AWS CloudTrail 可以简化您的监管、合规性检查和风险审核工作。CloudTrail 可以让您查看 AWS 账户中的 API 操作和非 API 操作,从而加快对操作和安全问题的分析。与 CloudWatch Logs 集成后,CloudTrail 可以支持多地区配置以及日志文件完整性验证,从而针对通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的活动提供全面、安全而且可以搜索的事件历史记录。

开始免费使用 AWS

创建免费账户
或登录到控制台

获得 12 个月的 AWS 免费使用套餐,同时享受 AWS 的基本支持功能,包括全年全天候无休客户服务、支持论坛及更多。

设置简单

AWS CloudTrail 可在账户创建时在所有 AWS 账户上启用并记录您的账户活动。您可以查看和下载过去 7 天的账户活动来创建、修改和删除支持的服务所执行的操作,而无需手动设置 CloudTrail。

设置简单

您可以查看、搜索和下载最近的 AWS 账户活动。这让您可以了解 AWS 账户资源中发生的更改,从而强化安全过程并简化操作性问题解决流程。

100x100_benefit_managed-deployment1

您可以配置 AWS CloudTrail,使其针对单个账户从多个区域将日志文件发送到单个 Amazon S3 存储桶。一个配置可以应用到所有区域,这样可以确保所有设置都一致地应用到所有现有区域和新启动的区域。有关详细说明,请参阅 AWS CloudTrail 用户指南中的将 CloudTrail 日志文件聚合到单个 Amazon S3 存储桶

 

 

服务地图

您可以验证存储在 Amazon S3 存储桶中的 AWS CloudTrail 日志文件的完整性,并检查这些日志文件在被 CloudTrail 传输到 Amazon S3 存储桶后是否发生过更改、修改或删除。您可以在您的 IT 安全和审计流程中进行日志文件完整性验证

 

数据注释和筛选

默认情况下,AWS CloudTrail 会使用 Amazon S3 服务器端加密 (SSE) 来加密传输到指定 Amazon S3 存储桶的所有日志文件。另外,您还可以使用 AWS Key Management Service (AWS KMS) 密钥加密日志文件,从而为 CloudTrail 日志文件额外添加一层安全防护。如果您具有解密权限,Amazon S3 会自动解密您的日志文件。有关更多信息,请参阅使用 KMS 密钥加密日志文件

 

控制台和编程访问

数据事件提供对资源本身或在其内部执行资源(“数据平面”)操作的见解。数据事件通常是高频率活动,包括诸如 Amazon S3 对象级 API 和 Lambda 函数调用 API 等操作。例如,您可以在 Amazon S3 对象中记录 API 操作,接收详细信息,例如 AWS 账户、IAM 用户角色、调用者的 IP 地址、API 调用时间以及其他详细信息。您还可以记录 Lambda 函数的活动,接收有关 Lambda 函数执行的详细信息,例如进行 Invoke API 调用的 IAM 用户或服务、进行调用的时间以及执行的函数。

安全性

管理事件提供对您的 AWS 账户内的资源执行管理(“控制平面”)操作的见解。例如,您可以记录管理操作,例如创建、删除和修改 Amazon EC2 实例。对于每个事件,您可以获取诸如 AWS 账户、IAM 用户角色和发起操作的用户的 IP 地址、操作时间以及影响的资源等详细信息。

设置简单

您可以利用 Amazon S3 存储桶的通知功能,让 Amazon S3 将对象创建的事件发布到 AWS Lambda。在 CloudTrail 将日志写入您的 S3 存储桶时,Amazon S3 可以调用 Lambda 函数来处理 CloudTrail 记录的访问记录。

设置简单

借助 AWS CloudTrail 与 Amazon CloudWatch Logs 的集成,可以将 CloudTrail 记录的管理和数据事件发送到 CloudWatch Logs。利用 CloudWatch Logs,您可以创建指标筛选条件以监控事件、搜索事件,以及将事件流式传输到其他 AWS 服务,例如 AWS Lambda 和 Amazon Elasticsearch Service。

设置简单

AWS CloudTrail 与 Amazon CloudWatch Events 集成,让您可以自动响应 AWS 资源发生的更改。利用 CloudWatch Events,您可以定义要在 AWS CloudTrail 记录到特定事件时执行的操作。例如,如果 CloudTrail 记录了某个 Amazon EC2 安全组发生的更改,例如添加了一项新的传入规则,那么您可以创建一项 CloudWatch Events 规则,将这一活动发送到一个 AWS Lambda 函数。然后, Lambda 会执行某个工作流程以便在您的 IT 帮助台系统中创建服务单。