为组织创建跟踪
如果您已在 AWS Organizations 中创建了组织,则可以创建跟踪来记录该组织中所有 AWS 账户的所有事件。这有时称为企业跟踪记录。
组织的管理账户可以指定委托管理员来创建新的组织跟踪或管理现有的组织跟踪。有关添加委托管理员的更多信息,请参阅添加 CloudTrail 委托管理员。
组织的管理账户可以编辑账户中的现有跟踪,并将其应用于组织,从而使其成为组织跟踪。组织跟踪记录记录组织内的管理账户和所有成员账户的日志事件。有关 AWS Organizations 的更多信息,请参阅 Organizations 术语和概念。
注意
您必须使用管理账户或与组织关联的委托管理员账户登录,才能创建组织跟踪。您还必须对管理账户或委托管理员账户中的用户或角色具有足够的权限,才能创建跟踪。如果您没有足够的权限,则无法获得用于将跟踪应用于组织的选项。
使用控制台创建的所有组织跟踪都是多区域组织跟踪,它们记录组织中每个成员账户中已启用的 AWS 区域 的事件。要记录组织中所有 AWS 分区的事件,请在每个分区中创建多区域组织跟踪。您可以通过使用 AWS CLI 创建单区域或多区域组织跟踪。如果您创建单区域跟踪,则只能记录跟踪的 AWS 区域(也称为主区域)中的活动。
尽管您的 AWS 账户 默认启用了大多数 AWS 区域,但您必须手动启用某些区域(也称为选择加入区域)。有关默认启用哪些区域的信息,请参阅《AWS 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅 CloudTrail 支持的区域。
当您创建组织跟踪时,将在属于您组织的成员账户中创建具有您所指定名称的跟踪副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在每个成员账户的组织跟踪主区域中创建该跟踪的副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在已启用该区域的成员账户中的组织跟踪主区域中创建该跟踪的副本。
-
如果组织跟踪是多区域,并且跟踪的主区域不是选择加入区域,则会在每个成员账户中每个已启用的 AWS 区域 中创建跟踪副本。当成员账户启用选择加入区域时,在激活该区域完成后,将在新选择加入的区域中为成员帐户创建多区域跟踪的副本。
-
如果组织跟踪是多区域,而主区域是选择加入区域,则成员账户将不会向组织跟踪发送活动,除非它们选择加入创建多区域跟踪的 AWS 区域。例如,如果您创建了多区域跟踪,并选择欧洲(西班牙)区域作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)区域的成员账户才会将其账户活动发送到组织跟踪。
注意
即使资源验证失败,CloudTrail 也会在成员账户中创建组织跟踪。验证失败的示例包括:
-
Amazon S3 存储桶策略不正确
-
Amazon SNS 主题策略不正确
-
无法传输至 CloudWatch Logs 日志组
-
权限不足,无法使用 KMS 密钥进行加密
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 AWS CLI get-trail-status 命令来查看组织跟踪的任何验证失败。
在成员账户中具有 CloudTrail 权限的用户在从其 AWS 账户登录 CloudTrail 控制台时,或者当他们运行 AWS CLI 命令(如 describe-trails)时,将能够看到组织跟踪。但是,成员账户中的用户没有足够的权限删除企业跟踪记录、启用和关闭日志记录、更改要录入的事件类型,或以任何其他方式更改企业跟踪记录。
当您在控制台中创建组织跟踪时,CloudTrail 会创建一个服务相关角色,以在您组织的成员账户中执行日志记录任务。该角色名为 AWSServiceRoleForCloudTrail,是 CloudTrail 录入企业事件所必需的。如果某个 AWS 账户 已添加到企业,则会将企业跟踪记录和服务相关角色添加到该 AWS 账户,并将在企业跟踪记录中自动开始针对该账户的日志录入。如果从企业中删除了 AWS 账户,则将会从不再是该企业一部分的 AWS 账户 中删除企业跟踪记录和服务相关角色。但是,在删除账户之前创建的已删除账户的日志文件仍将保留在 Simple Storage Service(Amazon S3)存储桶(其中存储了日志文件以用于跟踪)中。
如果 AWS Organizations 组织的管理账户创建了组织跟踪,但随后作为该组织的管理账户被移除,则使用其账户创建的任何组织跟踪都将成为非组织跟踪。
在下面的示例中,组织的管理账户 111111111111 为组织 o-exampleorgid 创建名为 MyOrganizationTrail 的跟踪。此跟踪将组织中所有账户的活动记录在同一 Simple Storage Service(Amazon S3)存储桶中。企业中的所有账户均可以在其跟踪记录列表中看到 MyOrganizationTrail,但成员账户无法删除或修改企业跟踪记录。只有管理账户或委托管理员账户才能更改或删除组织的跟踪。只有管理账户才能从组织中移除成员账户。同样,默认情况下,只有管理账户可以访问跟踪的 Amazon S3 存储桶以及其中包含的日志。日志文件的高级存储桶结构包含一个以企业 ID 命名的文件夹,其子文件夹以企业中每个账户的账户 ID 命名。每个成员账户的事件均记录在与相应成员账户 ID 对应的文件夹中。如果从企业中删除了成员账户 444444444444,则 MyOrganizationTrail 和服务相关角色将不再显示在 AWS 账户 444444444444 中,并且企业跟踪记录不会再进一步录入该账户的其他事件。但是,444444444444 文件夹将与从组织中删除该账户之前创建的所有日志一起保留在 Simple Storage Service(Amazon S3)存储桶中。
在此示例中,管理账户中所创建跟踪的 ARN 为 aws:cloudtrail:us-east-2:111111111111:trail/。此 ARN 也是所有成员账户中的跟踪的 ARN。MyOrganizationTrail
组织跟踪记录在很多方面都类似于常规跟踪记录。您可以为您的组织创建多个跟踪,并选择是创建多区域组织跟踪还是单区域组织跟踪,以及希望在组织跟踪中记录哪些类型的事件,就像在任何其他跟踪中一样。但存在一些区别。例如,在控制台中创建跟踪和选择是否记录 Simple Storage Service(Amazon S3)存储桶或 AWS Lambda 函数的数据事件时,CloudTrail 控制台中列出的仅有资源是管理账户的资源,但您可以在成员账户中添加资源的 ARN。将记录指定成员账户资源的数据事件,而无需手动配置对这些资源的跨账户访问。有关记录管理事件、Insights 事件和数据事件的更多信息,请参阅 记录管理事件、记录数据事件 和 使用 CloudTrail Insights。
注意
在控制台中,您可以创建多区域跟踪。建议的最佳做法是记录您的 AWS 账户中所有已启用区域中的活动,因为它们有助于保持 AWS 环境更加安全。要创建单区域跟踪,请使用 AWS CLI。
当您在中查看 AWS Organizations 中的组织在 Event history(事件历史记录)中的事件时,只能查看您登录时使用的 AWS 账户的事件。例如,如果您使用组织管理账户登录,Event history(事件历史记录)将显示该管理账户的过去 90 天的管理事件。组织成员账户事件不会显示在管理账户的 Event history(事件历史记录)中。要查看 Event history(事件历史记录)中的会员账户事件,请使用会员账户登录。
您可以配置其他 AWS 服务,以便进一步分析在 CloudTrail 日志中为组织跟踪收集的事件数据并采取相应的措施(所采用的方式与对其他任何跟踪的方式相同)。例如,您可以使用 Amazon Athena 分析组织跟踪中的数据。有关更多信息,请参阅 AWS 服务与 CloudTrail 日志集成。
