CloudTrail 概念

本節總結了與之相關的基本概念 CloudTrail。

CloudTrail 事件

中的事件 CloudTrail 是 AWS 帳戶中活動的記錄。此活動可以是 IAM 身分或可監控的服務所 CloudTrail採取的動作。 CloudTrail事件提供透過 AWS Management Console、 AWS SDK、命令列工具和其他 AWS 服務進行的 API 和非 API 帳戶活動的歷史記錄。

CloudTrail 日誌文件不是公共 API 調用的有序堆棧跟踪，因此事件不會以任何特定順序顯示。

CloudTrail 記錄三種類型的事件：

• 管理事件

• 資料事件

• 洞察活動

所有事件類型都使用 CloudTrail JSON 記錄格式。

依預設，追蹤和事件資料存放區會記錄管理事件，但不會記錄資料或 Insights 事件。

如需與之 AWS 服務 整合的相關資訊 CloudTrail，請參閱AWS 的服務主題 CloudTrail。

管理事件

管理事件提供有關對您 AWS 帳戶中資源執行之管理作業的相關資訊。這些也稱為控制平面操作。

範例管理事件包含：

• 設定安全性 (例如 AWS Identity and Access Management AttachRolePolicy API 作業)。

• 註冊裝置 (例如，Amazon EC2 CreateDefaultVpc API 操作)。

• 設定規則以路由資料 (例如，Amazon EC2 CreateSubnet API 操作)。

• 設定記錄 (例如 AWS CloudTrail CreateTrail API 作業)。

管理事件也可以包含您帳戶中發生的非 API 事件。例如，當使用者登入您的帳戶時，會 CloudTrail 記錄ConsoleLogin事件。如需詳細資訊，請參閱 擷取的非 API 事件 CloudTrail。

依預設， CloudTrail 追蹤和 CloudTrail Lake 事件資料會儲存記錄管理事件。如需記錄管理事件的詳細資訊，請參閱記錄管理事件。

資料事件

資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作。資料事件通常是大量資料的活動。

範例資料事件包含：

• S3 儲存貯體中物件上的 Amazon S3 物件層級 PutObject API 活動 (例如DeleteObject，和 API 操作)。GetObject

• AWS Lambda 函數執行活動 (InvokeAPI)。

• CloudTrail PutAuditEventsCloudTrail Lake 頻道上的活動，用於從外部記錄事件 AWS。

• 主題上的 Amazon SNS Publish 和 PublishBatch API 操作。

下表顯示可用於追蹤和事件資料存放區的資料事件類型。資料事件類型 (主控台) 欄顯示主控台中的適當選取項目。resource .type 值欄會顯示您要指定以使用或 API 將該類型的資料事件納入追蹤或事件資料存放區中的resources.type AWS CLI 值。 CloudTrail

對於追蹤，您可以使用基本或進階事件選取器，在一般用途儲存貯體、Lambda 函數和 DynamoDB 表格 (顯示在表格的前三列中) 記錄 Amazon S3 物件的資料事件。您只能使用進階事件選取器來記錄剩餘列中顯示的資料事件類型。

對於事件資料存放區，您只能使用進階事件選取器來包含資料事件。

AWS 服務	描述	資料事件類型 (主控台)	resources.type 值
Amazon DynamoDB	資料表上的 Amazon DynamoDB 項目層級 API 活動 (例如PutItemDeleteItem、和 UpdateItem API 操作)。 注意 對於已啟用串流的資料表，資料事件中的 resources 欄位會同時包含 AWS::DynamoDB::Stream 和 AWS::DynamoDB::Table。如果您指定 AWS::DynamoDB::Table 作為 resources.type，則會根據預設同時記錄 DynamoDB 資料表和 DynamoDB 串流事件。若要排除串流事件，請在eventName欄位上新增篩選器。	DynamoDB	AWS::DynamoDB::Table
AWS Lambda	AWS Lambda 函數執行活動 (InvokeAPI)。	Lambda	AWS::Lambda::Function
Amazon S3	一般用途儲存貯體中物件上的 Amazon S3 物件層級 PutObject API 活動 (例如DeleteObject，和 API 操作)。GetObject	S3	AWS::S3::Object
AWS AppConfig	AWS AppConfig 設定作業的 API 活動，例如呼叫StartConfigurationSession和GetLatestConfiguration.	AWS AppConfig	AWS::AppConfig::Configuration
AWS 數據交換	用於轉換器作業的 B2B 資料交換 API 活動，例如呼叫 GetTransformerJob 和 StartTransformerJob。	B2B 資料交換	AWS::B2BI::Transformer
Amazon Bedrock	代理程式別名上的 Amazon Bedrock API 活動。	Bedrock 代理程式別名	AWS::Bedrock::AgentAlias
Amazon Bedrock	知識庫中的 Amazon Bedrock API 活動。	Bedrock 知識庫	AWS::Bedrock::KnowledgeBase
Amazon CloudFront	CloudFront 上的 API 活動 KeyValueStore.	CloudFront KeyValueStore	AWS::CloudFront::KeyValueStore
AWS Cloud Map	AWS Cloud Map 命名空間上的 API 活動。	AWS Cloud Map 命名空間	AWS::ServiceDiscovery::Namespace
AWS Cloud Map	AWS Cloud Map 服務上的 API 活動。	AWS Cloud Map 服務	AWS::ServiceDiscovery::Service
AWS CloudTrail	CloudTrail PutAuditEventsCloudTrail Lake 頻道上的活動，用於從外部記錄事件 AWS。	CloudTrail 渠道	AWS::CloudTrail::Channel
Amazon CloudWatch	指標上的 Amazon CloudWatch API 活動。	CloudWatch 公制	AWS::CloudWatch::Metric
Amazon CodeWhisperer	在自定義 Amazon CodeWhisperer API 活動。	CodeWhisperer 定制	AWS::CodeWhisperer::Customization
Amazon CodeWhisperer	設定檔上的 Amazon CodeWhisperer API 活動。	CodeWhisperer	AWS::CodeWhisperer::Profile
Amazon Cognito	Amazon Cognito 身分集區上的 Amazon Cognito API 活動。	Cognito 身分池	AWS::Cognito::IdentityPool
Amazon DynamoDB	串流上的 Amazon DynamoDB API 活動。	DynamoDB Streams	AWS::DynamoDB::Stream
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) direct API，例如 Amazon EBS 快照上的 PutSnapshotBlock、GetSnapshotBlock，以及 ListChangedBlocks。	Amazon EBS direct API	AWS::EC2::Snapshot
Amazon EMR	預寫日誌工作區上的 Amazon EMR API 活動。	EMR 預寫日誌工作區	AWS::EMRWAL::Workspace
Amazon FinSpace	環境上的 Amazon FinSpace API 活動。	FinSpace	AWS::FinSpace::Environment
AWS Glue	AWS Glue 由 Lake Formation 創建的表上的 API 活動。	Lake Formation	AWS::Glue::Table
Amazon GuardDuty	檢測器的 Amazon GuardDuty API 活動。	GuardDuty 探測器	AWS::GuardDuty::Detector
AWS HealthImaging	AWS HealthImaging 資料存放區上的 API 活動。	MedicalImaging 資料倉庫	AWS::MedicalImaging::Datastore
AWS IoT	AWS IoT 憑證上的 API 活動。	IoT 證書	AWS::IoT::Certificate
AWS IoT	AWS IoT 事物上的 API 活動。	IoT 的事	AWS::IoT::Thing
AWS IoT Greengrass Version 2	來自組件版本的 Greengrass 核心設備的 API 活動。 注意 Greengrass 不會記錄訪問被拒絕的事件。	IoT Greengrass 件版本	AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2	部署上來自 Greengrass 核心裝置的 API 活動。 注意 Greengrass 不會記錄訪問被拒絕的事件。	IoT 環境部署	AWS::GreengrassV2::Deployment
AWS IoT SiteWise	資產上的 IoT SiteWise API 活動。	IoT SiteWise 資產	AWS::IoTSiteWise::Asset
AWS IoT SiteWise	時間序列上的 IoT SiteWise API 活動。	IoT SiteWise 時間序列	AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker	實體上的 IoT TwinMaker API 活動。	IoT TwinMaker 實體	AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker	工作區上的 IoT TwinMaker API 活動。	IoT TwinMaker 工作區	AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking	重新評分執行計畫上的 Amazon Kendra Intelligent Ranking API 活動。	Kendra Ranking	AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (適用於 Apache Cassandra)	表上的 Amazon Keyspaces API 活動。	卡桑德拉表	AWS::Cassandra::Table
Amazon Kinesis Data Streams	串流上的 Kinesis Data Streams 流 API 活動。	Kinesis 流	AWS::Kinesis::Stream
Amazon Kinesis Data Streams	串流取用者的室運動資料串流 API 活動。	Kinesis 流消費者	AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams	Kinesis Video Streams 片串流上的 API 活動，例如呼叫GetMedia和PutMedia.	Kinesis 視訊串流	AWS::KinesisVideo::Stream
Amazon Machine Learning	ML 模型上的 Machine Learning API 活動。	機械學習 MlModel	AWS::MachineLearning::MlModel
Amazon Managed Blockchain	網路上的 Amazon Managed Blockchain API 活動。	Managed Blockchain 網路	AWS::ManagedBlockchain::Network
Amazon Managed Blockchain	Ethereum 節點上的 Amazon Managed Blockchain JSON-RPC 呼叫，例如 eth_getBalance 或 eth_getBlockByNumber。	Managed Blockchain	AWS::ManagedBlockchain::Node
Amazon Neptune 圖形	Neptune 圖形上的資料 API 活動，例如查詢、演算法或向量搜尋。	Neptune 圖形	AWS::NeptuneGraph::Graph
AWS Private CA	AWS Private CA 作用中目錄 API 活動的連接器。	AWS Private CA 作用中目錄的連接器	AWS::PCAConnectorAD::Connector
AWS Private CA	AWS Private CA 用於 SCEP API 活動的連接器。	AWS Private CA 連接器應用於 SCEP	AWS::PCAConnectorSCEP::Connector
Amazon Q 應用	Amazon Q 應用程式上的資料 API 活動。	Amazon Q 應用	AWS::QApps:QApp
Amazon Q Business	應用程式上的 Amazon Q Business API 活動。	Amazon Q Business 應用程式	AWS::QBusiness::Application
Amazon Q Business	資料來源上的 Amazon Q Business API 活動。	Amazon Q Business 資料來源	AWS::QBusiness::DataSource
Amazon Q Business	索引上的 Amazon Q Business API 活動。	Amazon Q Business 索引	AWS::QBusiness::Index
Amazon Q Business	Web 體驗上的 Amazon Q Business API 活動。	Amazon Q Business Web 體驗	AWS::QBusiness::WebExperience
Amazon RDS	資料庫叢集上的 Amazon RDS API 活動。	RDS 數據 API-數據庫集群	AWS::RDS::DBCluster
Amazon S3	存取點上的 Amazon S3 API 活動。	S3 存取點	AWS::S3::AccessPoint
Amazon S3	Amazon S3 物件 Lambda 存取點 API 活動，例如呼叫CompleteMultipartUpload和GetObject.	S3 Object Lambda	AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts	Outposts 上 Amazon S3 物件層級的 API 活動。	S3 Outposts	AWS::S3Outposts::Object
Amazon SageMaker	端點上的 Amazon SageMaker InvokeEndpointWithResponseStream活動。	SageMaker 端點	AWS::SageMaker::Endpoint
Amazon SageMaker	功能商店上的 Amazon SageMaker API 活動。	SageMaker feature store	AWS::SageMaker::FeatureGroup
Amazon SageMaker	實驗試用元件上的 Amazon SageMaker API 活動。	SageMaker 度量實驗試驗元件	AWS::SageMaker::ExperimentTrialComponent
Amazon SNS	平台端點上的 Amazon SNS Publish API 操作。	SNS 平台端點	AWS::SNS::PlatformEndpoint
Amazon SNS	主題上的 Amazon SNS Publish 和 PublishBatch API 操作。	SNS 主題	AWS::SNS::Topic
Amazon SQS	訊息上的 Amazon SQS API 活動。	SQS	AWS::SQS::Queue
AWS Step Functions	Step Functions 狀態機上的 API 活動。	Step Functions 狀態機器	AWS::StepFunctions::StateMachine
AWS Supply Chain	AWS Supply Chain 執行個體上的 API 活動。	供應鏈	AWS::SCN::Instance
Amazon SWF	網域上的 Amazon SWF API 活動。	SWF 網域名稱	AWS::SWF::Domain
AWS Systems Manager	控制通道上的 Systems Manager API 活動。	Systems Manager	AWS::SSMMessages::ControlChannel
AWS Systems Manager	受管節點上的系統管理員 API 活動。	系統管理員管理節點	AWS::SSM::ManagedNode
Amazon Timestream	資料庫上的 Amazon Timestream Query API 活動。	Timestream 資料庫	AWS::Timestream::Database
Amazon Timestream	資料庫上的 Amazon Timestream Query API 活動。	Timestream 資料表	AWS::Timestream::Table
Amazon Verified Permissions	政策存放區上的 Amazon Verified Permissions API 活動。	Amazon Verified Permissions	AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces 瘦客戶端	WorkSpaces 裝置上的精簡型用戶端 API 活動。	精簡型客戶端裝置	AWS::ThinClient::Device
Amazon WorkSpaces 瘦客戶端	WorkSpaces 環境上的精簡型用戶端 API 活動。	精簡型客戶端環境	AWS::ThinClient::Environment
AWS X-Ray	軌跡上的 X-Ray API 活動。	X-Ray 軌跡	AWS::XRay::Trace

依預設，在您建立追蹤或事件資料存放區時，不會記錄資料事件。若要記錄資 CloudTrail 料事件，您必須明確新增要收集活動的支援資源或資源類型。如需有關記錄資料事件的詳細資訊，請參閱 記錄資料事件。

記錄資料事件需支付額外的費用。如需 CloudTrail 定價，請參閱AWS CloudTrail 定價。

洞察活動

CloudTrail 洞察事件會透過分析 CloudTrail 管理活動，擷取您 AWS 帳戶中異常的 API 呼叫率或錯誤率活動。Insights 事件會提供相關資訊，例如關聯的 API、錯誤代碼、事件時間及統計資料，以協助您了解並針對異常活動採取行動。與 CloudTrail 追蹤或事件資料存放區中擷取的其他類型事件不同，Insights 事件只有在 CloudTrail 偵測到帳戶 API 使用情況或錯誤率記錄的變更時，才會記錄與帳戶的一般使用模式明顯不同。

可能產生 Insights 事件的活動範例包括：

• 您的帳戶通常每分鐘記錄不超過 20 個 Amazon S3 deleteBucket API 呼叫，但是您的帳戶開始記錄到每分鐘平均 100 個 deleteBucket API 呼叫。異常活動開始時會記錄 Insights 事件，並記錄另一個 Insights 事件以標示異常的活動結束。

• 您的帳戶通常每分鐘記錄 20 個 Amazon EC2 AuthorizeSecurityGroupIngress API 呼叫，但您的帳戶開始記錄到零個 AuthorizeSecurityGroupIngress 呼叫。異常活動開始時會記錄 Insights 事件，並在十分鐘後，當異常活動結束時，記錄另一個 Insights 事件以標示異常的活動結束。

• 您的帳戶於 7 天內在 AWS Identity and Access Management API 上記錄通常少於一個的 AccessDeniedException 錯誤，DeleteInstanceProfile。您的帳戶開始在 DeleteInstanceProfile API 呼叫中記錄每分鐘 12 個 AccessDeniedException 錯誤的平均值。異常錯誤率活動開始時會記錄 Insights 事件，並記錄另一個 Insights 事件以標示異常活動的結束。

這些範例僅供說明之用。您的結果可能會根據您的使用案例而有所不同。

若要記錄 CloudTrail Insights 事件，您必須在新的或現有的追蹤或事件資料存放區上明確啟用 Insights 事件。如需建立線索的詳細資訊，請參閱 使用 CloudTrail 主控台建立追蹤。如需有關建立事件資料存放區的詳細資訊，請參閱 使用主控台為 Insights 事件建立事件資料存放區。

Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需詳細資訊，請參閱 AWS CloudTrail 定價。

事件歷史記錄

CloudTrail 事件歷史記錄提供了過去 90 天的 CloudTrail 管理事件的可查看，可搜索，可下載和不可變的記錄。 AWS 區域您可以使用此歷史記錄來查看在 AWS 帳戶中執行的操作 AWS Management Console， AWS SDK，命令行工具和其他 AWS 服務。您可以在 CloudTrail 主控台中自訂事件歷史記錄的檢視，方法是選取要顯示的欄。如需詳細資訊，請參閱 使用 CloudTrail 事件歷史記錄。

線索

追蹤是允許將 CloudTrail 事件交付到 S3 儲存貯體的組態，並可選擇將事件交付到CloudWatch 日誌和 Amazon EventBridge。您可以使用追蹤選擇要傳遞的 CloudTrail 事件、使用 AWS KMS 金鑰加密 CloudTrail 事件日誌檔，以及設定 Amazon SNS 通知以進行日誌檔交付。如需建立及管理追蹤的詳細資訊，請參閱為您的建立追蹤 AWS 帳戶。

多區域和單一區域路徑

您可以為一個建立兩種類型的系統線 AWS 帳戶：多區域系統線和單一區域系統線。

多區域步道

當您建立多區域追蹤時，會將事件 CloudTrail 記錄在您正 AWS 區域 在使用的AWS 分割區中的所有事件，並將 CloudTrail 事件日誌檔案傳送到您指定的 S3 儲存貯體。如果 AWS 區域 在您建立多區域追蹤後新增，則會自動包含該新區域，並記錄該區域中的事件。由於您要擷取帳戶所有區域內的活動，因此建立多區域追蹤是建議的最佳實務。您使用 CloudTrail 主控台建立的所有路徑都是多區域。您可以使用將單一區域系統軌跡轉換為多區域系統線。 AWS CLI如需詳細資訊，請參閱 在主控台中建立追蹤 及 將套用至一個區域的追蹤轉換成套用至所有區域。

單一區域步道

當您建立單一區域追蹤時，只會 CloudTrail 記錄該區域中的事件。然後，它會將 CloudTrail 事件日誌檔傳送到您指定的 Amazon S3 儲存貯體。您只能使用 AWS CLI建立單一區域追蹤。如果您建立額外的單一追蹤，您可以讓這些追蹤將 CloudTrail 事件日誌檔傳遞至相同的 S3 儲存貯體或個別儲存貯體。當您使用 AWS CLI 或 CloudTrail API 建立追蹤時，這是預設選項。如需詳細資訊，請參閱 建立、更新和管理追蹤 AWS CLI。

注意

對於這兩種類型的追蹤，您可以指定來自任何區域的 Amazon S3 儲存貯體。

多區域追蹤具有以下優點：

• 追蹤的組態設定會一致地套用至所有項目 AWS 區域。

• 您可以在單一 Amazon S3 儲存貯體 AWS 區域 中接收所有 CloudTrail 事件，並選擇性地在 CloudWatch 日誌日誌群組中接收事件。

• 您可以 AWS 區域 從一個位置管理所有人的追蹤組態。

當您將追蹤套用至所有區 AWS 域時， CloudTrail 會使用您在特定區域中建立的追蹤，在您正在使用的AWS 分割區中的所有其他區域中，建立具有相同組態的追蹤。

如此會帶來下列效果：

• CloudTrail 將帳戶活動的日誌檔從所有 AWS 區域傳遞到您指定的單一 Amazon S3 儲存貯體，並選擇性地傳送至 CloudWatch 日誌日誌群組。

• 如果您為追蹤設定 Amazon SNS 主題，則所有 AWS 區域中日誌檔交付的 SNS 通知都會傳送至該單一 SNS 主題。

無論追蹤是多區域還是單一區域，傳送至 Amazon 的事件 EventBridge 都會在每個區域的事件匯流排中接收，而不是在單一事件匯流排中接收。

每個區域的多個追蹤

如果您有不同但相關的使用者群組 (例如開發人員、安全人員和 IT 稽核員)，則可以為每個區域建立多個追蹤。這可讓每個群組收到各自的日誌檔案副本。

CloudTrail 每個區域支援五個追蹤。多區域追蹤計為每個區域的一個追蹤。

以下是具有五條軌跡的「區域」範例：

• 您在美國西部 (加利佛尼亞北部) 區域中建立只套用至此區域的兩個追蹤。

• 您可以在美國西部 (加利佛尼亞北部) 區域建立兩個多區域追蹤。

• 您在亞太區域 (雪梨) 區域建立另一個多區域路線。此追蹤在美國西部 (加利佛尼亞北部) 區域中也以追蹤形式存在。

您可以在 CloudTrail 主控台的 [追蹤] 頁面 AWS 區域 中檢視追蹤清單。如需詳細資訊，請參閱 使用 CloudTrail 主控台更新追蹤。如需 CloudTrail 定價，請參閱AWS CloudTrail 定價。

組織軌跡

組織追蹤是一種組態，可將管理帳戶中的 CloudTrail 事件和 AWS Organizations 組織中的所有成員帳戶交付到相同的 Amazon S3 儲存貯體、 CloudWatch 日誌和 Amazon EventBridge。建立組織追蹤，有助於您為組織定義一個統一的事件記錄策略。

使用主控台建立的所有組織追蹤都是多區域組織追蹤，可記錄組織 AWS 區域 中每個成員帳戶中已啟用的事件。若要記錄組織中所有 AWS 分割區中的事件，請在每個分割區中建立多區域組織追蹤。您可以使用建立單一區域或多區域組織追蹤。 AWS CLI如果您建立單一區域追蹤，則只會在追蹤記錄 AWS 區域 (也稱為「本地區」) 中記錄活動。

雖然大 AWS 區域 多數預設為啟用 AWS 帳戶，但您必須手動啟用某些區域 (也稱為選擇加入區域)。如需預設啟用哪些區域的相關資訊，請參閱《AWS Account Management 參考指南》中的啟用和停用區域之前的考量事項。如需 CloudTrail支援的區域清單，請參閱CloudTrail 支援的地區。

當您建立組織軌跡時，系統會在屬於您組織的成員帳戶中建立一份具有您指定名稱之追蹤檔的複本。

• 如果組織追蹤是針對單一區域，且追蹤檔的本位目錄「區域」不是「選擇區域」，則會在每個成員帳戶的組織軌跡的本位目錄「區域」中建立追蹤副本。

• 如果組織追蹤檔是針對單一區域，且追蹤檔的本位目錄「區域」是「選擇區域」，則會在已啟用該「區域」的成員帳戶中，在組織軌跡的本位目錄「區域」中建立軌跡副本。

• 如果組織追蹤為「多區域」，且追蹤的主「區域」不是選擇加入「區域」，則會在每個成員帳戶 AWS 區域 中啟用的每個追蹤建立副本。當成員帳戶啟用選擇加入區域時，會在該區域啟動完成後，在該成員帳戶的新選擇中為該成員帳戶建立多區域追蹤的副本。

• 如果組織追蹤為「多區域」，且主「區域」是選擇加入「區域」，則除非成員帳戶選擇加入建立多區域追蹤的 AWS 區域 位置，否則不會將活動傳送至組織追蹤。例如，如果您建立多區域追蹤，並選擇「歐洲 (西班牙) 區域」作為軌跡的首頁區域，則只有為其帳戶啟用「歐洲 (西班牙) 區域」的成員帳戶才會將其帳戶作業傳送至組織追蹤檔。

注意

CloudTrail 即使資源驗證失敗，仍會在成員帳號中建立組織追蹤。驗證失敗的範例包括：

• 不正確的 Amazon S3 存儲桶政策

• 不正確的 Amazon SNS 主題政策

• 無法傳遞至 CloudWatch 記錄檔記錄群組

• 使用 KMS 金鑰加密權限不足

具有 CloudTrail 權限的成員帳戶可以在 CloudTrail 主控台上檢視追蹤的詳細資料頁面或執行 AWS CLI get-trail-status命令，來查看組織追蹤的任何驗證失敗。

在成員帳戶中具有 CloudTrail 權限的使用者將能夠看到組織追蹤 (包括追蹤 ARN)，當他們從其 AWS 帳戶登入 AWS CloudTrail 主控台時，或執行 AWS CLI 命令 describe-trails (雖然成員帳戶必須使用 ARN 作為組織追蹤，而不是使用名稱時)。 AWS CLI不過，成員帳戶中的使用者將沒有足夠的權限來刪除組織追蹤、開啟或關閉記錄、變更記錄的事件類型，或以任何方式變更組織追蹤。如需使用 AWS Organizations的詳細資訊，請參閱 Organizations 術語與概念。如需建立與使用組織追蹤的詳細資訊，請參閱建立組織追蹤。

CloudTrail 湖泊和事件資料倉庫

CloudTrail Lake 可讓您對事件執行精細的 SQL 查詢，並記錄來自外部來源的事件，包括來自您自己的應用程式 AWS，以及與之整合的合作夥伴的事件。 CloudTrail您不需要在帳戶中設定追蹤即可使用 CloudTrail Lake。

系統會將事件彙總到事件資料存放區中，事件資料存放區是事件的不可變集合，其依據為您透過套用進階事件選取器選取的條件。如果您選擇一年可延長保留定價選項，則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年)；如果您選擇七年保留定價選項，則最多可保留 2,557 天 (約 7 年)。您可以儲存 Lake 查詢以供將來使用，並可查看最多七天的查詢結果。您也可以將查詢結果儲存至 S3 儲存貯體。 CloudTrail Lake 也可以將組織的事件儲存 AWS Organizations 在事件資料存放區中，或將來自多個區域和帳戶的事件儲存。 CloudTrail Lake 是稽核解決方案的一部分，可協助您執行安全性調查和疑難排解。如需詳細資訊，請參閱 工作, 由于, AWS CloudTrail 湖 及 CloudTrail 湖泊概念和術語。

CloudTrail 洞察

CloudTrail 透過持續分析 CloudTrail 管理事件，深入解析可協助 AWS 使用者識別和回應異常大量的 API 呼叫或記錄在 API 呼叫中的錯誤。Insights 事件是 write 管理 API 活動之異常層級或針對管理 API 活動傳回之異常層級錯誤的記錄。根據預設，追蹤和事件資料存放區不會記錄 CloudTrail 見解事件。在主控台中，您可以在建立或更新追蹤或事件資料存放區時選擇記錄 Insights 事件。使用 CloudTrail API 時，您可以使用 PutInsightSelectorsAPI 編輯現有追蹤或事件資料存放區的設定來記錄 Insights 事件。記錄 CloudTrail 見解事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需詳細資訊，請參閱 記錄 Insights 事件 和 AWS CloudTrail 定價。

標籤

標籤是客戶定義的金鑰和選用值，可指派給 AWS 資源，例如 CloudTrail 追蹤、事件資料存放區和通道、用於存放 CloudTrail 日誌檔的 S3 儲存貯體、組 AWS Organizations 織和組織單位等等。透過將相同的標籤新增至追蹤和用於存放追蹤記錄的日誌檔的 S3 儲存貯體，您可以更輕鬆地使用這些資源來管理、搜尋和篩選這些資源AWS Resource Groups。您可以實作標記策略以協助您持續、有效、輕鬆地尋找和管理您的資源。如需詳細資訊，請參閱標記 AWS 資源的最佳做法。

AWS Security Token Service 和 CloudTrail

AWS Security Token Service (AWS STS) 是具有全域端點且也支援區域特定端點的服務。端點指的是用做 Web 服務請求之進入點的 URL。例如，https://cloudtrail.us-west-2.amazonaws.com是 AWS CloudTrail 服務的美國西部 (奧勒岡) 區域進入點。區域端點將有助於降低應用程式的延遲。

當您使用區 AWS STS 域特定端點時，該區域中的追蹤只會傳遞該區域中發生的 AWS STS 事件。例如，如果您要使用端點 sts.us-west-2.amazonaws.com，則 us-west-2 中的追蹤只會交付源自 us-west-2 的 AWS STS 事件。如需區 AWS STS 域端點的詳細資訊，請參閱 IAM 使用者指南AWS STS 中的在 AWS 區域中啟用和停用。

如需AWS 地 AWS 區端點的完整清單，請參閱 AWS 一般參考. 如需全域 AWS STS 端點之事件的詳細資訊，請參閱 全球服務事件。

全球服務事件

重要

截至 2021 年 11 月 22 日， AWS CloudTrail 改變了追蹤捕捉全球服務事件的方式。現在，由 Amazon 建立的事件 CloudFront AWS Identity and Access Management，並記錄 AWS STS 在其建立的區域中，美國東部 (維吉尼亞北部) 區域 us-east-1。這使得這 CloudTrail 些服務如何與其他 AWS 全球服務一致。若要繼續接收美國東部 (維吉尼亞北部) 以外的全域服務事件，請務必將使用美國東部 (維吉尼亞北部) 以外全域服務事件的單一區域追蹤轉換為多區域追蹤。如需擷取全球服務事件的詳細資訊，請參閱本節下文的「啟用及停用全球服務事件記錄」。

相反， CloudTrail 控制台中的事件歷史記錄和aws cloudtrail lookup-events命令將顯示這些事件發生的 AWS 區域 位置。

對於大多數服務，事件會記錄在動作所發生的區域。對於全球服務 AWS Identity and Access Management (IAM) 和 Amazon AWS STS CloudFront，事件會傳遞至包含全球服務的任何追蹤。

對於大部分的全域服務，事件會記錄在事件發生的美國東部 (維吉尼亞北部) 區域中，但部分全域服務事件會記錄在事件發生的其他區域中，例如美國東部 (俄亥俄) 區域或美國西部 (奧勒岡) 區域。

為了避免收到重複的全球服務事件，請記住下列項目：

• 全域服務事件預設會傳遞給使用 CloudTrail 主控台建立的追蹤。事件會交付至追蹤的儲存貯體。

• 如果您有多個單一區域追蹤，請考慮設定追蹤，使之只會傳遞一個追蹤的全域服務事件。如需詳細資訊，請參閱 啟用及停用全球服務事件記錄。

• 如果您將追蹤的組態從記錄所有區域變更為記錄單一區域，則會自動關閉該追蹤的全域服務事件記錄。同樣地，如果您將追蹤的組態從記錄單一區域變更為記錄所有區域，則會自動開啟該追蹤的全域服務事件記錄。

  如需變更追蹤之全球服務事件記錄日誌的詳細資訊，請參閱 啟用及停用全球服務事件記錄。

範例：

1. 您可以在 CloudTrail 主控台中建立追蹤。根據預設，此追蹤會記錄全球服務事件。

2. 您有多個單一區域追蹤。

3. 您不需要在單一區域追蹤中包含全域服務。會交付第一個追蹤的全球服務事件。如需詳細資訊，請參閱 建立、更新和管理追蹤 AWS CLI。

注意

使用 AWS CLI、 AWS SDK 或 CloudTrail API 建立或更新追蹤時，您可以指定是否包含或排除追蹤的全域服務事件。您無法從主控台設定全域服務事件記 CloudTrail 錄。