本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全 OU – 日志存档账户
<a name="log-archive-account"></a>

**调查**  
我们很乐意听取您的意见。请通过[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)提供 AWS 有关 PRA 的反馈。

日志存档账户是您集中管理基础设施、服务和应用程序日志类型的地方。有关此账户的更多信息，请参阅[AWS 安全参考架构 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html)。通过专门的日志账户，您可以对所有日志类型实施一致的提醒设置，并确保事件响应人员能够从一个地方访问这些日志的汇总信息。您还可以在一个地方设置安全控制措施和数据保留策略，这能够简化隐私操作方面的繁琐流程。下图说明了在日志存档账户中配置的 AWS 安全和隐私服务。

![\[AWS 服务 部署在安全组织单位的日志存档帐户中。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Log-Archive.png)


## 集中式日志存储
<a name="centralized-log-storage"></a>

日志文件（例如 AWS CloudTrail 日志）可能包含可视为个人数据的信息。一些组织选择使用组织跟踪将跨账户 AWS 区域 和跨账户的 CloudTrail 日志汇总到一个中心位置，以实现可见性。有关更多信息，请参阅本指南中的[AWS CloudTrail](security-tooling-account.md#aws-cloudtrail)。在实施日志集中化时， CloudTrail 日志通常存储在单个区域的亚马逊简单存储服务 (Amazon S3) 存储桶中。

根据您所在组织对个人数据的定义、与客户的合同义务以及适用的区域性隐私法规，当涉及到日志聚合时，您可能需要考虑跨境数据传输的问题。确定各种日志类型中的个人数据是否符合这些限制规定。例如， CloudTrail 日志可能包含贵组织的员工数据，但可能不包含客户的个人数据。如果您的组织需要遵守严格的数据传输要求，以下这些选项能够提供相应的支持：
+ 如果您的组织 AWS 云 向多个国家/地区的数据主体提供服务，则可以选择汇总数据驻留要求最严格的国家/地区的所有日志。例如，如果您在德国运营并且德国有最严格的要求，则可以将数据聚合到的 S3 存储桶`eu-central-1` AWS 区域 中，这样在德国收集的数据就不会离开德国边境。对于此选项，您可以在中配置单个组织跟踪 CloudTrail ，将来自所有账户的日志聚合 AWS 区域 到目标区域。
+ 在将数据复制并汇总到其他区域 AWS 区域 之前，请先编辑需要保留的个人数据。例如，在将日志传输至其他区域之前，您可以在应用程序的主机区域对个人数据进行隐藏处理。有关屏蔽个人数据的更多信息，请参阅本指南的 [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) 部分。
+ 如果您有严格的数据主权问题，可以在中维护一个单独的多账户 landing zone AWS 区域 来强制执行这些要求。这样一来，您就可以简化区域中的登录区配置，从而实现集中式日志记录。它还提供了额外的基础设施分割优势，并有助于将日志保留在各自所在的区域内。与您的法律顾问合作，确定哪些个人数据在范围内，哪些允许 Region-to-Region传输。有关更多信息，请参阅本指南中的[制定全球扩展战略](global-expansion.md)。

默认情况下，通过[服务日志](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)、应用程序日志和操作系统 (OS) 日志，您可以使用 Amazon CloudWatch 监控 AWS 服务 相应账户和区域中的资源。许多用户会选择将来自多个账户和区域的日志及指标集中整合到一个账户中。默认情况下，这些日志会保留在相应的账户及其来源区域中。为了实现集中管理，您可以使用[订阅筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)和 [Amazon S3 导出任务](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)将数据共享到一个集中的位置。在聚合具有跨境数据传输需求的工作负载的日志时，包含适当的筛选条件和导出任务可能很重要。如果某个工作负载的访问日志中包含个人数据，您可能需要确保这些数据会被传输到特定的账户和区域或存储在其中。

## Amazon Security Lake
<a name="security-lake"></a>

按照 AWS SRA 中的建议，您可能需要使用日志存档账户作为 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 的委托管理员账户。当您执行此操作时，Security Lake 会将受支持的日志收集到与 SRA 建议的安全日志相同的账户中的专用 Amazon S3 存储桶中。

从隐私角度来看，您的事件响应者必须能够访问来自您的 AWS 环境、SaaS 提供商、本地、云源和第三方来源的日志。这有助于他们更迅速地阻止并修复对个人数据的未经授权访问问题。对于日志存储所涉及的那些注意因素，很可能同样适用于 Amazon Security Lake 内的日志驻留以及区域移动情况。这是因为 Security Lake 会从您启用该服务时收集安全日志和事件。 AWS 区域 要遵守数据驻留要求，请考虑您的[汇总区域](https://docs.aws.amazon.com/security-lake/latest/userguide/add-rollup-region.html)配置。*汇总区域*是 Security Lake 从您所选择的一个或多个贡献区域中整合数据所在的区域。在配置 Security Lake 和汇总区域之前，您的组织可能需要先统一关于数据驻留的区域合规要求。