在其他账户中创建跟踪 - AWS CloudTrail
使用控制台在其他账户中创建跟踪 使用 CLI 在附加账户中启用 CloudTrail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在其他账户中创建跟踪

您可以使用控制台或 AWS CLI 在其他 AWS 账户 账户中创建跟踪,并将其日志文件聚合到一个 Amazon S3 存储桶中。或者,您可以创建组织跟踪以记录 AWS Organizations 中属于组织一部分的所有 AWS 账户。有关更多信息,请参阅 为组织创建跟踪

使用控制台在其他 AWS 账户中创建跟踪

您可以使用 CloudTrail 控制台在其他账户中创建跟踪。

  1. 使用您要为其创建跟踪的账户登录 AWS Management Console。按照 在控制台中创建跟踪 中的步骤,使用控制台创建跟踪。

  2. 对于 Storage location(存储位置),选择 Use existing S3 bucket(使用现有 S3 存储桶)。使用文本框输入您用于跨账户存储日志文件的存储桶的名称。

    注意

    存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅设置适用于多个账户的存储桶策略

    使用现有的 S3 存储桶

  3. 前缀中,输入您用于跨账户存储日志文件的前缀。如果您选择使用的前缀不同于您在存储桶策略中指定的前缀,则必须编辑目标存储桶的存储桶策略以允许 CloudTrail 将日志文件写入到使用此新前缀的存储桶。

使用 CLI 在其他 AWS 账户中创建跟踪

您可以使用 AWS 命令行工具在其他账户中创建跟踪,并将其日志文件聚合到一个 Amazon S3 存储桶中。有关这些工具的更多信息,请参阅《AWS CLI 命令参考》中的 cloudtrail

使用 create-trail 命令创建跟踪,并指定以下内容:

  • --name 指定跟踪的名称。

  • --s3-bucket-name 指定您用于跨账户存储日志文件的 Amazon S3 存储桶。

  • --s3-prefix 指定日志文件传输路径的前缀(可选)。

  • --is-multi-region-trail 指定此跟踪将记录您正在使用的分区中所有 AWS 区域的事件。

您可以为运行 AWS 资源的账户所在的每个区域创建一个跟踪。

以下示例命令说明如何使用 AWS CLI 为您的附加账户创建跟踪。要将这些账户的日志文件传送到您在第一个账户(此示例中为 111111111111)中创建的存储桶,请在 --s3-bucket-name 选项中指定存储桶名称。Simple Storage Service(Amazon S3)存储桶名称具有全局唯一性。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail

当您运行该命令时,将显示与以下内容类似的输出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

有关从 AWS 命令行工具使用 CloudTrail 的更多信息,请参阅 CloudTrail 命令行参考