本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在其他账户中创建跟踪
您可以使用控制台或创建其他跟踪 Amazon Web Services 账户 并将其日志文件聚合 Amazon CLI 到一个 Amazon S3 存储桶中。或者,您可以创建组织跟踪以记录 Amazon Web Services 账户 属于组织的所有成员 Amazon Organizations。有关更多信息,请参阅 为组织创建跟踪。
使用控制台在其他 Amazon 账户中创建跟踪
您可以使用 CloudTrail 控制台在其他账户中创建跟踪。
-
Amazon Web Services Management Console 使用您要为其创建跟踪的账户登录。按照 使用控制台创建跟踪 中的步骤,使用控制台创建跟踪。
-
对于 Storage location(存储位置),选择 Use existing S3 bucket(使用现有 S3 存储桶)。使用文本框输入您用于跨账户存储日志文件的存储桶的名称。
注意
存储桶策略必须授予对其进行写入的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅设置适用于多个账户的存储桶策略。
-
在前缀中,输入您用于跨账户存储日志文件的前缀。如果您选择使用与您在存储桶策略中指定的前缀不同的前缀,则必须编辑目标存储桶的存储桶策略, CloudTrail 以允许使用此新前缀将日志文件写入存储桶。
使用 CLI 在其他 Amazon 账户中创建跟踪
您可以使用 Amazon 命令行工具在其他账户中创建跟踪,并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅《Amazon CLI 命令参考》中的 cloudtrail。
使用 create-trail 命令创建跟踪,并指定以下内容:
-
--name指定跟踪的名称。 -
--s3-bucket-name指定您用于跨账户存储日志文件的 Amazon S3 存储桶。 -
--s3-prefix指定日志文件传输路径的前缀(可选)。 -
--is-multi-region-trail指定此跟踪将记录您所在分区中所有 Amazon 区域的事件。
您可以为账户运行 Amazon 资源的每个区域创建一个跟踪。
以下示例命令说明如何使用 Amazon CLI为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户(此示例中为 111111111111)中创建的存储桶,请在 --s3-bucket-name 选项中指定存储桶名称。Simple Storage Service(Amazon S3)存储桶名称具有全局唯一性。
aws cloudtrail create-trail --namemy-trail--s3-bucket-nameamzn-s3-demo-bucket--is-multi-region-trail
当您运行该命令时,将显示与以下内容类似的输出:
{ "IncludeGlobalServiceEvents": true, "Name": "AWSCloudTrailExample", "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
有关使用 Amazon 命令行工具 CloudTrail 的更多信息,请参阅CloudTrail 命令行参考。