创建多个跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建多个跟踪

您可以使用 CloudTrail 日志文件解决您的 Amazon 账户中的操作或安全问题。您可以为不同用户创建跟踪,以便其创建和管理自己的跟踪。您可以将跟踪配置为将日志文件传送到单独的 S3 存储桶或共享的 S3 存储桶。

注意

每个帐户的每个 Amazon Web Services 区域 中的管理事件的第一个副本是免费的。如果您创建更多将相同管理事件传递到其他目标的跟踪记录,则后续交付会产生 CloudTrail 成本。有关 CloudTrail 成本的更多信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail 跟踪成本

例如,您可以具有以下用户:

  • 安全管理员,在传送新的日志文件时创建跟踪并配置 SNS 以接收通知。

  • 开发人员创建跟踪并配置 CloudWatch 警报以接收特定 API 活动的通知。

  • IT 审计员,创建跟踪并配置 SNS 和 CloudWatch 警报。

  • 所有日志文件传送到同一 S3 存储桶。

以下图像对示例进行了说明。

多个跟踪的日志文件传输示例
注意

您最多可以为每个 Amazon Web Services 区域 创建 5 个跟踪。多区域跟踪计为每个区域一个跟踪。

您可以使用资源级权限管理用户对 CloudTrail 执行特定操作的能力。

例如,您可以授予用户查看跟踪事件的许可,但限制其启动或者停止记录跟踪。您可以授予其他用户创建和删除跟踪的完整许可。这让您能够对跟踪和用户访问进行粒度控制。

有关 资源级别权限的更多信息,请参阅示例:对针对特定跟踪记录的操作创建和应用策略

有关多个跟踪的更多信息,请参阅 CloudTrail 常见问题