本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 账户 关闭和跟踪
AWS CloudTrail 持续监控和记录任何用户、角色或 AWS 服务 为 AWS 账户 生成的账户活动的事件。用户可以创建 CloudTrail 跟踪,以便在其拥有的 S3 存储桶中接收这些事件的副本。
CloudTrail 是一项基础安全服务,因此,除非用户在关闭 AWS 账户 之前明确删除了其中的跟踪,否则即使在关闭 AWS 账户 之后,用户创建的跟踪仍会继续存在并传输事件。这样可以确保,当用户重新打开已关闭的账户时,可以拥有不间断的账户活动记录。它还有助于用户了解任何最终账户活动,包括删除和终止剩余的账户资源和服务。
在您关闭 AWS 账户之前,应考虑以下事项:
-
即使后关闭期已经过去,跟踪仍然存在。后关闭期是指从关闭账户到 AWS 永久关闭账户 AWS 账户之间的 90 天时间。
-
此行为同样适用于由管理账户或委托管理员创建的组织跟踪,以及在组织成员账户中创建的多区域组织跟踪。
-
对于向同一账户中的 S3 存储桶传送事件的跟踪,即使账户关闭之后,跟踪也仍将继续存在。但是,由于 S3 存储桶在账户关闭时被删除,因此跟踪不会继续传送事件。
-
对于向不同账户中的 S3 存储桶传送事件的跟踪,即使账户关闭之后,跟踪也仍将继续存在。如果事件可以传送,跟踪还会继续将事件传送到 S3 存储桶。例如,如果关闭了组织中的成员账户,但未关闭管理账户,则组织跟踪会继续向 S3 存储桶传送事件。
-
对于使用 AWS KMS keys加密的跟踪,除了 KMS 密钥之外,在账户关闭后跟踪会继续存在。
用户可以选择在关闭其 AWS 账户 之前删除跟踪,或者在关闭其 AWS 账户 之后联系 AWS 支持
有关关闭 AWS 账户的信息,请参阅《AWS 账户管理 参考指南》中的关闭 AWS 账户 账户。
注意
如果启用了 CloudTrail 日志文件验证,用户将继续收到每小时的摘要文件,这些文件表明是否创建了任何 CloudTrail 日志。
CloudTrail Lake 事件数据存储、用于集成的 CloudTrail Lake 通道、CloudTrail 服务相关通道以及为跟踪创建的资源(例如,Amazon CloudWatch Logs 日志组和已关闭账户中存在的 Amazon S3 存储桶)均遵循账户关闭的标准 AWS 行为,并在关闭后的期限(通常为 90 天)之后永久删除。
