Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Informationen zu den Datenspeichern von Organisationsereignissen
Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie einen Datenspeicher für Organisationsereignisse erstellen, der alle Ereignisse für alle Mitglieder AWS-Konten dieser Organisation protokolliert. Datenspeicher für Organisationsereignisse können für alle AWS-Regionen oder für die aktuelle Region gelten. Ereignisdatenspeicher einer Organisation können nicht zum Sammeln von Ereignissen außerhalb von AWS verwendet werden.
Sie können einen Datenspeicher für Organisationsereignisse entweder mithilfe des Verwaltungskontos oder des delegierten Administratorkontos erstellen. Wenn ein delegierter Administrator einen Ereignisdatenspeicher einer Organisation erstellt, ist der Ereignisdatenspeicher im Verwaltungskonto der Organisation vorhanden. Dieser Ansatz ist darauf zurückzuführen, dass das Verwaltungskonto das Eigentum an allen Ressourcen der Organisation behält.
Das Verwaltungskonto für eine Organisation kann einen Ereignisdatenspeicher auf Kontoebene aktualisieren, um ihn auf eine Organisation anzuwenden.
Wenn der Ereignisdatenspeicher für eine Organisation angegeben wird, wird er automatisch auf alle Mitgliedskonten der Organisation angewendet. Mitgliedskonten können den Ereignisdatenspeicher einer Organisation sehen, diesen aber weder ändern noch löschen. Standardmäßig haben Mitgliedskonten weder Zugriff auf den Ereignisdatenspeicher einer Organisation, noch können sie Abfragen in Ereignisdatenspeichern einer Organisation ausführen.
Die folgende Tabelle zeigt die Funktionen des Verwaltungskontos und der delegierten Administratorkonten innerhalb der Organisation. AWS Organizations
Funktionen | Verwaltungskonto | Delegiertes Administratorkonto |
---|---|---|
Registrieren oder entfernen Sie delegierte Administratorkonten. |
Ja |
Nein |
Erstellen Sie einen Organisationsereignisdatenspeicher für AWS CloudTrail Ereignisse oder AWS Config Konfigurationselemente. |
Ja |
Ja |
Insights im Ereignisdatenspeicher einer Organisation aktivieren |
Ja |
Nein |
Ereignisdatenspeicher einer Organisation aktualisieren |
Ja |
Ja1 |
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation aktivieren2 |
Ja |
Ja |
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation deaktivieren |
Ja |
Ja |
Ereignisdatenspeicher einer Organisation löschen |
Ja |
Ja |
Trail-Ereignisse in einen Ereignisdatenspeicher kopieren |
Ja |
Nein |
Abfragen in Ereignisdatenspeichern einer Organisation ausführen |
Ja |
Ja |
Sehen Sie sich das CloudTrail Lake-Dashboard für einen Datenspeicher für Organisationsereignisse an. |
Ja |
Ja |
1 Nur das Verwaltungskonto kann einen Ereignisdatenspeicher einer Organisation in einen Ereignisdatenspeicher auf Kontoebene oder einen Ereignisdatenspeicher auf Kontoebene in einen Ereignisdatenspeicher der Organisation konvertieren. Diese Aktionen sind für den delegierten Administrator nicht zulässig, da Ereignisdatenspeicher von Organisationen nur im Verwaltungskonto vorhanden sind. Wenn ein Organisationsereignisdatenspeicher in einen Ereignisdatenspeicher auf Kontoebene konvertiert wird, hat nur das Verwaltungskonto Zugriff auf den Ereignisdatenspeicher. Ebenso kann nur ein Ereignisdatenspeicher auf Kontoebene im Verwaltungskonto in einen Organisationsereignisdatenspeicher konvertiert werden.
2Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des Lake-Formation-Datenfreigabefeatures Informationen abfragen und austauschen. Jedes delegierte Administratorkonto sowie das Verwaltungskonto der Organisation können den Verbund deaktivieren.
Erstellen Sie einen Datenspeicher für Organisationsereignisse
Das Verwaltungskonto oder das delegierte Administratorkonto einer Organisation kann einen Datenspeicher für Organisationsereignisse erstellen, um entweder CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse) oder AWS Config Konfigurationselemente zu sammeln.
Anmerkung
Nur das Verwaltungskonto der Organisation kann Trail-Ereignisse in einen Ereignisdatenspeicher kopieren.
Wenden Sie einen Ereignisdatenspeicher auf Kontoebene auf eine Organisation an
Das Verwaltungskonto der Organisation kann einen Ereignisdatenspeicher auf Kontoebene konvertieren, um ihn auf eine Organisation anzuwenden.