建立組織追蹤 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立組織追蹤

如果您已在中建立組織 AWS Organizations,則可以建立追蹤來記錄該組織 AWS 帳戶 中所有人的所有事件。這有時稱為組織追蹤

組織的管理帳戶可以指派委派的管理員來建立新的組織追蹤,或管理現有的組織追蹤。如需新增委派的管理員的詳細資訊,請參閱 新增 CloudTrail 委派管理員

組織的管理帳戶可以編輯其帳戶中的現有追蹤,並將其套用到組織,使其成為組織追蹤。組織追蹤會記錄管理帳戶和組織中所有成員帳戶的事件。如需相關資訊 AWS Organizations,請參閱 Or ganizations 術語與概念

注意

您必須使用與組織相關聯的管理帳戶或委派的管理員帳戶進行登入,才能建立組織追蹤。您在管理或委派的管理員帳戶中的使用者或角色也必須具備充分的許可,才能建立追蹤。如果沒有足夠的許可,您將不能選擇套用追蹤到組織。

使用主控台建立的所有組織追蹤都是多區域組織追蹤,可記錄組織 AWS 區域 中每個成員帳戶中已啟用的事件。若要記錄組織中所有 AWS 分割區中的事件,請在每個分割區中建立多區域組織追蹤。您可以使用建立單一區域或多區域組織追蹤。 AWS CLI如果您建立單一區域追蹤,則只會在追蹤記錄 AWS 區域 (也稱為「本地區」) 中記錄活動。

雖然大 AWS 區域 多數預設為啟用 AWS 帳戶,但您必須手動啟用某些區域 (也稱為選擇加入區域)。如需預設啟用哪些區域的相關資訊,請參閱《AWS Account Management 參考指南》中的啟用和停用區域之前的考事項。如需 CloudTrail 支援的區域清單,請參閱CloudTrail 支援的地區

當您建立組織軌跡時,系統會在屬於您組織的成員帳戶中建立一份具有您指定名稱之追蹤檔的複本。

  • 如果組織追蹤是針對單一區域,且追蹤檔的本位目錄「區域」不是「選擇區域」,則會在每個成員帳戶的組織軌跡的本位目錄「區域」中建立追蹤副本。

  • 如果組織追蹤檔是針對單一區域,且追蹤檔的本位目錄「區域」是「選擇區域」,則會在已啟用該「區域」的成員帳戶中,在組織軌跡的本位目錄「區域」中建立軌跡副本。

  • 如果組織追蹤為「多區域」,且追蹤的主「區域」選擇加入「區域」,則會在每個成員帳戶 AWS 區域 中啟用的每個追蹤建立副本。當成員帳戶啟用選擇加入區域時,會在該區域啟動完成後,在該成員帳戶的新選擇中為該成員帳戶建立多區域追蹤的副本。

  • 如果組織追蹤為「多區域」,且主「區域」擇加入「區域」,則除非成員帳戶選擇加入建立多區域追蹤的 AWS 區域 位置,否則不會將活動傳送至組織追蹤。例如,如果您建立多區域追蹤,並選擇「歐洲 (西班牙) 區域」作為軌跡的本位目錄區域,則只有為其帳戶啟用「歐洲 (西班牙) 區域」的成員帳戶才會將其帳戶作業傳送至組織追蹤檔。

注意

CloudTrail 即使資源驗證失敗,仍會在成員帳號中建立組織追蹤。驗證失敗的範例包括:

  • 不正確的 Amazon S3 存儲桶政策

  • 不正確的 Amazon SNS 主題政策

  • 無法傳遞至 CloudWatch 記錄檔記錄群組

  • 使用 KMS 金鑰加密權限不足

具有 CloudTrail 權限的成員帳戶可以在 CloudTrail 主控台上檢視追蹤的詳細資料頁面或執行 AWS CLI get-trail-status命令,來查看組織追蹤的任何驗證失敗。

在成員帳戶中具有 CloudTrail 權限的使用者可以在從其 AWS 帳戶登入 AWS CloudTrail 主控台或執行 AWS CLI 命令 (例如) 時查看組織追蹤describe-trails。不過,成員帳戶中的使用者沒有足夠的權限來刪除組織追蹤、開啟或關閉記錄、變更記錄的事件類型,或以任何方式變更組織追蹤。

當您在主控台中建立組織追蹤,或在 [組織] 中啟用 CloudTrail 為信任的服務時,這會建立服務連結角色,Organizations 便在組織的成員帳戶中執行記錄工作。此角色的名稱為 AWSServiceRoleForCloudTrail,並且是記錄組織事件所必需的角色。 CloudTrail 如果新增至組織,組織追蹤和服務連結角色會新增至該組織 AWS 帳戶,並在組織追蹤檔中自動啟動該帳戶的記錄。 AWS 帳戶 如果從組織中移除,則會從不再屬於組織一部分的組織中刪除組織追蹤和服務連結角色。 AWS 帳戶 AWS 帳戶 不過,在帳戶移除之前為受移除帳戶所建立的日誌檔案,會持續保留於專門儲存追蹤日誌檔案的 Amazon S3 儲存貯體中。

如果 AWS Organizations 組織的管理帳戶建立了組織軌跡,但隨後被移除為組織的管理帳戶,則使用其帳戶建立的任何組織軌跡都會變成非組織追蹤檔。

在下列範例中,組織的管理帳戶 111111111111 會建立一個以組織範例為名稱MyOrganizationTrail的追蹤。該追蹤會將組織中所有帳戶的活動全部記錄在同一個 Amazon S3 儲存貯體。組織中的所有帳戶都可以MyOrganizationTrail在其追蹤清單中看到,但是成員帳戶無法移除或修改組織追蹤。只有管理帳戶或委派的管理員帳戶可以變更或刪除組織的追蹤。只有管理帳戶可以移除組織的成員帳戶。同樣地,依預設,只有管理帳戶可以存取追蹤my-organization-bucket的 Amazon S3 儲存貯體及其中包含的日誌。用於日誌檔案的高階儲存貯體中包含名為以組織 ID 命名的資料夾,以及以組織中每個帳戶的帳戶 ID 所命名的子資料夾。每個成員帳戶的事件都會記錄至對應到成員帳戶 ID 的資料夾。如果成員帳戶 4444444444 已從組織中移除,MyOrganizationTrail且服務連結的角色不再出現在 AWS 帳戶 44444444 中,且組織追蹤檔不會記錄該帳戶的其他事件。不過,444444444444 資料夾仍會保留在 Amazon S3 儲存貯體中,以及該帳戶從組織移除之前建立的所有日誌。

組織中範例組織的概念性概觀,Organizations 及組織追蹤記錄該組織的方式 CloudTrail,以及 Amazon S3 儲存貯體中產生的高階資料夾結構

在這個範例中,建立於管理帳戶中的追蹤 ARN 是 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail。這個 ARN 也是所有成員帳戶中所用追蹤的 ARN。

組織追蹤與一般追蹤在許多方面都很相似。您可以為組織建立多個追蹤,以及選擇要為所有區域或單一區域建立組織追蹤,以及您要透過組織追蹤記錄哪類事件,方式就像任何其他追蹤的使用方式。不過,還是有一些差異。例如,當您在主控台中建立追蹤並選擇是記錄 Amazon S3 儲存貯體或 AWS Lambda 函數的資料事件時, CloudTrail 主控台中列出的唯一資源就是管理帳戶的資源,但您可以為成員帳戶中的資源新增 ARN。這時會記錄特定成員帳戶資源的資料事件,而無需為這些資源手動設定跨帳戶的存取權。如需記錄管理事件、Insights 事件和資料事件的詳細資訊,請參閱使用 CloudTrail 日誌檔案

注意

在主控台中,您要建立記錄所有區域的追蹤。這是建議的最佳做法;所有區域中的記錄活動可協助您確保 AWS 環境更安全。若要建立單一區域追蹤,請使用 AWS CLI

您也可以設定其他 AWS 服務,以便進一步分析組織追蹤 CloudTrail 記錄中收集的事件資料,並採取行動,方式與處理任何其他追蹤的方式相同。例如,您可以使用 Amazon Athena 分析組織追蹤中的資料。如需詳細資訊,請參閱 AWS 與 CloudTrail 日誌的服務整合

主題