在附加账户中启用 CloudTrail - Amazon CloudTrail
使用控制台在附加账户中启用 CloudTrail 使用 CLI 在附加账户中启用 CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在附加账户中启用 CloudTrail

您可以使用控制台或命令行界面在附加 Amazon 账户中启用 CloudTrail。

使用控制台在附加 Amazon 账户中启用 CloudTrail

您可以使用 CloudTrail 控制台在附加账户中启用 CloudTrail。

  1. 使用账户 222222222222 凭证登录到 Amazon 管理控制台,并打开 Amazon CloudTrail 控制台。在导航栏中,选择要启用 CloudTrail 的区域。

  2. 选择 Get Started Now (立即开始)

  3. 在以下页面上,将您跟踪的名称键入 Trail name 框中。

  4. 对于 Create a new S3 bucket?(创建新 S3 存储桶?),选择 No(否)。使用文本框输入您之前在使用账户 111111111111 凭证登录时创建的用于存储日志文件的存储桶的名称。CloudTrail 将会显示一条警告,询问您是否确实要在另一个账户中指定 S3 存储桶。验证您输入的存储桶名称。

  5. 选择 Advanced (高级)

  6. Log file prefix(日志文件前缀)字段中,输入您在使用账户 111111111111 凭证启用 CloudTrail 时输入的用于存储日志文件的相同前缀。如果您选择使用的前缀不同于您在第一个账户中启用 CloudTrail 时输入的前缀,则必须编辑目标存储桶的存储桶策略以允许 CloudTrail 将日志文件写入到使用此新前缀的存储桶。

  7. (可选)对于 SNS notification for every log file delivery?(每次传输日志文件时发出 SNS 通知?),选择 Yes(是)No(否)。如果您选择 Yes(是),则在 SNS topic (new)(新 SNS 主题)字段中键入 Amazon SNS 主题的名称.

    注意

    Amazon SNS 是一项区域性服务,如果您选择创建一个主题,则该主题将存在于启用 CloudTrail 的相同区域中。如果您有应用到所有区域的跟踪记录,则可以在任何区域中选择 Amazon SNS 主题,只要您为该主题应用了适当的策略即可。有关更多信息,请参阅 针对 CloudTrail 的 Amazon SNS 主题策略

  8. 选择 Turn On

CloudTrail 开始发布日志文件,这些文件显示您在此区域中的账户发出的 Amazon 调用。CloudTrail 通常会在 API 调用后平均大约 15 分钟内传输日志。此时间并不能得到保证。

使用 CLI 在附加 Amazon 账户中启用 CloudTrail

您可以使用 Amazon 命令行工具在附加账户中启用 CloudTrail 并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅 Amazon Command Line Interface 用户指南

使用 create-trail 命令在您的附加账户中启用 CloudTrail,同时指定以下内容:

  • --name 指定跟踪的名称。

  • --s3-bucket-name 指定您在第一个账户(此示例中为 111111111111)中启用 CloudTrail 时创建的现有 Amazon S3 存储桶。

  • --s3-prefix 指定日志文件传输路径的前缀(可选)。

  • --is-multi-region-trail 指定此跟踪将记录所有 Amazon 区域中的事件。

与使用控制台创建的跟踪相反,您必须为使用 Amazon CLI 创建的每个跟踪提供一个名称。您可以为运行 Amazon 资源的账户所在的每个区域创建一个跟踪。

以下示例命令说明如何使用 Amazon CLI 为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户(此示例中为 111111111111)中创建的存储桶,请在 --s3-bucket-name 选项中指定存储桶名称。Amazon S3 存储桶名称具有全局唯一性。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

当您运行该命令时,将显示与以下内容类似的输出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "MyBucketBelongingToAccount111111111111"
}

有关从 Amazon 命令行工具使用 CloudTrail 的更多信息,请参阅 CloudTrail 命令行参考