如何将 CloudTrail 跟踪记录更改为 AWS Organizations 跟踪记录？

解决方法

（先决条件）使用 CloudTrail 激活可信服务访问

按照 AWS Organizations 用户指南中使用 CloudTrail 激活可信访问中的说明进行操作。

有关将 CloudTrail 集成到 Organizations 中的更多信息，请参阅 AWS CloudTrail 和 AWS Organizations。

更新您的 CloudTrail 日志文件的 Simple Storage Service (Amazon S3) 存储桶策略，以允许执行以下操作：

• 用于将日志文件传输到 Amazon Simple Storage Service (Amazon S3) 存储桶的 CloudTrail 跟踪记录。
• 用于将企业中账户的日志传输到 Simple Storage Service (Amazon S3) 存储桶的 CloudTrail 跟踪记录。

1.    打开 Amazon S3 控制台。

2.    选择存储桶。

3.    对于存储桶名称，选择包含您的 CloudTrail 日志文件的 S3 存储桶。

4.    选择权限。然后选择存储桶策略。

5.    将以下示例存储桶策略语句复制并粘贴到策略编辑器中，然后选择保存。

**重要提示：**将 primary-account-id 替换为您的 Organizations 主账户 ID。将 bucket-name 替换为您的 S3 存储桶名称。将 org-id 替换为您的 Organizations ID。将 your-region 替换为您的 AWS 区域。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

（可选）配置权限以使用 CloudWatch Logs 监控企业的 CloudTrail 日志文件。

**注意：**仅当您要使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件时，才需要执行以下步骤。

1.    确保您的企业已激活所有功能。

2.    按照说明在 AWS Organizations 中将 CloudTrail 激活为可信服务。

3.    打开 AWS Identity and Access Management (IAM) 控制台。

4.    选择策略。

5.    对于策略名称，选择与您的 CloudWatch 日志组 AWS 主账户关联的 IAM 策略。

6.    选择编辑策略，复制并粘贴以下示例 IAM 策略语句，然后选择保存。

重要提示：将 your-region 替换为您的 AWS 区域。将 primary-account-id 替换为您的 Organizations 主账户 ID。将 org-id 替换为您的企业 ID。将 log-group-name 替换为您的 CloudWatch 日志组名称。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    打开 CloudTrail 控制台。

8.    在导航窗格中，选择跟踪记录。

9.    对于跟踪记录名称，选择您的跟踪记录的名称。

10.    对于 CloudWatch 日志，选择编辑图标。然后选择继续。

11.    对于角色摘要，选择允许。

将 CloudTrail 跟踪记录更新为企业跟踪记录

1.    打开 CloudTrail 控制台，然后从导航窗格中选择跟踪。

2.    对于跟踪记录名称，选择您的跟踪记录。

3.    对于跟踪记录设置，选择编辑图标。

4.    对于将跟踪记录应用于我的企业，选择是。然后选择保存。

---

相关信息

如何开始使用 AWS Organizations？

运行 update-trail 更新企业跟踪记录