail,是 CloudTrail 录入企业事件所必需的。如果某个 Amazon 账户已添加到企业,则会将企业跟踪记录和服务相关角色添加到该 Amazon 账户,并将在企业跟踪记录中自动开始针对该账户的日志录入。如果从企业中删除了 Amazon 账户,则将会从不再是该企业一部分的 Amazon 账户中删除企业跟踪记录和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。

在下面的示例中,管理账户 111111111111 中的用户为组织 o-exampleorgid 创建名为 MyOrganizationTrail 的跟踪。此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。企业中的所有账户均可以在其跟踪记录列表中看到 MyOrganizationTrail,但成员账户无法删除或修改企业跟踪记录。只有管理账户才能更改或删除企业的跟踪记录,正如只有管理账户才可以从企业中删除成员账户一样。同样,默认情况下,只有管理账户可以访问跟踪记录的 Simple Storage Service(Amazon S3)存储桶 my-organization-bucket 以及其中包含的日志。日志文件的高级存储桶结构包含一个以企业 ID 命名的文件夹,其子文件夹以企业中每个账户的账户 ID 命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果从企业中删除了成员账户 444444444444,则 MyOrganizationTrail 和服务相关角色将不再显示在 Amazon 账户 444444444444 中,并且企业跟踪记录不会再进一步录入该账户的其他事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。

在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。此 ARN 也是所有成员账户中的跟踪的 ARN。

组织跟踪记录在很多方面都类似于常规跟踪记录。可以为您的组织创建多个跟踪记录,并选择是在所有区域还是在单个区域中创建组织跟踪记录,以及您希望在组织跟踪记录中记录哪些类型的事件,就像在任何其他跟踪记录中一样。但存在一些区别。例如,在控制台中创建跟踪和选择是否记录 Simple Storage Service(Amazon S3)存储桶或 Amazon Lambda 函数的数据事件时,CloudTrail 控制台中列出的仅有资源是管理账户的资源,但您可以在成员账户中添加资源的 ARN。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、见解事件和数据事件的更多信息,请参阅使用 CloudTrail 日志文件

注意

在控制台中,您创建可记录所有区域的跟踪。这是推荐的最佳实践;所有区域中的日志记录活动都有助于保持 Amazon 环境更加安全。要创建单区域跟踪,请使用 Amazon CLI

您还可以配置其他 Amazon 服务,以便进一步分析在 CloudTrail 日志中为组织跟踪收集的事件数据并采取相应的措施(所采用的方式与对其他任何跟踪的方式相同)。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 Amazon 服务与 CloudTrail Logs 的集成

事件历史记录和组织跟踪记录

组织跟踪记录使最近 90 天的管理事件像在个人账户中那样出现在 Event history(事件历史记录)中。当您在中查看 Amazon Organizations 中的组织在 Event history(事件历史记录)中的事件时,只能查看您登录时使用的 Amazon Web Services 账户 的事件。例如,如果您使用组织管理账户登录,Event history(事件历史记录)将显示该管理账户的过去 90 天的管理事件。组织成员账户事件不会显示在管理账户的 Event history(事件历史记录)中。要查看 Event history(事件历史记录)中的会员账户事件,请使用会员账户登录。

从成员账户跟踪转到组织跟踪记录的最佳实践

如果您已经为各个成员账户配置了 CloudTrail 跟踪记录,但希望转到组织跟踪以记录所有账户中的事件,则在创建组织跟踪记录之前,您不希望通过删除各个成员账户跟踪记录来丢失事件。但是,当您有两个跟踪记录时,您会由于传递到组织跟踪记录的事件的额外副本而产生更高的成本。

为了帮助管理成本,但要避免在组织跟踪记录中开始日志传输之前丢失事件,请考虑同时保留单个成员账户跟踪记录和组织跟踪记录最多一天。这可确保组织跟踪记录所有事件,但您只会在一天内产生重复事件成本。第一天过后,您可以停止登录(或删除)任何单个会员账户跟踪记录。