控制塔日志共享的最佳实践是什么?

0

【以下的问题经过翻译处理】 我有一个日志用例,我正在寻找 Control Tower 上下文中的最佳实践。

借助 Control Tower,我们有一个组织级别的云跟踪,可将 CloudTrail 日志整合到我们的日志帐户中,并通过每个帐户的子文件夹将它们分开。

拥有这些帐户的团队希望能够访问他们自己的日志。最好的方法是什么?我是否应该将日志从该中央存储桶中同步出来并返回到个人帐户中?在帐户本身内建立第二条线索?

profile picture
专家
已提问 10 个月前78 查看次数
1 回答
0

【以下的回答经过翻译处理】 你们两种方法都可以实现,可能只是涉及到成本问题。使用S3复制,你只需要支付S3的费用,并且可以选择将日志存储在目标存储桶中的更低级别存储类别中,因此这可能是更便宜的方法。请参见复制定价。使用CloudTrail,你需要支付额外的跟踪费用以及S3存储费用。

你可以在CloudTrail日志存储桶上设置一个复制规则,将日志复制到成员账户中的另一个存储桶中。你可以过滤此复制规则,只复制成员账户前缀,即<org_id>/AWSLogs/<org_id>/<acct_id>/。

你可以按照此处的步骤,创建一个成员账户中的存储桶,以便来源账户可以将数据复制到该存储桶中。

你还可以直接向源存储桶授予成员账户访问权限。请参见https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-sharing-logs.html

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则