AWS CloudTrail 和 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任存取停用受信任存取啟用委派的管理員停用的委派管理員 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudTrail 和 AWS Organizations

AWS CloudTrail 是一項 AWS 服務,可協助您啟用 AWS 帳戶. 使用管理帳戶中的使用者可以建立組織追蹤 AWS CloudTrail,以記錄該組織 AWS 帳戶 中所有人的所有事件。組織線索會自動套用到組織中的所有成員帳戶。成員帳戶可以查看組織線索,但無法進行修改或刪除。依預設,成員帳戶無法存取在 Amazon S3 儲存貯體中組織追蹤的日誌檔案。這個做法可協助您統一套用並強制執行組織中帳戶的事件日誌策略。

如需詳細資訊,請參閱AWS CloudTrail 使用者指南中的建立組織追蹤

請使用下列資訊來協助您整 AWS CloudTrail 合 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。此角色可 CloudTrail 讓您在組織中的組織帳戶內執行支援的作業。

只有在停用 CloudTrail 和 [組織] 之間的信任存取,或從組織移除成員帳戶時,才能刪除或修改此角色。

  • AWSServiceRoleForCloudTrail

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。將存取 CloudTrail 權授與下列服務主體所使用的服務連結角色:

  • cloudtrail.amazonaws.com

使用 CloudTrail 啟用受信任的存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

如果您透過從 AWS CloudTrail 主控台建立追蹤來啟用受信任的存取,則會自動為您設定受信任的存取 (建議使用)。您也可以使用 AWS Organizations 控制台啟用受信任的存取。您必須使用 AWS Organizations 管理帳戶登入才能建立組織追蹤。

如果您選擇使用 AWS CLI 或 AWS API 建立組織追蹤,則必須手動設定受信任的存取。 CloudTrail 如需詳細資訊,請參閱《AWS CloudTrail 使用指南》 AWS Organizations中的「啟用為信任的服務」。

重要

我們強烈建議您盡可能使用 AWS CloudTrail 主控台或工具來啟用與 Organizations 的整合。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS SDK 中的 Organizations API 作業來啟用受信任的存取。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來啟用受信任的服務存取:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令, AWS CloudTrail 以啟用 Organizations 的信任服務。

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:啟用 AWSServiceAccess

使用 CloudTrail 停用受信任的存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

AWS CloudTrail 需要受信任的存取權,才 AWS Organizations 能使用組織追蹤和組織事件資料存放區。如果您在使用 AWS Organizations 時停用受信任的存取權 AWS CloudTrail,則會刪除成員帳戶的所有組織軌跡,因為 CloudTrail 無法存取組織。所有管理帳戶組織追蹤和組織事件資料存放區都會轉換為帳戶層級追蹤和事件資料存放區。為在帳戶之間進行整合而建立的AWSServiceRoleForCloudTrail角色, CloudTrail 並 AWS Organizations 保留在帳戶中。如果您重新啟用受信任的存取, CloudTrail 將不會對現有追蹤和事件資料存放區採取動作。管理帳戶必須更新任何帳戶層級追蹤和事件資料存放區,才能將其套用至組織。

若要將帳戶層級追蹤或事件資料倉庫轉換為組織追蹤或組織事件資料倉庫,請執行下列操作:

  • 從 CloudTrail 主控台更新追蹤事件資料存放區,然後選擇 [為組織中的所有帳戶啟用] 選項。

  • 從中 AWS CLI,執行下列操作:

    • 若要更新系統線,請執行update-trail指令並包含--is-organization-trail參數。

    • 若要更新事件資料倉庫,請執行update-event-data-store指令並包含--organization-enabled參數。

只有 AWS Organizations 管理帳戶中的系統管理員可以使用停用受信任的存取 AWS CloudTrail。您只能使用 Organizations 工具停用受信任的存取,使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令,或在其中一個 AWS SDK 中呼叫 Organizations API 作業。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDK 中的 Organizations API 作業來停用受信任的存取。

AWS Management Console
使用 Organizations 主控台來受信停用任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 在導覽窗格中,選擇服務

  3. AWS CloudTrail在服務列表中選擇。

  4. 選擇停用受信任的存取

  5. 在 [停用受信任的存取權限] 對 AWS CloudTrail話方塊中,輸入 [停用] 加以確認,然後選擇 [停用信任的存取]。

  6. 如果您只是管理員,請告訴管理員 AWS Organizations,他們現在可以使用其主控台或工具停用該服務,無法使用該服務 AWS Organizations。 AWS CloudTrail

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來停用受信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令,將 AWS CloudTrail 其停用為「Organizations」的信任服務。

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:停用 AWSServiceAccess

啟用委派管理員帳戶 CloudTrail

當您與 Organization CloudTrail 搭配使用時,您可以註冊組織內的任何帳戶,以擔任 CloudTrail 委派管理員,以代表組織管理組織的追蹤和事件資料存放區。委派的系統管理員是組織中的成員帳戶,可以執行與管理帳戶相同的管理工 CloudTrail 作。

最低許可

只有「Organizations」管理帳戶中的管理員可以為其註冊委派的管理員 CloudTrail。

您可以使用 CloudTrail 主控台或使用 Organizations RegisterDelegatedAdministrator CLI 或 SDK 作業來註冊委派的系統管理員帳戶。若要使用 CloudTrail 主控台註冊委派的管理員,請參閱新增 CloudTrail 委派的管理員

停用的委派管理員 CloudTrail

只有「Organizations」管理帳戶中的管理員可以移除的委派管理員 CloudTrail。您可以使用 CloudTrail 主控台或使用 Organizations DeregisterDelegatedAdministrator CLI 或 SDK 作業來移除委派的系統管理員。如需如何使用 CloudTrail 主控台移除委派系統管理員的相關資訊,請參閱移除 CloudTrail 委派的系統管理員