本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建多个跟踪
您可以使用 CloudTrail 日志文件来解决 AWS 账户中的操作或安全问题。您可以为不同用户创建跟踪,以便其创建和管理自己的跟踪。您可以将跟踪配置为将日志文件传送到单独的 S3 存储桶或共享的 S3 存储桶。
注意
每个 AWS 区域 账户的管理事件的第一份副本是免费的。如果您创建更多跟踪,将相同的管理事件传送到其他目的地,则这些后续交付会产生 CloudTrail 成本。有关 CloudTrail 费用的更多信息,请参阅AWS CloudTrail 定价
例如,您可以具有以下用户:
-
安全管理员在欧洲(爱尔兰)区域创建跟踪并配置 KMS 日志文件的加密。此跟踪将日志文件传送到欧洲(爱尔兰)区域中的 S3 存储桶。
-
IT 审计员在欧洲(爱尔兰)地区创建跟踪并配置日志文件完整性验证,以确保日志文件自 CloudTrail 交付以来没有发生变化。此跟踪配置为将日志文件传送到欧洲(法兰克福)区域中的 S3 存储桶
-
开发人员在欧洲(法兰克福)区域创建跟踪并配置 CloudWatch 警报以接收特定 API 活动的通知。此跟踪与针对日志文件完整性配置的跟踪共享同一个 S3 存储桶。
-
另一开发人员在注(法兰克福)区域中创建跟踪并配置 SNS。日志文件传输到欧洲(法兰克福)区域中的单独 S3 存储桶。
以下图像对示例进行了说明。
注意
每次最多可以创建五条跟踪 AWS 区域。多区域跟踪计为每个区域一条跟踪。
您可以使用资源级权限来管理用户在上执行特定操作的能力。 CloudTrail
例如,您可以授予用户查看跟踪事件的许可,但限制其启动或者停止记录跟踪。您可以授予其他用户创建和删除跟踪的完整许可。这让您能够对跟踪和用户访问进行粒度控制。
有关资源级别许可的更多信息,请参阅示例:对针对特定跟踪记录的操作创建和应用策略。
有关多条跟踪的更多信息,请参阅CloudTrail 常见问题解答
