为组织创建跟踪 - AWS CloudTrail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为组织创建跟踪

如果您在中创建了组织 AWS Organizations,则可以创建记录该组织 AWS 账户 中所有人的所有事件的跟踪。这有时称为企业跟踪记录

组织的管理账户可以指定委托管理员来创建新的组织跟踪或管理现有的组织跟踪。有关添加委托管理员的更多信息,请参阅添加 CloudTrail 委派管理员

组织的管理账户可以编辑账户中的现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关的更多信息 AWS Organizations,请参阅 Organizat ions 术语和概念

注意

您必须使用管理账户或与组织关联的委托管理员账户登录,才能创建组织跟踪。您还必须对管理账户或委托管理员账户中的用户或角色具有足够的权限,才能创建跟踪。如果您没有足够的权限,则无法获得用于将跟踪应用于组织的选项。

使用控制台创建的所有组织跟踪都是多区域组织跟踪,用于记录组织 AWS 区域 中每个成员账户中已启用的组织跟踪的事件。要记录组织中所有 AWS 分区中的事件,请在每个分区中创建多区域组织跟踪。您可以通过使用 AWS CLI创建单区域或多区域组织跟踪。如果您创建单区域跟踪,则只能记录跟踪的 AWS 区域 (也称为区域)中的活动。

尽管大多数区域默认 AWS 区域 处于启用状态 AWS 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《AWS 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域

当您创建组织跟踪时,将在属于您组织的成员账户中创建具有您所指定名称的跟踪副本。

  • 如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在每个成员账户的组织跟踪主区域中创建该跟踪的副本。

  • 如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在已启用该区域的成员账户中的组织跟踪主区域中创建该跟踪的副本。

  • 如果组织跟踪是多区域,并且跟踪的主区域不是可选区域,则会在每个成员账户中启用的 AWS 区域 每个跟踪中创建一个跟踪副本。当成员账户启用选择加入区域时,在激活该区域完成后,将在新选择加入的区域中为成员帐户创建多区域跟踪的副本。

  • 如果组织跟踪是多区域,而主区域可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 AWS 区域 的地方。例如,如果您创建了多区域跟踪,并选择欧洲(西班牙)区域作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)区域的成员账户才会将其账户活动发送到组织跟踪。

注意

CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪。验证失败的示例包括:

  • Amazon S3 存储桶策略不正确

  • Amazon SNS 主题策略不正确

  • 无法传送到 CloudWatch 日志组

  • 权限不足,无法使用 KMS 密钥进行加密

拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 AWS CLI get-trail-status命令来查看组织跟踪的任何验证失败。

拥有成员账户 CloudTrail 权限的用户在从自己的 AWS 账户账户登录 CloudTrail 控制台或运行诸如之类的 AWS CLI 命令时可以看到组织跟踪describe-trails。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。

在控制台中创建组织跟踪时, CloudTrail 会创建一个服务相关角色以在组织的成员账户中执行日志记录任务。此角色已命名 AWSServiceRoleForCloudTrail,并且是记录组织事件所必需 CloudTrail 的。如果向组织添加了, AWS 账户 则会向该组织添加组织跟踪和服务相关角色 AWS 账户,并在组织跟踪中自动开始该账户的日志记录。如果从组织中移除了, AWS 账户 则将从不再属于 AWS 账户 该组织的组织中删除组织跟踪和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Amazon S3 存储桶(其中存储了日志文件以用于跟踪)中。

如果组织的管理账户创建了 AWS Organizations 组织跟踪,但随后被删除为该组织的管理账户,则使用其账户创建的任何组织跟踪都将成为非组织跟踪。

在以下示例中,该组织的管理账户 111111111111 为该组织创建了一条名为的跟踪。MyOrganizationTrail o-exampleorgid此跟踪将组织中所有账户的活动记录在同一 Amazon S3 存储桶中。组织中的所有账户都可以在其跟踪列表MyOrganizationTrail中看到,但成员账户无法删除或修改组织跟踪。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户可以访问跟踪的 Amazon S3 存储桶以及其中包含的日志。日志文件的高级存储桶结构包含一个以组织 ID 命名的文件夹,以及以组织中每个账户 IDs 的账户命名的子文件夹。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果成员帐户 444444444444 已从组织中删除,MyOrganizationTrail并且服务相关角色不再出现在 AWS 账户 444444444444 中,并且组织追踪不会为该账户记录进一步的事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Amazon S3 存储桶中。

Organizations 中示例组织的概念概述。

在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。此 ARN 也是所有成员账户中的跟踪的 ARN。

组织跟踪记录在很多方面都类似于常规跟踪记录。您可以为您的组织创建多个跟踪,并选择是创建多区域组织跟踪还是单区域组织跟踪,以及希望在组织跟踪中记录哪些类型的事件,就像在任何其他跟踪中一样。但存在一些区别。例如,当您在控制台中创建跟踪并选择是否记录 Amazon S3 存储桶或 AWS Lambda 函数的数据事件时, CloudTrail 控制台中列出的资源仅为管理账户的资源,但您可以 ARNs 为成员账户中的资源添加资源。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、Insights 事件和数据事件的更多信息,请参阅 记录管理事件记录数据事件使用见 CloudTrail 解

注意

在控制台中,您可以创建多区域跟踪。建议的最佳做法是在您的所有已启用区域中记录活动 AWS 账户,因为这可以帮助您提高 AWS 环境的安全性。要创建单区域跟踪,请使用 AWS CLI

当您在中的某个组织的 “活动历史记录” 中查看事件时 AWS Organizations,只能查看 AWS 账户 与您登录的组织的事件。例如,如果您使用组织管理账户登录,事件历史记录将显示该管理账户的过去 90 天的管理事件。组织成员账户事件不会显示在管理账户的事件历史记录中。要查看事件历史记录中的成员账户事件,请使用成员账户登录。

您可以配置其他 AWS 服务,以进一步分析和处理组织跟踪 CloudTrail 日志中收集的事件数据,就像处理任何其他跟踪一样。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 AWS 与日志的服务集成 CloudTrail

主题