在其他账户中创建跟踪 - Amazon CloudTrail
使用控制台在其他账户中创建跟踪 使用 CLI 在附加账户中启用 CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在其他账户中创建跟踪

您可以使用控制台或命令行界面在其他 Amazon 账户中创建跟踪,并将其日志文件聚合到一个 Amazon S3 存储桶中。

使用控制台在其他 Amazon 账户中创建跟踪

您可以使用 CloudTrail 控制台在其他账户中创建跟踪。

  1. 使用您要为其创建跟踪的账户登录 Amazon Web Services Management Console。按照 在控制台中创建跟踪 中的步骤,使用控制台创建跟踪。

  2. 对于 Storage location(存储位置),选择 Use existing S3 bucket(使用现有 S3 存储桶)。使用文本框输入您用于跨账户存储日志文件的存储桶的名称。

    注意

    存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅设置适用于多个账户的存储桶策略

    使用现有的 S3 存储桶

  3. 前缀中,输入您用于跨账户存储日志文件的前缀。如果您选择使用的前缀不同于您在存储桶策略中指定的前缀,则必须编辑目标存储桶的存储桶策略以允许 CloudTrail 将日志文件写入到使用此新前缀的存储桶。

使用 CLI 在其他 Amazon 账户中创建跟踪

您可以使用 Amazon 命令行工具在其他账户中创建跟踪,并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅 Amazon Command Line Interface 用户指南

使用 create-trail 命令创建跟踪,并指定以下内容:

  • --name 指定跟踪的名称。

  • --s3-bucket-name 指定您用于跨账户存储日志文件的 Amazon S3 存储桶。

  • --s3-prefix 指定日志文件传输路径的前缀(可选)。

  • --is-multi-region-trail 指定此跟踪将记录您正在使用的分区中所有 Amazon 区域的事件。

您可以为运行 Amazon 资源的账户所在的每个区域创建一个跟踪。

以下示例命令说明如何使用 Amazon CLI 为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户(此示例中为 111111111111)中创建的存储桶,请在 --s3-bucket-name 选项中指定存储桶名称。Simple Storage Service(Amazon S3)存储桶名称具有全局唯一性。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

当您运行该命令时,将显示与以下内容类似的输出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "MyBucketBelongingToAccount111111111111"
}

有关从 Amazon 命令行工具使用 CloudTrail 的更多信息,请参阅 CloudTrail 命令行参考