了解组织事件数据存储 - AWS CloudTrail
创建组织事件数据存储将账户级事件数据存储应用于组织另请参阅

了解组织事件数据存储

如果您已在 AWS Organizations 中创建组织,则可以创建组织事件数据存储,用于记录该组织中所有 AWS 账户 的所有事件。组织事件数据存储可以应用于所有 AWS 区域 或当前区域。您不能使用组织事件数据存储从 AWS 之外收集事件。

您可以通过使用管理账户或委派管理员账户来创建组织事件数据存储。委托管理员创建组织事件数据存储时,组织事件数据存储存在于组织的管理账户中。之所以采用这种方法,是因为管理账户保留对所有组织资源的所有权。

组织的管理账户可以更新账户级事件数据存储以将其应用于组织。

在将组织事件数据存储指定为应用于某个组织时,它将自动应用于该组织中的所有成员账户。成员账户无法查看组织事件数据存储,也无法对其进行修改或删除。默认情况下,成员账户无权访问组织事件数据存储,也不能对组织事件数据存储进行查询。

下表显示了 AWS Organizations 组织内的管理账户和委托管理员账户的功能。

功能 管理帐户 委托管理员帐户

注册或移除委托管理员账户。

创建 AWS CloudTrail 事件或 AWS Config 配置项目的组织事件数据存储。

在组织事件数据存储上启用 Insights。

更新组织事件数据存储。

1

在组织事件数据存储上启用 Lake 查询联合身份验证。2

在组织事件数据存储上禁用 Lake 查询联合身份验证。

删除组织事件数据存储。

将跟踪事件复制到事件数据存储。

对组织事件数据存储运行查询。

查看组织事件数据存储的 CloudTrail Lake 控制面板。

1只有管​​理账户可以将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。因为组织事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织事件数据存储转换为账户级事件数据存储时,只有管理账户才能访问事件数据存储。同理,只有管理账户中的账户级事件数据存储才能转换为组织事件数据存储。

2只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。

创建组织事件数据存储

组织的管理账户或委派管理员账户可以创建组织事件数据存储来收集 CloudTrail 事件(管理事件、数据事件)或 AWS Config 配置项。

注意

只有组织的管理账户可以将跟踪事件复制到事件数据存储。

CloudTrail console
使用控制台创建组织事件数据存储

  1. 按照为 CloudTrail 事件创建事件数据存储过程中的步骤,为 CloudTrail 管理或数据事件创建组织事件数据存储。

    或者

    按照为 AWS Config 配置项创建事件数据存储过程中的步骤为 AWS Config 配置项创建组织事件数据存储。

  2. 选择事件页面上,选择为我组织中的所有账户启用

AWS CLI

要创建组织事件数据存储,请运行 create-event-data-store 命令并包括 --organization-enabled 选项。

以下示例 AWS CLI create-event-data-store 命令创建一个组织事件数据存储,用于收集所有管理事件。由于 CloudTrail 默认记录管理事件,因此如果您的事件数据存储正在记录所有管理事件并且未收集任何数据事件,则无需指定高级事件选择器。

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

以下为响应示例。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

下一个示例 AWS CLI create-event-data-store 命令创建一个名为 config-items-org-eds 的组织事件数据存储,它会收集 AWS Config 配置项。要收集配置项目,请在高级事件选择器中指定 eventCategory 字段等于 ConfigurationItem

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

将账户级事件数据存储应用于组织

组织的管理账户可以转换账户级事件数据存储以将其应用于组织。

CloudTrail console
使用控制台更新账户级事件数据存储

  1. 登录到 AWS Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。

  4. General details(一般详细信息)中,选择 Edit(编辑)。

  5. 选择为我组织中的所有账户启用

  6. 选择 Save changes(保存更改)

有关更新事件数据存储的其他信息,请参阅 使用控制台更新事件数据存储

AWS CLI

要更新账户级事件数据存储以将其应用于组织,请运行 update-event-data-store 命令并包括 --organization-enabled 选项。

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

另请参阅