本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解组织事件数据存储
如果您在中创建了组织 AWS Organizations,则可以创建一个组织事件数据存储,用于记录该组织 AWS 账户 中所有人的所有事件。组织事件数据存储可以应用于所有区域 AWS 区域,也可以应用于当前区域。您不能使用组织事件数据存储从 AWS之外收集事件。
您可以使用管理账户或委派管理员账户创建组织事件数据存储。委托管理员创建组织事件数据存储时,组织事件数据存储存在于组织的管理账户中。之所以采用这种方法,是因为管理账户保留对所有组织资源的所有权。
组织的管理账户可以更新账户级事件数据存储以将其应用于组织。
在将组织事件数据存储指定为应用于某个组织时,它将自动应用于该组织中的所有成员账户。成员账户无法查看组织事件数据存储,也无法对其进行修改或删除。默认情况下,成员账户无权访问组织事件数据存储,也不能对组织事件数据存储进行查询。
下表显示了 AWS Organizations 组织内管理账户和委派管理员账户的权能。
功能 | 管理帐户 | 委托管理员帐户 |
---|---|---|
注册或移除委托管理员账户。 |
是 |
不支持 |
为事件或 AWS Config 配置项目创建组织 AWS CloudTrail 事件数据存储。 |
是 |
是 |
在组织事件数据存储上启用 Insights。 |
是 |
不支持 |
更新组织事件数据存储。 |
是 |
是1 |
在组织事件数据存储上启用 Lake 查询联合身份验证。2 |
是 |
是 |
在组织事件数据存储上禁用 Lake 查询联合身份验证。 |
是 |
是 |
删除组织事件数据存储。 |
是 |
是 |
将跟踪事件复制到事件数据存储。 |
是 |
不支持 |
对组织事件数据存储运行查询。 |
是 |
是 |
查看组织事件数据存储的 CloudTrail Lake 控制面板。 |
是 |
是 |
1 只有管理账户才能将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。因为组织事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。将组织事件数据存储转换为账户级事件数据存储时,只有管理账户才能访问该事件数据存储。同样,只有管理账户中的账户级事件数据存储才能转换为组织事件数据存储。
2只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。
创建组织事件数据存储
组织的管理帐户或委托管理员帐户可以创建组织事件数据存储以收集 CloudTrail 事件(管理事件、数据事件)或 AWS Config 配置项目。
注意
只有组织的管理账户才能将跟踪事件复制到事件数据存储中。
将账户级别的事件数据存储应用于组织
组织的管理账户可以转换账户级事件数据存储以将其应用于组织。