我正在尝试为我的 AWS 组织创建 AWS Control Tower 登录区,并收到一条消息,提示You must unsubscribe your organization from AWS CloudTrail so that AWS Control Tower can proceed. During the setup process, AWS Control Tower creates a new trail in the audit account that's part of your landing zone.我该怎么做?这是否意味着停止所有 CloudTrail 跟踪发送日志,或者是否有一个组织范围的设置要禁用?
问问题
669 次
1 回答
4
AWS Control Tower 需要为 Cloudtrail 和 Config 禁用可信访问。要禁用此功能,您需要登录到组织管理账户,然后转到AWS Organizations > Services > Disable Config/Cloudtrail。
在组织级别启用的受信任访问使这些服务能够在需要更改某些内容的所有成员帐户中注入服务角色。为 Cloudtrail 禁用此功能将导致组织跟踪不再工作,但主跟踪仍然完好无损。成员账户中的所有影子跟踪都将被禁用。AWS 仍然允许您在每个成员账户中搜索/过滤/下载过去 90 天的 cloudtrail 管理事件,只是它们不会被转移到中央 s3 存储桶进行存储。
于 2021-05-26T19:16:23.510 回答