为组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为组织创建跟踪

如果您已在 Amazon Organizations 中创建企业,则可以创建跟踪记录,此跟踪将录入该企业中所有 Amazon 账户的所有事件。这有时称为企业跟踪记录

组织的管理账户可以指定委托管理员来管理组织的跟踪。有关添加委托管理员的更多信息,请参阅添加CloudTrail委派管理员

您可以选择在管理账户或委托管理员账户中编辑现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关 Amazon Organizations 的更多信息,请参阅 Organizations 术语和概念

注意

您必须使用与组织关联的管理账户或委托管理员帐户登录才能创建组织跟踪。您还必须为管理或委派管理员帐户中的用户或角色拥有足够的权限才能创建跟踪。如果您没有足够的权限,则无法选择将跟踪应用于组织。

当您创建企业跟踪记录时,将在属于您企业的每个 Amazon 账户中创建具有您所指定名称的跟踪记录。拥有成员帐户CloudTrail权限的用户在从其Amazon帐户登录Amazon CloudTrail控制台或运行诸如之类的Amazon CLI命令时可以看到此线索describe-trail。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。

默认情况下,当您在CloudTrail控制台中创建组织跟踪时,该跟踪是多区域跟踪;也就是说,它记录来自组织中每个账户中所有区域的事件,但仅记录在创建跟踪的Amazon分区中。要记录组织中所有Amazon分区中所有区域的事件,请在每个分区中创建多区域组织跟踪。

当您在控制台中创建组织跟踪时,或者在 Organizations 中启用CloudTrail为可信服务时,这会创建一个服务相关角色以在组织的成员账户中执行日志任务。此角色已命名 AWSServiceRoleForCloudTrail,是记录组织事件所必CloudTrail需的。如果某个 Amazon 账户已添加到企业,则会将企业跟踪记录和服务相关角色添加到该 Amazon 账户,并将在企业跟踪记录中自动开始针对该账户的日志录入。如果从企业中删除了 Amazon 账户,则将会从不再是该企业一部分的 Amazon 账户中删除企业跟踪记录和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。

如果 Amazon Organizations 组织的管理账户创建了组织跟踪,但随后作为该组织的管理账户被移除,则使用其账户创建的任何组织跟踪都将成为非组织跟踪。

在以下示例中,该组织的管理账户 111111111111 为组织 o-exampleorgid 创建了一个名MyOrganizationTrail为的跟踪。此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。组织中的所有账户都可以在其跟踪列表MyOrganizationTrail中看到,但成员账户无法删除或修改组织跟踪。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户有权访问跟踪的 Amazon S3 存储桶my-organization-bucket以及其中包含的日志。日志文件的高级存储桶结构包含一个以企业 ID 命名的文件夹,其子文件夹以企业中每个账户的账户 ID 命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果成员账户 444444444444 已从组织中删除,MyOrganizationTrail并且与服务相关的角色不再出现在Amazon账户 444444444444 中,并且组织跟踪不会记录该账户的其他事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。

在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。此 ARN 也是所有成员账户中的跟踪的 ARN。

组织跟踪记录在很多方面都类似于常规跟踪记录。您可以为组织创建多个跟踪,选择是在所有区域还是在单个区域中创建组织跟踪,以及要像在任何其他跟踪中一样在组织跟踪中记录哪些类型的事件。但存在一些区别。例如,当您在控制台中创建跟踪并选择是否记录 Amazon S3 存储桶或Amazon Lambda函数的数据事件时,CloudTrail控制台中列出的唯一资源是管理账户或委托管理员账户的资源,但您可以为成员账户中的资源添加 ARN。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、见解事件和数据事件的更多信息,请参阅使用 CloudTrail 日志文件

注意

在控制台中,您可以创建记录所有区域的跟踪。这是推荐的最佳做法;在所有区域记录活动有助于您提高Amazon环境的安全。要创建单区域跟踪,请使用。Amazon CLI

您还可以配置其他 Amazon 服务,以便进一步分析在 CloudTrail 日志中为组织跟踪收集的事件数据并采取相应的措施(所采用的方式与对其他任何跟踪的方式相同)。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅Amazon与日志的服务集成 CloudTrail

主题