在附加账户中启用 CloudTrail - AWS CloudTrail
使用控制台在附加账户中启用 CloudTrail 使用 CLI 在附加账户中启用 CloudTrail
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在附加账户中启用 CloudTrail

您可以使用控制台或命令行接口在附加 AWS 账户中启用 CloudTrail。

使用控制台在 AWS 附加账户中启用 CloudTrail

您可以使用 CloudTrail 控制台在附加账户中启用 CloudTrail。

  1. 使用账户 222222222222 凭证登录到 AWS 管理控制台并打开 AWS CloudTrail 控制台。在导航栏中,选择要启用 CloudTrail 的区域。

  2. 选择 Get Started Now

  3. 在以下页面上,将您跟踪的名称键入 Trail name 框中。

  4. 对于 Create a new S3 kbucket? (创建新 S3 存储桶?),选择 No (否)。使用文本框输入您之前在使用账户 111111111111 凭证登录时创建的用于存储日志文件的存储桶的名称。CloudTrail 将显示一条警告,询问您是否确实要在另一个账户中指定 S3 存储桶。验证您输入的存储桶名称。

  5. 选择 Advanced

  6. Log file prefix (日志文件前缀) 字段中,输入和您在使用账户 111111111111 凭证启用 CloudTrail 时输入的用于存储日志文件的相同前缀。如果您选择使用的前缀不同于您在第一个账户中启用 CloudTrail 时输入的前缀,则必须编辑目标存储桶的存储桶策略以允许 CloudTrail 将日志文件写入到使用此新前缀的存储桶。

  7. (可选)针对 SNS notification for every log file delivery (是否为每次日志文件传输发送 SNS 通知)? 选择 Yes (是)No (否)。如果选择了 Yes,请在 SNS topic (new) 字段中为您的 Amazon SNS 主题键入一个名称。

    注意

    Amazon SNS 是一项区域性服务,如果您选择创建一个主题,则该主题将存在于启用 CloudTrail 的相同区域中。如果您有应用到所有区域的跟踪,则可以在任何区域中选择 Amazon SNS 主题,只要您为该主题应用了适当的策略即可。有关更多信息,请参阅CloudTrail 的 Amazon SNS 主题策略

  8. 选择 Turn On

约 15 分钟后,CloudTrail 开始发布日志文件,这些文件显示了自完成上述步骤后在此区域中的您的账户中发起的 AWS 调用。

使用 CLI 在附加 AWS 账户中启用 CloudTrail

您可以使用 AWS 命令行工具在附加账户中启用 CloudTrail 并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅AWS Command Line Interface 用户指南

使用 CloudTrail 命令在您的附加账户中启用 create-trail,同时指定以下内容:

  • --name 指定跟踪的名称。

  • --s3-bucket-name 指定您在第一个账户(此示例中为 Amazon S3)中启用 CloudTrail 时创建的现有 111111111111 存储桶。

  • --s3-prefix 指定日志文件传输路径的前缀(可选)。

  • --is-multi-region-trail 指定此跟踪将记录所有 AWS 区域中的事件。

与使用控制台创建的跟踪相反,您必须为使用 AWS CLI 创建的每个跟踪提供一个名称。您可以为运行 AWS 资源的账户所在的每个区域创建一个跟踪。

以下示例命令说明如何使用 AWS CLI 为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户(此示例中为 111111111111)中创建的存储桶,请在 --s3-bucket-name 选项中指定存储桶名称。Amazon S3 存储桶名称是全局唯一的。 

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

当您运行该命令时,将显示与以下内容类似的输出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "MyBucketBelongingToAccount111111111111"
}

有关从 AWS 命令行工具使用 CloudTrail 的更多信息,请参阅 CloudTrail 命令行参考