问题描述
我正在尝试为我的 AWS 组织创建一个 AWS Control Tower 登陆区,并收到一条消息说 You must unsubscribe your organization from AWS CloudTrail so that AWS Control Tower can proceed. During the setup process,AWS Control Tower creates a new trail in the audit account that's part of your landing zone. 我该怎么做?这是否意味着停止所有 CloudTrail 跟踪发送日志,或者是否有组织范围的设置要禁用?
解决方法
AWS Control Tower 需要为 Cloudtrail 和 Config 禁用可信访问。要禁用此功能,您需要登录组织管理帐户,然后转到 AWS Organizations > 服务 > 禁用配置/Cloudtrail。
在组织级别启用的可信访问使这些服务能够在需要更改某些内容的所有成员帐户中注入服务角色。为 Cloudtrail 禁用此功能将导致组织跟踪不再工作,但主跟踪仍将完好无损。成员帐户中的所有影子跟踪都将被禁用。 AWS 仍然允许您搜索/过滤/下载过去 90 天内每个成员账户中的 cloudtrail 管理事件,只是它们不会被转移到中央 s3 存储桶进行存储。