本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解組織事件資料存放區
如果您已在 中建立組織 AWS Organizations,您可以建立組織事件資料存放區,記錄 AWS 帳戶 該組織中所有事件。組織事件資料存放區可以套用至所有 AWS 區域或目前的 區域。您無法使用組織事件資料存放區來收集 AWS外部事件。
您可以使用管理帳戶或委派管理員帳戶來建立組織事件資料存放區。委派管理員建立組織事件資料存放區後,該組織事件資料存放區會存在於組織的管理帳戶中。採用此方法是因為管理帳戶會維護所有組織資源的擁有權。
組織的管理帳戶可以更新帳戶層級事件資料存放區,以將其套用至組織。
組織事件資料存放區在獲指定套用至組織後,將會自動套用至組織中的所有成員帳戶。成員帳戶無法查看組織事件資料存放區,也無法加以修改或刪除。在預設情況下,成員帳戶無法存取組織事件資料存放區,也無法在事件資料存放區上執行查詢。
下表顯示 管理帳戶和 AWS Organizations 組織中委派管理員帳戶的功能。
| 功能 | 管理帳戶 | 委派管理員帳戶 |
|---|---|---|
|
註冊或移除委派管理員帳戶。 |
|
|
|
為事件或 AWS Config 組態項目建立組織 AWS CloudTrail 事件資料存放區。 |
|
|
|
啟用組織事件資料存放區上的 Insights。 |
|
|
|
更新組織事件資料存放區。 |
|
|
|
在組織事件資料存放區上開始和停止事件擷取。 |
|
|
|
在組織事件資料存放區上啟用 Lake 查詢聯合。2 |
|
|
|
停用組織事件資料存放區上的 Lake 查詢聯合。 |
|
|
|
刪除組織事件資料存放區。 |
|
|
|
將追蹤事件複製到事件資料存放區。 |
|
|
|
對組織事件資料存放區執行查詢。 |
|
|
|
檢視組織事件資料存放區的受管儀表板。 |
|
|
|
啟用組織事件資料存放區的醒目提示儀表板。 |
|
|
|
為查詢組織事件資料存放區的自訂儀表板建立小工具。 |
|
|
1只有管理帳戶可以將組織事件資料存放區轉換為帳戶層級事件資料存放區,或將帳戶層級事件資料存放區轉換為組織事件資料存放區。委派管理員無法執行這些動作,因為組織事件資料存放區僅存在於管理帳戶中。當組織事件資料存放區轉換為帳戶層級的事件資料存放區時,只有管理帳戶可以存取事件資料存放區。同樣地,只有管理帳戶中的帳戶層級事件資料存放區可以轉換為組織事件資料存放區。
2只有一個委派管理員帳戶或管理帳戶可以在組織事件資料存放區上啟用聯合。其他委派管理員帳戶可以使用 Lake Formation 資料共用功能查詢和共享資訊。任何委派管理員帳戶和組織的管理帳戶都能停用聯合。
建立組織事件資料存放區
組織的管理帳戶或委派管理員帳戶可以建立組織事件資料存放區,以收集 CloudTrail 事件 (管理事件、資料事件) 或 AWS Config 組態項目。
注意
只有組織的管理帳戶可以將追蹤事件複製到事件資料存放區。
將帳戶層級事件資料存放區套用至組織
組織的管理帳戶可以轉換帳戶層級的事件資料存放區,以將其套用至組織。
委派管理員的預設資源政策
CloudTrail 會自動為組織事件資料存放區產生名為 DelegatedAdminResourcePolicy 的資源政策,列出委派管理員帳戶允許在組織事件資料存放區上執行的動作。中的許可DelegatedAdminResourcePolicy衍生自 中的委派管理員許可 AWS Organizations。
DelegatedAdminResourcePolicy 的目的在於確保委派的管理員帳戶可以代表組織管理組織事件資料存放區,而且當以資源為基礎的政策連接到允許或拒絕主體在組織事件資料存放區上執行動作的組織事件資料存放區時,不會意外拒絕存取組織事件資料存放區。
CloudTrail 會與組織事件資料存放區提供的任何資源型政策DelegatedAdminResourcePolicy一起評估。委派管理員帳戶只有在提供的以資源為基礎的政策包含明確拒絕委派管理員帳戶對委派管理員帳戶原本可以執行的組織事件資料存放區執行動作的陳述式時,才會遭到拒絕存取。
此DelegatedAdminResourcePolicy政策會在下列情況自動更新:
-
管理帳戶會將組織事件資料存放區轉換為帳戶層級事件資料存放區,或將帳戶層級事件資料存放區轉換為組織事件資料存放區。
-
有組織變更。例如,管理帳戶會註冊或移除 CloudTrail 委派的管理員帳戶。
您可以在 CloudTrail 主控台的委派管理員資源政策區段中檢視 up-to-date政策,或執行 AWS CLI get-resource-policy命令並傳遞ARN組織事件資料存放區的 。
下列範例會在組織事件資料存放區上執行 get-resource-policy命令。
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
下列範例輸出顯示提供的以資源為基礎的政策,以及為委派管理員帳戶DelegatedAdminResourcePolicy產生的 333333333333和 111111111111。
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207", "ResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "EdsPolicyA", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::666666666666:root" }, "Action": [ "cloudtrail:geteventdatastore", "cloudtrail:startquery", "cloudtrail:describequery", "cloudtrail:cancelquery", "cloudtrail:generatequery", "cloudtrail:generatequeryresultssummary" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] }, "DelegatedAdminResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement", "Effect": "Allow", "Principal": { "AWS": ["333333333333", "111111111111"] }, "Action": [ "cloudtrail:AddTags", "cloudtrail:CancelQuery", "cloudtrail:CreateEventDataStore", "cloudtrail:DeleteEventDataStore", "cloudtrail:DescribeQuery", "cloudtrail:DisableFederation", "cloudtrail:EnableFederation", "cloudtrail:GenerateQuery", "cloudtrail:GenerateQueryResultsSummary", "cloudtrail:GetEventConfiguration", "cloudtrail:GetEventDataStore", "cloudtrail:GetInsightSelectors", "cloudtrail:GetQueryResults", "cloudtrail:ListEventDataStores", "cloudtrail:ListQueries", "cloudtrail:ListTags", "cloudtrail:RemoveTags", "cloudtrail:RestoreEventDataStore", "cloudtrail:UpdateEventDataStore", "cloudtrail:StartEventDataStoreIngestion", "cloudtrail:StartQuery", "cloudtrail:StopEventDataStoreIngestion", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] } }
其他資源
