本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解组织事件数据存储
**注意**
AWS CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。
如果您在中创建了组织 AWS Organizations,则可以创建一个*组织事件数据存储*,用于记录该组织 AWS 账户 中所有人的所有事件。组织事件数据存储可以应用于所有 AWS 区域区域或当前区域。您不能使用组织事件数据存储从 AWS之外收集事件。
您可以通过使用管理账户或委派管理员账户来[创建组织事件数据存储](#cloudtrail-lake-organizations-create-eds)。委托管理员创建组织事件数据存储时,组织事件数据存储存在于组织的管理账户中。之所以采用这种方法,是因为管理账户保留对所有组织资源的所有权。
组织的管理账户可以[更新账户级事件数据存储](#cloudtrail-lake-organizations-update-eds)以将其应用于组织。
在将组织事件数据存储指定为应用于某个组织时,它将自动应用于该组织中的所有成员账户。成员账户无法查看组织事件数据存储,也无法对其进行修改或删除。默认情况下,成员账户无权访问组织事件数据存储,也不能对组织事件数据存储进行查询。
下表显示了 AWS Organizations 组织内管理账户和委派管理员账户的权能。
| 功能 | 管理账户 | 委派管理员帐户 |
| --- | --- | --- |
| 注册或移除委托管理员账户。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 为事件或 AWS Config 配置项目创建组织 AWS CloudTrail 事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 在组织事件数据存储上启用 Insights。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 更新组织事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是1 |
| 启动和停止组织事件数据存储上的事件摄取。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 在组织事件数据存储上启用 Lake 查询联合身份验证。2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 在组织事件数据存储上禁用 Lake 查询联合身份验证。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 删除组织事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 将跟踪事件复制到事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 对组织事件数据存储运行查询。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 查看组织事件数据存储的托管的控制面板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 为组织事件数据存储启用“要点”控制面板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 为查询组织事件数据存储的自定义控制面板创建一个小组件。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
1只有管理账户可以将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。因为组织事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织事件数据存储转换为账户级事件数据存储时,只有管理账户才能访问事件数据存储。同理,只有管理账户中的账户级事件数据存储才能转换为组织事件数据存储。
2只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 [Lake Formation 数据共享功能](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。
## 创建组织事件数据存储
组织的管理帐户或委托管理员帐户可以创建组织事件数据存储以收集 CloudTrail 事件(管理事件、数据事件)或 AWS Config 配置项目。
**注意**
只有组织的管理账户可以将跟踪事件复制到事件数据存储。
------
#### [ CloudTrail console ]
**使用控制台创建组织事件数据存储**
1. 按照为事件[创建事件数据存储过程中的步骤,为 CloudTrail 管理 CloudTrail 事件](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)或数据事件创建组织事件数据存储。
**或者**
按照为配置项目[创建事件数据存储过程中的步骤为 AWS Config 配置项目](query-event-data-store-config.md#create-config-event-data-store)创建组织事件数据存储。 AWS Config
1. 在**选择事件**页面上,选择**为我组织中的所有账户启用**。
------
#### [ AWS CLI ]
要创建组织事件数据存储,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) 命令并包括 `--organization-enabled` 选项。
以下示例 AWS CLI `create-event-data-store`命令创建了一个收集所有管理事件的组织事件数据存储。由于默认情况下会 CloudTrail 记录管理事件,因此如果您的事件数据存储正在记录所有管理事件并且未收集任何数据事件,则无需指定高级事件选择器。
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled
```
以下为响应示例。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
下一个示例 AWS CLI `create-event-data-store`命令创建一个名为的组织事件数据存储`config-items-org-eds`,用于收集 AWS Config 配置项目。要收集配置项目,请在高级事件选择器中指定 `eventCategory` 字段等于 `ConfigurationItem`。
```
aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
------
## 将账户级事件数据存储应用于组织
组织的管理账户可以转换账户级事件数据存储以将其应用于组织。
------
#### [ CloudTrail console ]
**使用控制台更新账户级事件数据存储**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**事件数据存储**。
1. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。
1. 在**一般详细信息**中,选择**编辑**。
1. 选择**为我组织中的所有账户启用**。
1. 选择**保存更改**。
有关更新事件数据存储的其他信息,请参阅 [使用控制台更新事件数据存储](query-event-data-store-update.md)。
------
#### [ AWS CLI ]
要更新账户级事件数据存储以将其应用于组织,请运行[update-event-data-store](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html)命令并添加选项。`--organization-enabled`
```
aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
------
## 委派管理员的默认资源策略
CloudTrail 自动生成以[组织事件数据存储](#cloudtrail-lake-organizations)命`DelegatedAdminResourcePolicy`名的资源策略,该策略列出了允许委派管理员帐户对组织事件数据存储执行的操作。`DelegatedAdminResourcePolicy` 中的权限来自 AWS Organizations中的委派管理员权限。
`DelegatedAdminResourcePolicy` 的目的是确保委派管理员账户能够代表组织管理组织事件数据存储,并且在将基于资源的策略附加到组织事件数据存储以允许或拒绝主体对组织事件数据存储执行操作时,不会被意外拒绝访问组织事件数据存储。
CloudTrail 与为`DelegatedAdminResourcePolicy`组织事件数据存储提供的任何基于资源的策略一起进行评估。只有当提供的基于资源的策略所含语句会明确拒绝委派管理员账户对组织事件数据存储执行委派管理员账户原本能够执行的操作时,才会拒绝委派管理员账户访问。
当出现以下情况时,此 `DelegatedAdminResourcePolicy` 策略会自动更新:
+ 管理账户将组织事件数据存储转换为账户级事件数据存储,或者将账户级事件数据存储转换为组织事件数据存储。
+ 组织发生了变化。例如,管理账户注册或删除 CloudTrail 委派管理员账户。
您可以在 CloudTrail 控制台的 up-to-date**委派管理员资源策略**部分查看策略,也可以通过运行 AWS CLI `get-resource-policy`命令并传递组织事件数据存储的 ARN 来查看策略。
以下示例会对组织事件数据存储运行 `get-resource-policy` 命令。
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
此命令的输出将显示基于资源的策略和为委派管理员账户生成的 `DelegatedAdminResourcePolicy` 策略。
## 其他资源
+ [组织的委托管理员](cloudtrail-delegated-administrator.md)
+ [添加 CloudTrail 委派管理员](cloudtrail-add-delegated-administrator.md)
+ [移除 CloudTrail 委派的管理员](cloudtrail-remove-delegated-administrator.md)