Grundlegendes zu Wanderwegen und optionalen Regionen - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu Wanderwegen und optionalen Regionen

Ein Trail kann auf alle AWS-Regionen , die in deiner Region aktiviert sind AWS-Konto, oder auf eine einzelne Region angewendet werden. Ein Trail, der für alle gilt AWS-Regionen , die in Ihrer Region aktiviert sind, AWS-Konto wird als Multi-Region-Trail bezeichnet. Als bewährte Methode empfehlen wir, einen Trail mit mehreren Regionen zu erstellen, da er Aktivitäten in allen aktivierten Regionen erfasst. Bei allen mit der CloudTrail Konsole erstellten Pfaden handelt es sich um Trails mit mehreren Regionen. Sie können mit der CreateTrailAPI-Operation AWS CLI oder nur einen Trail mit einer Region erstellen.

Obwohl die meisten Regionen standardmäßig für Sie aktiviert AWS-Regionen sind AWS-Konto, müssen Sie bestimmte Regionen (auch als Opt-in-Regionen bezeichnet) manuell aktivieren. Informationen darüber, welche Regionen standardmäßig aktiviert sind, finden Sie im AWS -Kontenverwaltung Referenzhandbuch unter Überlegungen vor dem Aktivieren und Deaktivieren von Regionen. Eine Liste der CloudTrail unterstützten Regionen finden Sie unterCloudTrail unterstützte Regionen.

Was sind die Vorteile von Wanderwegen in mehreren Regionen?

Ein Wanderweg mit mehreren Regionen hat die folgenden Vorteile:

  • Die Konfigurationseinstellungen für den Trail gelten konsistent für alle aktivierten AWS-Regionen Pfade.

  • Sie erhalten CloudTrail Ereignisse von allen, die AWS-Regionen in einem einzigen Amazon S3 S3-Bucket und optional in einer CloudWatch Logs-Protokollgruppe aktiviert sind.

  • Sie verwalten die Trail-Konfigurationen für alle aktivierten AWS-Regionen Dateien von einem Standort aus.

Was passiert, wenn Sie einen Wanderweg mit mehreren Regionen erstellen?

Das Erstellen eines Wanderweges mit mehreren Regionen hat folgende Auswirkungen:

  • CloudTrail liefert Protokolldateien für Kontoaktivitäten von allen aktivierten in AWS-Regionen den einzelnen Amazon S3 S3-Bucket, den Sie angeben, und optional in eine CloudWatch Logs-Protokollgruppe.

  • Wenn Sie ein Amazon SNS SNS-Thema für den Trail konfiguriert haben, AWS-Regionen werden SNS-Benachrichtigungen über Protokolldateizustellungen in allen aktivierten Versionen an dieses einzelne SNS-Thema gesendet.

  • Sie können sehen, dass der Trail für mehrere Regionen aktiviert ist AWS-Regionen, aber Sie können den Trail nur in der Heimatregion ändern, in der er erstellt wurde.

Was passiert, wenn Sie eine Opt-in-Region aktivieren?

Nachdem Sie eine Opt-in-Region aktiviert haben, CloudTrail wird eine identische Kopie jedes Trails mit mehreren Regionen in der von Ihnen aktivierten Opt-in-Region erstellt.

CloudTrail verwendet ein verteiltes Rechenmodell, das als Eventual Consistency bezeichnet wird. Da das Aktivieren einer Region einige Minuten bis mehrere Stunden dauert, werden Ihnen möglicherweise nicht sofort alle Ereignisse in den Protokollen für die neu aktivierte Region angezeigt. Es kann bis zu mehreren Stunden dauern, CloudTrail bis alle Protokolle für die neu aktivierte Region zugestellt sind. Während dieser Zeit können Sie die in dieser Region protokollierten Verwaltungsereignisse der letzten 90 Tage anzeigen, indem Sie den CloudTrail Ereignisverlauf aufrufen oder den aws cloudtrail lookup-events --region <region>Befehl ausführen. Der Ereignisverlauf ist in Ihrer AWS-Konto standardmäßig aktiv. Er erfasst die in einer Region protokollierten Verwaltungsereignisse der letzten 90 Tage und erfordert keine Aufzeichnung.

Informationen zur Aktivierung einer Opt-in-Region für Ihre AWS-Konto finden Sie unter Aktivieren oder Deaktivieren einer Region für eigenständige Konten oder Aktivieren oder Deaktivieren einer Region in Ihrer Organisation.

Was passiert, wenn Sie eine Opt-in-Region deaktivieren?

Da dein Konto möglicherweise Aktivitäten in der Region hat, die du deaktiviert hast, wie z. B. Aktionen AWS-Services zum Entfernen von Ressourcen, CloudTrail werden weiterhin Aktivitäten erfasst und versucht, Ereignisse für alle Trails, die nicht gelöscht wurden, bevor die Region deaktiviert wurde, an den S3-Bucket zu übertragen.