控制塔日志共享的最佳实践是什么？

【以下的回答经过翻译处理】 你们两种方法都可以实现，可能只是涉及到成本问题。使用S3复制，你只需要支付S3的费用，并且可以选择将日志存储在目标存储桶中的更低级别存储类别中，因此这可能是更便宜的方法。请参见复制定价。使用CloudTrail，你需要支付额外的跟踪费用以及S3存储费用。

你可以在CloudTrail日志存储桶上设置一个复制规则，将日志复制到成员账户中的另一个存储桶中。你可以过滤此复制规则，只复制成员账户前缀，即<org_id>/AWSLogs/<org_id>/<acct_id>/。

你可以按照此处的步骤，创建一个成员账户中的存储桶，以便来源账户可以将数据复制到该存储桶中。

你还可以直接向源存储桶授予成员账户访问权限。请参见https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-sharing-logs.html。