本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解組織事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
如果您已在 中建立組織 AWS Organizations,您可以建立*組織事件資料存放區*,記錄 AWS 帳戶 該組織中所有 的所有事件。組織事件資料存放區可以套用至所有 AWS 區域或目前區域。您無法使用組織事件資料存放區來收集 AWS外部事件。
您可以使用管理帳戶或委派管理員帳戶[來建立組織事件資料存放區](#cloudtrail-lake-organizations-create-eds)。委派管理員建立組織事件資料存放區後,該組織事件資料存放區會存在於組織的管理帳戶中。採用此方法是因為管理帳戶會維護所有組織資源的擁有權。
組織的管理帳戶可以[更新帳戶層級事件資料存放區](#cloudtrail-lake-organizations-update-eds),以將其套用至組織。
組織事件資料存放區在獲指定套用至組織後,將會自動套用至組織中的所有成員帳戶。成員帳戶無法查看組織事件資料存放區,也無法加以修改或刪除。在預設情況下,成員帳戶無法存取組織事件資料存放區,也無法在事件資料存放區上執行查詢。
下表顯示組織內管理帳戶和委派管理員帳戶的功能 AWS Organizations 。
| 功能 | 管理帳戶 | 委派管理員帳戶 |
| --- | --- | --- |
| 註冊或移除委派管理員帳戶。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 為事件或 AWS Config 組態項目建立組織 AWS CloudTrail 事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 啟用組織事件資料存放區上的 Insights。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 更新組織事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是1 |
| 在組織事件資料存放區上開始和停止事件擷取。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 在組織事件資料存放區上啟用 Lake 查詢聯合。2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 停用組織事件資料存放區上的 Lake 查詢聯合。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 刪除組織事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 將追蹤事件複製到事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 對組織事件資料存放區執行查詢。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 檢視組織事件資料存放區的受管儀表板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 啟用組織事件資料存放區的醒目提示儀表板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 為查詢組織事件資料存放區的自訂儀表板建立小工具。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
1只有管理帳戶可以將組織事件資料存放區轉換為帳戶層級事件資料存放區,或將帳戶層級事件資料存放區轉換為組織事件資料存放區。委派管理員無法執行這些動作,因為組織事件資料存放區僅存在於管理帳戶中。當組織事件資料存放區轉換為帳戶層級事件資料存放區時,只有管理帳戶可以存取事件資料存放區。同樣地,只有管理帳戶中的帳戶層級事件資料存放區可以轉換為組織事件資料存放區。
2只有一個委派管理員帳戶或管理帳戶可以在組織事件資料存放區上啟用聯合。其他委派管理員帳戶可以使用 [Lake Formation 資料共用功能](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)查詢和共享資訊。任何委派管理員帳戶和組織的管理帳戶都能停用聯合。
## 建立組織事件資料存放區
組織的管理帳戶或委派管理員帳戶可以建立組織事件資料存放區,以收集 CloudTrail 事件 (管理事件、資料事件) 或 AWS Config 組態項目。
**注意**
只有組織的管理帳戶可以將追蹤事件複製到事件資料存放區。
------
#### [ CloudTrail console ]
**使用主控台建立組織事件資料存放區**
1. 請遵循[為 CloudTrail 事件建立事件資料存放](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)區程序中的步驟,為 CloudTrail 管理或資料事件建立組織事件資料存放區。
**或**
遵循 [為 AWS Config 組態項目建立事件資料存放](query-event-data-store-config.md#create-config-event-data-store)區程序中的步驟,為組態項目建立組織事件資料存放區 AWS Config 。
1. 在**選擇事件**頁面上,**為組織中的所有帳戶選擇啟用**。
------
#### [ AWS CLI ]
若要建立組織事件資料存放區,請執行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html)命令並包含 `--organization-enabled`選項。
下列範例 AWS CLI `create-event-data-store`命令會建立收集所有管理事件的組織事件資料存放區。由於 CloudTrail 預設會記錄管理事件,因此如果您的事件資料存放區正在記錄所有管理事件,且未收集任何資料事件,則不需要指定進階事件選取器。
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled
```
以下是回應範例。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
下一個範例 AWS CLI `create-event-data-store`命令會建立名為 的組織事件資料存放區`config-items-org-eds`,以收集 AWS Config 組態項目。若要收集組態項目,請在進階事件選取器`ConfigurationItem`中指定 `eventCategory` 欄位等於 。
```
aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
------
## 將帳戶層級事件資料存放區套用至組織
組織的管理帳戶可以轉換帳戶層級的事件資料存放區,以將其套用至組織。
------
#### [ CloudTrail console ]
**使用主控台更新帳戶層級事件資料存放區**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇您要更新的事件資料存放區。此動作會開啟事件資料存放區的詳細資訊頁面。
1. 在 **General details** (一般詳細資訊) 中,選擇 **Edit **(編輯)。
1. **為組織中的所有帳戶選擇啟用**。
1. 選擇**儲存變更**。
如需更新事件資料存放區的詳細資訊,請參閱 [使用主控台更新事件資料存放區](query-event-data-store-update.md)。
------
#### [ AWS CLI ]
若要更新帳戶層級事件資料存放區以將其套用至組織,請執行 [update-event-data-store](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) 命令並包含 `--organization-enabled`選項。
```
aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
------
## 委派管理員的預設資源政策
CloudTrail 會自動`DelegatedAdminResourcePolicy`為[組織事件資料存放區](#cloudtrail-lake-organizations)產生名為 的資源政策,列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。中的許可`DelegatedAdminResourcePolicy`衍生自 中的委派管理員許可 AWS Organizations。
`DelegatedAdminResourcePolicy` 的目的在於確保委派管理員帳戶可以代表組織管理組織事件資料存放區,而且當以資源為基礎的政策連接到允許或拒絕主體對組織事件資料存放區執行動作的組織事件資料存放區時,不會意外拒絕存取組織事件資料存放區。
CloudTrail `DelegatedAdminResourcePolicy` 會與為組織事件資料存放區提供的任何資源型政策一起評估。委派管理員帳戶只有在提供的以資源為基礎的政策包含明確拒絕委派管理員帳戶對委派管理員帳戶可執行的組織事件資料存放區執行動作的陳述式時,才會被拒絕存取。
此`DelegatedAdminResourcePolicy`政策會在下列情況下自動更新:
+ 管理帳戶會將組織事件資料存放區轉換為帳戶層級事件資料存放區,或將帳戶層級事件資料存放區轉換為組織事件資料存放區。
+ 有組織變更。例如,管理帳戶會註冊或移除 CloudTrail 委派管理員帳戶。
您可以在 CloudTrail 主控台的**委派管理員資源政策**區段上檢視up-to-date政策,或執行 AWS CLI `get-resource-policy`命令並傳遞組織事件資料存放區的 ARN。
下列範例會在組織事件資料存放區上執行 `get-resource-policy`命令。
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
此命令的輸出會顯示資源型政策,以及為委派管理員帳戶產生的`DelegatedAdminResourcePolicy`政策。
## 其他資源
+ [組織委派的管理員](cloudtrail-delegated-administrator.md)
+ [新增 CloudTrail 委派的管理員](cloudtrail-add-delegated-administrator.md)
+ [移除 CloudTrail 委派的管理員](cloudtrail-remove-delegated-administrator.md)