在其他帳戶中建立追蹤 - AWS CloudTrail
使用主控台在其他帳戶中建立追蹤 使用在CLI其他帳戶 CloudTrail 中開啟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在其他帳戶中建立追蹤

您可以使用主控台或在其他地 AWS CLI 方建立追蹤, AWS 帳戶 並將其日誌檔彙總到一個 Amazon S3 儲存貯體。或者,您可以建立組織追蹤來記錄中組織的所有 AWS 帳戶 組織 AWS Organizations。如需詳細資訊,請參閱建立組織追蹤

使用控制台在其他 AWS 帳戶中創建跟踪

您可以使用 CloudTrail 控制台在其他帳戶中創建跟踪。

  1. AWS Management Console 使用您要為其建立追蹤的帳戶登入。遵循 在主控台中建立追蹤 中的步驟,使用主控台建立追蹤。

  2. 對於 Storage location (儲存位置),選擇 Use existing S3 bucket (使用現有的 S3 儲存貯體)。使用文字方塊,輸入您用於儲存不同帳戶日誌檔案的儲存貯體的名稱。

    注意

    值區政策必須授 CloudTrail 予寫入權限。如需手動編輯儲存貯體政策的資訊,請參閱「設定多帳戶的儲存貯體政策」。

    使用現有的 S3 儲存貯體

  3. 字首中,輸入您用來儲存不同帳戶日誌檔案的字首。如果您選擇使用與儲存貯體政策中指定的前置詞不同,則必須編輯目的地值區上的值區政策, CloudTrail 以允許使用此新前置詞將記錄檔寫入值區。

使用在CLI其他 AWS 帳戶中建立追蹤

您可以使用命 AWS 令列工具在其他帳戶中建立追蹤,並將其日誌檔彙總到一個 Amazon S3 儲存貯體。如需這些工具的詳細資訊,請參閱《AWS CLI 命令參考》中的 cloudtrail

使用 create-trail 命令建立追蹤,並指定下列內容:

  • --name 指定線索的名稱。

  • --s3-bucket-name 指定您用來儲存不同帳戶日誌檔案的 Amazon S3 儲存貯體。

  • --s3-prefix 指定日誌檔案交付路徑的前綴 (選用)。

  • --is-multi-region-trail指定此追蹤將記錄您正在使用之分割 AWS 區中所有區域中的事件。

您可以為執行帳號 AWS 資源的每個區域建立一個追蹤。

下列範例命令顯示如何使用 AWS CLI建立其他帳戶的線索。若要將這些帳戶的日誌檔案交付至您在第一個帳戶 (此範例為 111111111111) 中所建立的儲存貯體,請在 --s3-bucket-name 選項指定儲存貯體名稱。Amazon S3 儲存貯體名稱是全域唯一的。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail

當您執行此命令時,會看到類似下方的輸出:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "AWSCloudTrailExample", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

若要取得有關使用 AWS 指令行 CloudTrail 工具的更多資訊,請參閱CloudTrail 指令行參考