在其他账户中创建跟踪 - Amazon CloudTrail
使用控制台在其他账户中创建跟踪 使用 CLI 在其他账户 CloudTrail 中开启
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在其他账户中创建跟踪

您可以使用控制台或创建其他跟踪 Amazon Web Services 账户 并将其日志文件聚合 Amazon CLI 到一个 Amazon S3 存储桶中。或者,您可以创建组织跟踪以记录 Amazon Web Services 账户 属于组织的所有成员 Amazon Organizations。有关更多信息,请参阅 为组织创建跟踪

使用控制台在其他 Amazon 账户中创建跟踪

您可以使用 CloudTrail 控制台在其他账户中创建跟踪。

  1. Amazon Web Services Management Console 使用您要为其创建跟踪的账户登录。按照 在控制台中创建跟踪 中的步骤,使用控制台创建跟踪。

  2. 对于 Storage location(存储位置),选择 Use existing S3 bucket(使用现有 S3 存储桶)。使用文本框输入您用于跨账户存储日志文件的存储桶的名称。

    注意

    存储桶策略必须授予对其进行写入的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅设置适用于多个账户的存储桶策略

    使用现有的 S3 存储桶

  3. 前缀中,输入您用于跨账户存储日志文件的前缀。如果您选择使用与您在存储桶策略中指定的前缀不同的前缀,则必须编辑目标存储桶的存储桶策略, CloudTrail 以允许使用此新前缀将日志文件写入存储桶。

使用 CLI 在其他 Amazon 账户中创建跟踪

您可以使用 Amazon 命令行工具在其他账户中创建跟踪,并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅《Amazon CLI 命令参考》中的 cloudtrail

使用 create-trail 命令创建跟踪,并指定以下内容:

  • --name 指定跟踪的名称。

  • --s3-bucket-name 指定您用于跨账户存储日志文件的 Amazon S3 存储桶。

  • --s3-prefix 指定日志文件传输路径的前缀(可选)。

  • --is-multi-region-trail指定此跟踪将记录您所在分区中所有 Amazon 区域的事件。

您可以为账户运行 Amazon 资源的每个区域创建一个跟踪。

以下示例命令说明如何使用 Amazon CLI为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户(此示例中为 111111111111)中创建的存储桶,请在 --s3-bucket-name 选项中指定存储桶名称。Simple Storage Service(Amazon S3)存储桶名称具有全局唯一性。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

当您运行该命令时,将显示与以下内容类似的输出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "MyBucketBelongingToAccount111111111111"
}

有关使用 Amazon 命令行工具 CloudTrail 的更多信息,请参阅CloudTrail 命令行参考