本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS CloudTrail 和 AWS Organizations
AWS CloudTrail 是一项可帮助您实现治理、合规以及运营和风险审计的 AWS 服务 AWS 账户。使用 AWS CloudTrail管理账户中的用户可以创建组织跟踪,记录该组织 AWS 账户 中所有人的所有事件。组织跟踪自动应用到组织中的所有成员账户。成员账户可以查看组织跟踪,但无法修改或删除它。默认情况下,成员账户没有权限访问 Amazon S3 存储桶中组织跟踪的日志文件。这有助于您在组织的账户中统一应用和实施事件日志记录策略。
有关更多信息,请参阅《AWS CloudTrail 用户指南》**中的[为组织创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。
使用以下信息来帮助您集 AWS CloudTrail 成 AWS Organizations。
## 启用集成时,创建了一个服务相关角色
以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 CloudTrail 允许在组织中的组织账户中执行支持的操作。
只有在禁用 CloudTrail 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。
+ `AWSServiceRoleForCloudTrail`
## 服务相关角色使用的服务委托人
上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 CloudTrail 授予访问权限:
+ `cloudtrail.amazonaws.com`
## 使用启用可信访问 CloudTrail
有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。
如果您通过从 AWS CloudTrail 控制台创建跟踪来启用可信访问,则会自动为您配置可信访问(推荐)。您也可以使用 AWS Organizations 控制台启用可信访问。您必须使用 AWS Organizations 管理账户登录才能创建组织跟踪。
如果您选择使用 AWS CLI 或 AWS API 创建组织跟踪,则必须手动配置可信访问权限。有关更多信息,请参阅《*AWS CloudTrail 用户指南》[AWS Organizations中的 CloudTrail 作为可信服务启用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service)。*
**重要**
我们强烈建议您尽可能使用 AWS CloudTrail 控制台或工具来启用与 Organizations 的集成。
您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 启用信任服务访问权限**
使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
运行以下命令以在 Organi AWS CloudTrail zations 中启用可信服务。
```
$ aws organizations enable-aws-service-access \
--service-principal cloudtrail.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
## 使用禁用可信访问 CloudTrail
有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
AWS CloudTrail 需要使用可信访问权限 AWS Organizations 才能使用组织跟踪和组织事件数据存储。如果您 AWS Organizations 在使用时使用禁用可信访问权限 AWS CloudTrail,则成员账户的所有组织跟踪都将被删除,因为 CloudTrail 无法访问该组织。所有管理账户组织跟踪和组织事件数据存储都将转换为账户级别跟踪和事件数据存储。为两者之间的 CloudTrail 集成而创建的`AWSServiceRoleForCloudTrail`角色将 AWS Organizations 保留在账户中。如果您重新启用可信访问权限,则 CloudTrail 不会对现有跟踪和事件数据存储执行操作。管理账户必须更新所有账户级别的跟踪和事件数据存储,才能将其应用于组织。
要将账户级别跟踪或事件数据存储转换为组织跟踪或组织事件数据存储,请执行以下操作:
+ 在 CloudTrail 控制台中,更新[跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)或[事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html),然后选择 “**为我的组织中的所有账户启用**” 选项。
+ 从中 AWS CLI,执行以下操作:
+ 要更新跟踪,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html) 命令并添加 `--is-organization-trail` 参数。
+ 要更新事件数据存储,请运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) 命令并添加 `--organization-enabled` 参数。
只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS CloudTrail。您只能使用组织工具禁用可信访问,使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作 AWS SDKs。
您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。
------
#### [ AWS 管理控制台 ]
**使用 Organizations 控制台禁用信任服务访问权限**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在导航窗格中,选择**服务**。
1. 在服务列表中选择 **AWS CloudTrail**。
1. 选择 **Disable trusted access(禁用信任访问权限)**。
1. 在**禁用 AWS CloudTrail的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。
1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS CloudTrail
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 禁用信任服务访问权限**
您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
运行以下命令在 Organiz AWS CloudTrail ations 中禁用可信服务。
```
$ aws organizations disable-aws-service-access \
--service-principal cloudtrail.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 为其启用委派管理员账户 CloudTrail
当您 CloudTrail 与 Organizations 一起使用时,您可以注册组织内的任何账户,以充当 CloudTrail 委托管理员,代表组织管理组织的跟踪和事件数据存储。委派管理员是组织中的成员帐户,可以在中执行与管理帐户 CloudTrail 相同的管理任务。
**最小权限**
只有 Organizations 管理账户中的管理员才能为其注册委托管理员 CloudTrail。
您可以使用 CloudTrail 控制台,也可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作来注册委派管理员帐户。要使用 CloudTrail 控制台注册委派管理员,请参阅[添加 CloudTrail 委派管理员](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-add-delegated-administrator.html)。
## 禁用委派的管理员 CloudTrail
只有 Organizations 管理账户中的管理员才能移除其委派的管理员 CloudTrail。您可以使用 CloudTrail 控制台,也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。有关如何使用 CloudTrail 控制台移除委派管理员的信息,请参阅[移除 CloudTrail 委派管理员](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-remove-delegated-administrator.html)。