为组织创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为组织创建跟踪

如果您已在 Amazon Organizations 中创建企业,则可以创建跟踪记录,此跟踪将录入该企业中所有 Amazon 账户的所有事件。这有时称为企业跟踪记录

组织的管理账户可以指定委托管理员来管理组织的跟踪。有关添加委托管理员的更多信息,请参阅添加 CloudTrail 委托管理员

您可以选择在管理账户或委托管理员账户中编辑现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关 Amazon Organizations 的更多信息,请参阅 Organizations 术语和概念

注意

您必须使用组织的管理账户或委托管理员账户登录,才能创建组织跟踪。您还必须对管理账户或委托管理员账户中的 IAM 用户或角色具有足够的权限,才能成功创建组织跟踪。如果您没有足够的权限,则无法显示用于将跟踪应用到组织的选项。

当您创建企业跟踪记录时,将在属于您企业的每个 Amazon 账户中创建具有您所指定名称的跟踪记录。在成员账户中具有 CloudTrail 权限的用户在从其 Amazon 账户登录 Amazon CloudTrail 控制台时,或者当他们运行 Amazon CLI 命令(如 describe-trail)时,将能够看到此跟踪记录。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。

默认情况下,当您在 CloudTrail 控制台中创建企业跟踪记录时,该跟踪记录为多区域跟踪记录;也就是说,它会录入企业里每个账户中所有区域的事件,但仅在创建跟踪记录所在的 Amazon 分区中执行操作。要录入您企业中所有 Amazon 分区的所有区域的事件,请在每个分区中创建多区域企业跟踪记录。

当您在控制台中创建企业跟踪记录时,或当您在 Organizations 中将 CloudTrail 作为可信服务启用时,这样做会创建服务相关角色,以在您企业的成员账户中执行日志记录任务。该角色名为 AWSServiceRoleForCloudTrail,是 CloudTrail 录入企业事件所必需的。如果某个 Amazon 账户已添加到企业,则会将企业跟踪记录和服务相关角色添加到该 Amazon 账户,并将在企业跟踪记录中自动开始针对该账户的日志录入。如果从企业中删除了 Amazon 账户,则将会从不再是该企业一部分的 Amazon 账户中删除企业跟踪记录和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。

在下面的示例中,管理账户 111111111111 中的用户为组织 o-exampleorgid 创建名为 MyOrganizationTrail 的跟踪。此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。企业中的所有账户均可以在其跟踪记录列表中看到 MyOrganizationTrail,但成员账户无法删除或修改企业跟踪记录。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户可以访问跟踪记录的 Simple Storage Service(Amazon S3)存储桶 my-organization-bucket 以及其中包含的日志。日志文件的高级存储桶结构包含一个以企业 ID 命名的文件夹,其子文件夹以企业中每个账户的账户 ID 命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果从企业中删除了成员账户 444444444444,则 MyOrganizationTrail 和服务相关角色将不再显示在 Amazon 账户 444444444444 中,并且企业跟踪记录不会再进一步录入该账户的其他事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。

在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。此 ARN 也是所有成员账户中的跟踪的 ARN。

组织跟踪记录在很多方面都类似于常规跟踪记录。可以为您的组织创建多个跟踪记录,并选择是在所有区域还是在单个区域中创建组织跟踪记录,以及您希望在组织跟踪记录中记录哪些类型的事件,就像在任何其他跟踪记录中一样。但存在一些区别。例如,在控制台中创建跟踪和选择是否记录 Amazon S3 桶或 Amazon Lambda 函数的数据事件时,CloudTrail 控制台中仅会列出管理账户或委托管理员账户的资源,但您可以为成员账户中的资源添加 ARN。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、见解事件和数据事件的更多信息,请参阅使用 CloudTrail 日志文件

注意

在控制台中,您创建可记录所有区域的跟踪。这是推荐的最佳实践;所有区域中的日志记录活动都有助于保持 Amazon 环境更加安全。要创建单区域跟踪,请使用 Amazon CLI

您还可以配置其他 Amazon 服务,以便进一步分析在 CloudTrail 日志中为组织跟踪收集的事件数据并采取相应的措施(所采用的方式与对其他任何跟踪的方式相同)。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅Amazon 服务与 CloudTrail Logs 的集成