在附加账户中启用 - AWS CloudTrail
使用控制台在附加账 CloudTrail 中启用 使用 CLI 在附加账户中启用
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在附加账户中启用

您可以使用控制台或命令行界面在附加 AWS 账户中启用 CloudTrail。

使用控制台在附加 AWS 账户中启用 CloudTrail

您可以使用 CloudTrail 控制台在附加账户中启用 CloudTrail。

  1. 使用账户 22222222222222 证书登录 AWS 管理控制台,然后打开 AWS CloudTrail 控制台。在导航栏中,选择要启用 CloudTrail 的区域。

  2. 选择 Get Started Now

  3. 在以下页面上,将您跟踪的名称键入 Trail name 框中。

  4. 适用于是否创建新的 S3 存储桶?中,选择。 使用文本框输入您之前在使用账户 1111111111111111111111111111111111 凭证登录时创建的用于存储日志文件的存储桶的名称。CloudTrail 将显示一条警告,询问您是否确实要在另一个账户中指定 S3 存储桶。验证您输入的存储桶名称。

  5. 选择 Advanced (高级)

  6. 日志文件前缀字段中,输入和您在使用账户 1111111111111111111111 凭证启用 CloudTrail 时输入的用于存储日志文件的相同前缀。如果您选择使用的前缀不同于您在第一个账户中启用 CloudTrail 时输入的前缀,则必须编辑目标存储桶的存储桶策略以允许 CloudTrail 将日志文件写入到使用此新前缀的存储桶。

  7. (可选) 选择或者对于 来说为为每个日志文件传输提供 SNS 通知?。如果您选择了中,键入 Amazon SNS 主题的名称,在SNS 主题(新)字段

    注意

    Amazon SNS 是一项区域性服务,因此如果您选择创建主题,则该主题将存在于启用 CloudTrail 的同一区域中。如果您有应用到所有区域的跟踪,则可以在任何区域中选择 Amazon SNS 主题,只要您为该主题应用了适当的策略即可。有关更多信息,请参阅 适用于 CloudTrail 的 Amazon SNS 主题策略

  8. 选择 Turn On

CloudTrail 开始发布日志文件,这些文件显示了在此区域中您的账户中发起的 AWS 调用。CloudTrail 通常会在 API 调用的约 15 分钟内传输日志。不保证这个时间。

使用 CLI 在附加 AWS 账户中启用

您可以使用 AWS 命令行工具在附加账户中启用 CloudTrail 并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅AWS 命令行界面用户指南

在您的附加账户中启用 CloudTrail,方法是使用create-trail命令,指定以下内容:

  • --name 指定跟踪的名称。

  • --s3-bucket-name指定您在第一个账户(此示例中为 1111111111111111111111111111111111)中启用 CloudTrail 时创建的现有 Amazon S3 存储桶。

  • --s3-prefix 指定日志文件传输路径的前缀(可选)。

  • --is-multi-region-trail指定此跟踪将记录所有 AWS 区域中的事件。

与使用控制台创建的跟踪相反,您必须为使用 AWS CLI 创建的每个跟踪提供名称。您可以为运行 AWS 资源的账户所在的每个区域创建一个跟踪。

以下示例命令说明如何使用 AWS CLI 为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户 (此示例中为 11111111111111111111111111111111) 中创建的存储桶,请在--s3-bucket-name选项。Amazon S3 存储桶名称是全球唯一的。 

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

当您运行该命令时,将显示与以下内容类似的输出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "MyBucketBelongingToAccount111111111111"
}

有关从 AWS 命令行工具使用 CloudTrail 的更多信息,请参阅CloudTrail 命令行参考