本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 準備建立組織追蹤
<a name="creating-an-organizational-trail-prepare"></a>

在建立組織的追蹤之前，請確保已正確設定您的組織管理帳戶或委派的管理員帳戶，以便建立追蹤。
+ 您組織中的所有功能必須都預先啟用，您才能為其建立追蹤。如需詳細資訊，請參閱[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 管理帳戶必須具有 **AWSServiceRoleForOrganizations** 角色。這個角色是您在建立組織時由 Organizations 所自動建立，而且是 CloudTrail 用來記錄組織事件的必要角色。如需詳細資訊，請參閱 [Organizations 和服務連結角色](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs)。
+ 在管理或委派的管理員帳戶中建立組織追蹤的使用者或角色，必須擁有可建立組織追蹤的足夠許可。您必須至少將 **AWSCloudTrail\_FullAccess** 政策，或同等政策套用至該角色或使用者。您還必須擁有 IAM 和 Organizations 的足夠許可，才能建立服務連結角色，以及啟用受信任存取。如果您選擇使用 CloudTrail 主控台為組織追蹤建立新的 S3 儲存貯體，
 您的政策也需要包含 `s3:PutEncryptionConfiguration`
 動作，因為預設會為儲存貯體啟用伺服器端加密。下列範例政策顯示最少的必要許可。
**注意**  
您不應該在 之間廣泛共用**AWSCloudTrail\_FullAccess**政策 AWS 帳戶。由於 CloudTrail 會收集高度敏感的資訊，您應限制僅 AWS 帳戶 管理員才能使用這類政策。使用此角色的使用者能夠在自己的 AWS 帳戶中關閉或重新設定最敏感和重要的稽核功能。基於這個原因，您必須嚴密控制和監控對這類政策的存取。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "iam:GetRole",
                  "organizations:EnableAWSServiceAccess",
                  "organizations:ListAccounts",
                  "iam:CreateServiceLinkedRole",
                  "organizations:DisableAWSServiceAccess",
                  "organizations:DescribeOrganization",
                  "organizations:ListAWSServiceAccessForOrganization",
                  "s3:PutEncryptionConfiguration"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ 若要使用 AWS CLI 或 CloudTrail APIs 建立組織線索，您必須在 Organizations 中啟用 CloudTrail 的受信任存取，而且您必須手動建立具有允許記錄組織線索之政策的 Amazon S3 儲存貯體。如需詳細資訊，請參閱[使用 為組織建立線索 AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md)。
+ 若要使用現有的 IAM 角色，在 Amazon CloudWatch Logs 中新增組織追蹤的監控，IAM 角色必須透過手動修改，允許將成員帳戶的 CloudWatch Logs 傳遞到管理帳戶的 CloudWatch Logs 群組，如下列範例所示。
**注意**  
您必須使用存在於您自己帳戶中的 IAM 角色和 CloudWatch Logs 日誌群組。您無法使用不同帳戶所擁有的 IAM 角色和 CloudWatch Logs 日誌群組。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "AWSCloudTrailCreateLogStream20141101",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream"
              ],
              "Resource": [
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:{{o-exampleorgid}}_*"
              ]
          },
          {
              "Sid": "AWSCloudTrailPutLogEvents20141101",
              "Effect": "Allow",
              "Action": [
                  "logs:PutLogEvents"
              ],
              "Resource": [
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:{{o-exampleorgid}}_*"
              ]
          }
      ]
  }
  ```

------

  您可以在 [使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案](monitor-cloudtrail-log-files-with-cloudwatch-logs.md) 中進一步了解 CloudTrail 和 Amazon CloudWatch Logs。此外，請先考慮 CloudWatch Logs 限制和定價考量等因素，再決定啟用組織追蹤的功能。如需詳細資訊，請參閱 [CloudWatch Logs 限制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)和 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
+ 若要在組織追蹤，記錄成員帳戶中之特定資源的資料事件，請為這些資源準備 Amazon Resource Name (ARN) 清單。建立追蹤時，成員帳戶資源不會顯示在 CloudTrail 主控台中；您可以在支援資料事件收集的管理帳戶中瀏覽資源，例如 S3 儲存貯體。同樣地，建立或更新組織追蹤時，如果要在命令列中新增特定的成員資源，這時您將需要這些資源的 ARN。
**注意**  
記錄資料事件需支付額外的費用。如需 CloudTrail 定價，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。

您也應該先考慮管理帳戶與成員帳戶中已存在多少個線索，再建立組織線索。CloudTrail 會限制每個區域內能夠建立的追蹤數目。您在管理帳戶中建立組織追蹤的區域不能超過這個限制。不過，即使成員帳戶已達到區域內追蹤限制，成員帳戶中仍會建立該追蹤。任何區域中的第一個管理事件追蹤都是免費的，接著新增的任何追蹤將予以計費。若要降低組織追蹤的可能成本，請考慮刪除管理帳戶和成員帳戶中的任何不需要追蹤。如需 CloudTrail 定價的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。

## 組織追蹤中的安全最佳實務
<a name="organizational-trail-prepare-confused-deputy"></a>

我們建議的安全最佳實務是，將 `aws:SourceArn` 條件金鑰新增至您與組織追蹤搭配使用的資源政策 (例如 S3 儲存貯體、KMS 金鑰或 SNS 主題的政策)。`aws:SourceArn` 的值是組織追蹤 ARN (或多個 ARN，如果您為多個追蹤使用相同的資源，例如相同的 S3 儲存貯體，以存放多個追蹤的日誌)。這可確保資源 (例如 S3 儲存貯體) 僅接受與特定追蹤相關聯的資料。追蹤 ARN 必須使用管理帳戶的帳戶 ID。下列政策片段顯示有一個以上的追蹤正在使用資源的範例。

```
"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["{{Trail_ARN_1}}",..., "{{Trail_ARN_n}}"]
    }
}
```

如需將條件金鑰新增至資源政策的詳細資訊，請參閱下列內容：
+ [適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)
+ [設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)
+ [適用於 CloudTrail 索的 Amazon SNS 主題政策](cloudtrail-permissions-for-sns-notifications.md)