Allgemeines

F: Was ist AWS CloudTrail?

AWS CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. CloudTrail protokolliert, überwacht und speichert Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer AWS-Infrastruktur und gibt Ihnen die Kontrolle über Speicherung, Analyse und Abhilfemaßnahmen.

F: Welche Vorteile bietet CloudTrail?

CloudTrail hilft Ihnen, Compliance nachzuweisen, die Sicherheitslage zu verbessern und Aktivitätsaufzeichnungen über Regionen und Konten hinweg zu konsolidieren. CloudTrail bietet einen Einblick in die Benutzeraktivitäten, indem es die in Ihrem Konto durchgeführten Aktionen aufzeichnet. CloudTrail zeichnet wichtige Informationen über jede Aktion auf, darunter auch, wer die Anfrage gestellt hat, die verwendeten Services, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS-Service zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen, Änderungen an Ihren AWS-Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance „Security at scale: Logging in AWS“ (Skalierbare Sicherheit: Anmelden bei AWS).

F: Wer sollte CloudTrail verwenden?

Sie sollten CloudTrail verwenden, wenn Sie Aktivitäten prüfen, die Sicherheit überwachen oder betriebliche Probleme beheben müssen.

Erste Schritte

F: Wenn ich ein neuer AWS-Kunde oder ein bestehender AWS-Kunde bin und kein CloudTrail-Setup eingerichtet habe, muss ich irgendetwas aktivieren oder einrichten, um meine Kontoaktivitäten anzuzeigen?

Nein, Sie können Ihre Kontoaktivitäten sofort anzeigen. Besuchen Sie die AWS-CloudTrail-Konsole oder rufen Sie das AWS-CLI-Tool, um die Kontoaktivitäten der vergangenen 90 Tage anzuzeigen.

F: Werden im CloudTrail-Ereignisverlauf alle Aktivitäten innerhalb meines Kontos angezeigt?

AWS CloudTrail zeigt nur die Ergebnisse des CloudTrail-Ereignisverlaufs für die aktuelle Region an, die Sie für die letzten 90 Tage betrachten, und unterstützt eine Reihe von AWS-Services. Diese Ereignisse beschränken sich auf Verwaltungsereignisse mit API-Aufrufen zum Erstellen, Ändern und Löschen sowie auf Kontoaktivitäten. Für eine vollständige Aufzeichnung der Kontoaktivitäten, darunter auch aller Verwaltungsereignisse, Datenereignisse und Nur-Lese-Aktivitäten, müssen Sie einen CloudTrail-Pfad konfigurieren.

F: Welche Suchfilter kann ich zum Anzeigen meiner Kontoaktivitäten verwenden?

Sie können den Zeitraum und eines der folgenden Attribute festlegen: Ereignisname, Benutzername, Ressourcenname, Ereignisquelle, Ereignis-ID und Ressourcentyp.

F: Kann ich den CLI-Befehl lookup-events auch verwenden, wenn ich keinen Pfad konfiguriert habe?

Ja, Sie können in der CloudTrail-Konsole oder mithilfe der CloudTrail API oder des CLI-Tools die Kontoaktivitäten der vergangenen 90 Tage anzeigen.

F: Welche zusätzlichen Funktionen von CloudTrail sind nach der Erstellung eines Trails verfügbar?

Richten Sie einen CloudTrail-Pfad ein, um Ihre CloudTrail-Ereignisse an Amazon S3, Amazon CloudWatch Logs und Amazon CloudWatch Events zu liefern. So können Sie Funktionen nutzen, die Sie bei der Archivierung, Analyse und Reaktion auf Änderungen Ihrer AWS-Ressourcen unterstützen.

F: Kann ich den Benutzerzugriff auf den CloudTrail-Ereignisverlauf einschränken?

Ja, CloudTrail lässt sich in AWS Identity and Access Management (IAM) integrieren, wodurch Sie den Zugriff auf CloudTrail und auf andere AWS-Ressourcen, die CloudTrail benötigt, kontrollieren können. Dabei haben Sie auch die Möglichkeit, die Berechtigungen zum Anzeigen und Durchsuchen von Kontoaktivitäten einzuschränken. Entfernen Sie "cloudtrail:LookupEvents" aus der IAM-Richtlinie "Users", um zu verhindern, dass dieser IAM-Benutzer die Kontoaktivitäten einsehen kann.

F: Fallen nach der Aktivierung des CloudTrail-Ereignisverlaufs für mein Konto irgendwelche Gebühren an?

Das Anzeigen oder Durchsuchen der Kontoaktivitäten innerhalb des CloudTrail-Ereignisverlaufs ist kostenlos.

F: Kann ich den CloudTrail-Ereignisverlauf für mein Konto deaktivieren?

Für alle erstellten CloudTrail-Trails können Sie die Protokollierung beenden oder die Trails löschen. Dadurch wird auch die Übermittlung von Kontoaktivitäten an den S3-Bucket, den Sie als Teil Ihrer Trail-Konfiguration festgelegt haben, sowie die Übermittlung an CloudWatch Logs, falls konfiguriert, gestoppt. Die Kontoaktivität der letzten 90 Tage wird weiterhin gesammelt und in der CloudTrail-Konsole und über die AWS-Befehlszeilenschnittstelle (CLI) angezeigt.

Unterstützung von Services und Regionen

F: Welche Services werden von CloudTrail unterstützt?

AWS CloudTrail zeichnet die Kontoaktivitäten und servicerelevanten Ereignisse der meisten AWS-Services auf. Eine Liste der unterstützten Services finden Sie unter CloudTrail – Unterstützte Services im CloudTrail-Benutzerhandbuch.

F: Werden über die AWS-Managementkonsole erfolgte API-Aufrufe aufgezeichnet?

Ja. CloudTrail zeichnet API-Aufrufe von jedem Client aus auf. Die AWS Mangementkonsole, AWS Software Development Kits (SDKs), Befehlszeilentools und übergeordnete AWS Services rufen AWS APIs auf, so dass diese Aufrufe aufgezeichnet werden.

F: Wo werden meine Protokolldateien gespeichert und verarbeitet, bevor sie an meinen Amazon-S3-Bucket übermittelt werden?

Aktivitätsinformationen für Services mit regionalen Endpunkten (EC2, RDS usw.) werden in derselben Region erfasst und verarbeitet, in der die Aktion durchgeführt wird, und an die mit Ihrem Amazon S3-Bucket verbundene Region übermittelt. Aktivitätsinformationen für Services mit einzelnen Endpunkten wie IAM und AWS Security Token Service (STS) werden in der Region erfasst, in der sich der Endpunkt befindet, in der Region verarbeitet, in der der CloudTrail Trail konfiguriert ist, und an die mit Ihrem Amazon S3-Bucket verbundene Region übermittelt.

Trail auf alle Regionen anwenden

F: Was bedeutet es, einen Trail auf alle Regionen anzuwenden?

Die Anwendung eines Trails auf alle AWS-Regionen bezieht sich auf die Erstellung eines Trails, der die Aktivitäten des AWS-Kontos in allen Regionen aufzeichnet, in denen Ihre Daten gespeichert sind. Diese Einstellung gilt auch für alle neu hinzugefügten Regionen. Weitere Details zu Regionen und Partitionen finden Sie auf der Seite Amazon Resource Names and AWS Service Namespaces.

F: Welchen Nutzen hat die Anwendung eines Trails auf alle Regionen?

Sie können einen Trail für alle Regionen in der Partition mit einem API-Aufruf oder ein paar Klicks erstellen und verwalten. Sie erhalten eine Aufzeichnung der Kontobewegungen in Ihrem AWS-Konto über alle Regionen hinweg in einem Amazon S3-Bucket oder einer CloudWatch-Protokollgruppe. Wenn AWS eine neue Region einführt, erhalten Sie die Protokolldateien mit dem Ereignisverlauf für die neue Region, ohne dass Sie etwas tun müssen.

F: Wie kann ich einen Pfad auf alle Regionen anwenden?

Wählen Sie in der CloudTrail-Konsole „Yes“, um den Pfad auf alle Regionen in der Pfad-Konfigurationsseite anzuwenden. Falls Sie die SDKs oder AWS CLI verwenden, setzen Sie IsMultiRegionTrail auf „True“.

F: Was passiert, wenn ich einen Trail auf alle Regionen anwende?

Sobald Sie einen Trail in allen Regionen anwenden, erstellt CloudTrail einen neuen Trail, indem es die Trail-Konfiguration repliziert. CloudTrail wird die Protokolldateien in jeder Region aufzeichnen und verarbeiten und die Protokolldateien, die Kontoaktivitäten in allen AWS-Regionen enthalten, an einen einzigen Amazon S3-Bucket und eine einzige CloudWatch-Logs-Protokollgruppe liefern. Wenn Sie ein optionales Amazon Simple Notification Service (SNS) Thema angegeben haben, liefert CloudTrail-SNS-Benachrichtigungen für alle Protokolldateien, die an ein einzelnes SNS-Thema geliefert werden.

F: Kann ich einen vorhandenen Pfad auf alle Regionen anwenden?

Ja. Ja, Sie können einen vorhandenen Pfad auf alle Regionen anwenden. Wenn Sie einen bestehenden Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail für Sie in allen Regionen. Wenn Sie zuvor Trails in anderen Regionen erstellt haben, können Sie diese Trails über die CloudTrail-Konsole anzeigen, bearbeiten und löschen.

F: Wie lange dauert es, bis CloudTrail die Trail-Konfiguration für alle Regionen repliziert hat?

Normalerweise dauert es weniger als 30 Sekunden, um die Pfad-Konfiguration für alle Regionen zu replizieren.

Mehrere Pfade

F: Wie viele Pfade kann ich in einer AWS-Region erstellen?

Sie können bis zu fünf Pfade in einer AWS-Region erstellen. In jeder Region gibt es einen Pfad, der auf alle Regionen angewendet wird und der in jeder Region als ein einzelner Pfad gezählt wird.

F: Welche Vorteile hat das Erstellen mehrerer Pfade in einer AWS-Region?

Mit mehreren Trails können verschiedene Beteiligte wie Sicherheitsadministratoren, Softwareentwickler und IT-Prüfer ihre eigenen Trails erstellen und verwalten. Ein Sicherheitsadministrator kann zum Beispiel einen Trail erstellen, der für alle Regionen gilt, und die Verschlüsselung mit einem Amazon Key Management Service (KMS) Schlüssel benutzen. Ein Entwickler kann einen Trail erstellen, der für eine Region gilt, um betriebliche Probleme zu beheben.

F: Unterstützt CloudTrail Berechtigungen auf Ressourcenebene?

Ja. Dank Berechtigungen auf Ressourcenebene können Sie detaillierte Zugriffskontrollrichtlinien erstellen, um bestimmten Benutzern den Zugriff auf einen bestimmten Trail zu erlauben oder zu verweigern. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail.

Sicherheit und Ablauf

F: Wie kann ich meine CloudTrail-Protokolldateien schützen?

Standardmäßig werden die CloudTrail-Protokolldateien mit Amazon S3 Server Side Encryption (SSE) verschlüsselt und in Ihrem S3-Bucket abgelegt. Sie können den Zugriff auf Protokolldateien mithilfe von IAM- oder S3-Bucket-Richtlinien regeln. Sie können eine weitere Schutzebene hinzufügen, indem Sie für Ihren S3-Bucket S3-Multi Factor Authentication (MFA) Delete aktivieren. Weitere Details zum Erstellen und Aktualisieren eines Pfades finden Sie in der CloudTrail-Dokumentation.

F: Wo kann ich ein Beispiel einer S3-Bucket- und SNS-Themenrichtlinie herunterladen?

Sie können ein Beispiel einer S3-Bucket-Richtlinie und SNS-Themenrichtlinie aus dem S3-Bucket von CloudTrail herunterladen. Sie müssen die Beispielrichtlinien mit Ihren Daten aktualisieren, ehe Sie sie auf Ihren S3-Bucket oder Ihr SNS-Thema anwenden.

F: Wie lange kann ich meine Aktivitäts-Protokolldateien speichern?

Sie bestimmen die Aufbewahrungsrichtlinien für Ihre CloudTrail-Protokolldateien. Standardmäßig werden Protokolldateien unbegrenzt lange gespeichert. Mithilfe von Regeln für die Verwaltung des Amazon 3-Objektlebenszyklus können Sie eine eigene Aufbewahrungsrichtlinie festlegen. Sie können beispielsweise alte Protokolldateien löschen oder diese in Amazon Glacier archivieren.

Ereignisnutzlast, Aktualität und Häufigkeit der Übermittlung

F: Welche Informationen stehen in einem Ereignis zur Verfügung?

In einem Ereignis werden wichtige Informationen zur damit verbundenen Aktivität aufgezeichnet: der anfordernde Benutzer, die verwendeten Services, die durchgeführten Aktionen und die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Weitere Details finden Sie im Abschnitt CloudTrail Event Reference im Benutzerhandbuch.

F: Wie lange benötigt CloudTrail für die Übermittlung eines Ereignisses für einen API-Aufruf?

CloudTrail übermittelt Ergebnisse in der Regel binnen 15 Minuten nach dem API-Aufruf.

F: Wie oft übermittelt CloudTrail Protokolldateien an meinen Amazon-S3-Bucket?

CloudTrail liefert etwa alle fünf Minuten Protokolldateien an Ihren Amazon S3-Bucket. CloudTrail übermittelt Protokolldateien nur dann, wenn API-Aufrufe für Ihr Konto erfolgen.

F: Kann ich benachrichtigt werden, wenn neue Protokolldateien an meinen Amazon-S3-Bucket übermittelt werden?

Ja. Sie können Amazon SNS-Benachrichtigungen aktivieren, um sofortige Aktionen bei der Lieferung neuer Protokolldateien durchzuführen.

F: Was passiert, wenn CloudTrail für mein Konto aktiviert ist, aber mein Amazon-S3-Bucket nicht mit der ordnungsgemäßen Richtlinie konfiguriert ist?

CloudTrail-Protokolldateien werden in Übereinstimmung mit den S3-Bucket-Richtlinien übermittelt, die Sie eingerichtet haben. Wenn die Bucket-Richtlinien falsch konfiguriert sind, kann CloudTrail-Protokolldateien nicht übermitteln.

Datenereignisse

F: Was sind Datenereignisse?

Datenereignisse bieten Einblicke in die Ressourcenvorgänge („Datenebene“), die an oder in der Ressource selbst durchgeführt wurden. Bei Datenereignissen handelt es sich oft um umfangreiche Aktivitäten. Sie umfassen beispielsweise APIs auf Amazon S3-Objektebene und Lambda-Funktionsaufrufs-APIs. Datenereignisse sind bei der Konfiguration von Pfaden standardmäßig deaktiviert. Zur Aufzeichnung von CloudTrail-Datenereignissen müssen Sie die unterstützten Ressourcen bzw. Ressourcentypen, deren Aktivitäten Sie erfassen möchten, explizit hinzufügen. Anders als bei Verwaltungsereignissen fallen für Datenereignisse zusätzliche Gebühren an. Weitere Informationen finden Sie unter CloudTrail – Preise.

F: Wie kann ich Datenereignisse einsetzen?

Datenereignisse, die von AWS CloudTrail aufgezeichnet werden, werden ähnlich wie Verwaltungsereignisse an Amazon S3 übermittelt. Nach der Aktivierung sind diese Ereignisse auch in Amazon CloudWatch Events verfügbar.

F: Was sind Amazon-S3-Datenereignisse? Wie kann ich sie aufzeichnen?

Amazon S3-Datenereignisse stellen API-Aktivitäten für Amazon S3-Objekte dar. Damit CloudTrail diese Aktivitäten aufzeichnet, geben Sie im Datenereignisabschnitt einen S3-Bucket an, wenn Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. Alle API-Aktionen für Objekte im angegebenen S3-Bucket werden von CloudTrail aufgezeichnet.

F: Was sind AWS-Lambda-Datenereignisse? Wie kann ich sie aufzeichnen?

AWS Lambda-Datenereignisse erfassen die Ausführung von Aktivitäten von Lambda-Funktionen. Lambda-Datenereignisse liefern Details zu Ausführungen von Lambda-Funktionen, z. B. zum IAM-Benutzer oder -Dienst, der die Aufrufs-API ausgelöst hat, wann der Aufruf durchgeführt wurde und welche Funktion ausgeführt wurde. Alle Lambda-Datenereignisse werden an den Amazon-S3-Bucket und Amazon CloudWatch Events übermittelt. Sie aktivieren die Protokollierung von AWS-Lambda-Datenereignissen mithilfe der AWS CLI oder der AWS-CloudTrail-Konsole. Welche Lambda-Funktionen protokolliert werden, wählen Sie aus, indem Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten.

CloudTrail Insights

F: Was sind CloudTrail Insights-Ereignisse?

Die AWS-CloudTrail-Insight-Ereignisse helfen Kunden dabei, anormale Aktivitäten in ihren AWS-Konten zu identifizieren, wie Spitzenbelastungen bei der Ressourcen-Bereitstellung, Spitzenlasten bei AWS Identity and Access-Management-Aktionen (IAM) oder Lücken bei regulären Wartungsarbeiten. CloudTrail Insights verwendet Machine Learning (ML)-Modelle, die CloudTrail-Schreib-Verwaltungsereignisse kontinuierlich auf ungewöhnliche Aktivitäten überwachen.

Wenn eine ungewöhnliche Aktivität festgestellt wird, werden CloudTrail Insights-Ereignisse in der Konsole angezeigt und an Amazon CloudWatch Events, Ihren Amazon S3-Bucket und optional an die Amazon CloudWatch Logs-Gruppe übermittelt. Dies erleichtert die Erstellung von Warnmeldungen und die Integration in bestehende Ereignisverwaltungs- und Workflow-Systeme.

F: Welche Art von Aktivitäten kann AWS CloudTrail Insights identifizieren?

CloudTrail Insights entdeckt anormale Aktivitäten, indem CloudTrail-Schreibmanagement-Ereignisse im AWS-Konto und in der Region analysiert werden. Ein ungewöhnliches oder anormales Ereignis wird als Volumen der AWS-API-Aufrufe definiert, die von den erwarteten und zu zuvor etablierten Betriebsmustern oder der Baseline abweichen. CloudTrail Insights passt sich an Änderungen Ihrer normalen Betriebsmuster an, indem zeitbasierte Trends in Ihren API-Aufrufen einberechnet werden und adaptive Baselines als Änderungen der Arbeitsaufwände angewandt werden.

Mit CloudTrail Insights können fehlartige Skripts oder Applikationen aufgedeckt werden. Man hört oft von Entwicklern, die ein Skript oder eine Applikation ändern müssen, da sie einen Loop wiederholen oder viele Aufrufe an unbeabsichtigte Ressourcen, wie Datenbänke, Datenspeicher oder andere Funktionen, ausführen. Dieses Verhalten wird oft erst bei der Rechnungsstellung erkannt, wenn die Kosten bereits unerwartet hoch sind oder ein Ausfall oder eine Störung erfolgt. CloudTrail-Insights-Ereignisse informieren Sie über diese Änderungen in Ihrem AWS-Konto, und Sie können die Korrekturen schnell ausführen.

F: Wie arbeitet CloudTrail Insights mit anderen AWS-Services für die Entdeckung von ungewöhnlichen Aktivitäten zusammen?

CloudTrail Insights hilft Ihnen bei der Entdeckung von anormalen Aktivitäten in Ihren AWS-Konten, damit Sie Betriebsprobleme angehen können und die Auswirkungen auf den Betrieb und das Geschäft verringern können. Amazon GuardDuty konzentriert sich auf die Verbesserung der Sicherheit Ihres Kontos und erkennt Bedrohungen durch die Überwachung von Kontoaktivitäten. Amazon Macie wurde entwickelt, um den Datenschutz in Ihrem Konto zu verbessern, indem sensible Daten entdeckt, klassifiziert und geschützt werden. Diese Services bieten zusätzlichen Schutz gegen unterschiedliche Probleme, die in Ihrem Konto auftreten können.

F: Muss ich AWS CloudTrail einrichten, damit CloudTrail Insights funktioniert?

Ja. CloudTrail Insights-Ereignisse sind auf einzelnen Pfaden konfiguriert, deshalb müssen Sie mindesten einen Pfad eingerichtet haben. Wenn Sie CloudTrail Insights-Ereignisse für einen Pfad einschalten, beginnt CloudTrail mit der Überwachung der Schreibmanagement-Ereignisse, die für diesen Pfad für anormale Muster festgehalten werden. Wenn CloudTrail Insights anormale Aktivitäten entdeckt, wird ein CloudTrail-Insights-Ereignis am Lieferzielort, der in der Pfaddefinition festgelegt ist, gespeichert.

F: Welche Art von Ereignissen werden von CloudTrail Insights überwacht?

CloudTrail Insights verfolgt ungewöhnliche Aktivitäten für Schreibverwaltungs-APIs.

F: Was sind die ersten Schritte?

Sie können CloudTrail Insights-Ereignisse für einzelne Trails in Ihrem Konto dank der Konsole, der CLI oder des SDKs aktivieren. Sie können CloudTrail Insights-Ereignisse auch unternehmensweit aktivieren, dank eines Organizational Trails, der in Ihrem AWS Organizations Master-Konto konfiguriert ist. Sie können CloudTrail-Insights-Ereignisse einschalten, indem Sie die Optionsschaltfläche in Ihrer Trail-Definition auswählen.

Zusammenführung von Protokolldateien

F: Ich habe mehrere AWS-Konten. Ich möchte gerne, dass Protokolldateien für alle Konten an einen zentralen S3-Bucket übermittelt werden. Ist das möglich?

Ja. Sie können einen Amazon S3-Bucket als Ziel für mehrere Konten konfigurieren. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single Amazon S3 bucket im AWS-CloudTrail-Benutzerhandbuch.

Integration in CloudWatch Logs

F: Was ist die Integration von CloudTrail in CloudWatch Logs?

Durch die CloudTrail-Integration in CloudWatch Logs werden von CloudTrail erfasste Verwaltungs- und Datenereignisse an einen CloudWatch-Logs-Protokoll-Stream in der von Ihnen festgelegten CloudWatch-Logs-Protokollgruppe übermittelt.

F: Was sind die Vorteile der Integration von CloudTrail in CloudWatch Logs?

Diese Integration ermöglicht es Ihnen, Amazon SNS-Benachrichtigungen über die von CloudTrail erfassten Kontoaktivitäten zu erhalten. Sie können zum Beispiel CloudWatch-Alarme erstellen, um API-Aufrufe zu überwachen, die Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten (ACLs) erstellen, ändern und löschen.

F: Wie aktiviere ich die CloudTrail-Integration in CloudWatch Logs?

Sie können die CloudTrail-Integration in CloudWatch Logs von der CloudTrail-Konsole aktivieren, indem Sie eine CloudWatch Logs-Protokollgruppe und eine IAM-Rolle festlegen. Sie können auch die AWS-SDKs oder die AWS CLI verwenden, um diese Integration zu aktivieren.

F: Was passiert, wenn ich die CloudTrail-Integration in CloudWatch Logs aktiviere?

Nachdem Sie die Integration aktiviert haben, übermittelt CloudTrail kontinuierlich Kontoaktivitäten an einen CloudWatch Logs-Protokoll-Stream in der festgelegten CloudWatch Logs-Protokollgruppe. Außerdem übermittelt CloudTrail wie schon zuvor Protokolle an Ihren Amazon-S3-Bucket.

F: In welchen AWS-Regionen wird die CloudTrail-Integration in CloudWatch Logs unterstützt?

Die Integration wird in den Regionen unterstützt, in denen auch CloudWatch Logs unterstützt wird. Weitere Informationen erhalten Sie unter Regionen und Endpunkte in der allgemeinen Referenz zu Amazon Web Services.

F: Wie überträgt CloudTrail Ereignisse mit Kontoaktivitäten an meine CloudWatch Logs?

CloudTrail übernimmt die von Ihnen angegebene IAM-Rolle, um Kontoaktivitäten an CloudWatch Logs zu übermitteln. Sie beschränken die IAM-Rolle auf die Berechtigungen, die zum Übermitteln der Ereignisse an Ihren CloudWatch Logs-Protokoll-Stream erforderlich sind. Die Richtlinien zu IAM-Rollen finden Sie im Benutzerhandbuch der CloudTrail-Dokumentation.

F: Welche Gebühren fallen an, nachdem ich die CloudTrail-Integration in CloudWatch Logs aktiviert habe?

Nachdem Sie die CloudTrail-Integration in CloudWatch Logs aktiviert haben, fallen die Standardgebühren für CloudWatch Logs und CloudWatch an. Details finden Sie in der CloudWatch-Preisübersicht.

Verschlüsseln von CloudTrail-Protokolldateien mit dem AWS Key Management Service (KMS)

F: Worin besteht der Vorteil der Verschlüsselung von CloudTrail-Protokolldateien unter Verwendung der serverseitigen Verschlüsselung mit KMS?

Durch die Verschlüsselung von CloudTrail-Protokolldateien mithilfe von SSE-KMS können Sie den an einen Amazon S3-Bucket gelieferten CloudTrail-Protokolldateien eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem KMS-Schlüssel verschlüsseln. Standardmäßig verschlüsselt CloudTrail die an Ihren Amazon-S3-Bucket gelieferten Protokolldateien mithilfe der serverseitigen Verschlüsselung von Amazon S3.

F: Ich habe eine Anwendung, die CloudTrail-Protokolldateien erfasst und verarbeitet. Muss ich Änderungen an meiner Anwendung vornehmen?

Mit SSE-KMS verschlüsselt Amazon S3 die Protokolldateien automatisch, sodass Sie keine Änderungen an Ihrer Anwendung vornehmen müssen. Wie immer müssen Sie sicherstellen, dass Ihre Anwendung über die geeigneten Berechtigungen verfügt, d. h. die Berechtigungen „Amazon S3 GetObject“ und „KMS Decrypt“.

F: Wie muss ich bei der Konfiguration der Verschlüsselung von CloudTrail-Protokolldateien vorgehen?

Sie können die AWS Management Console, AWS CLI oder die AWS SDKs verwenden, um die Verschlüsselung der Protokolldateien zu konfigurieren. Detaillierte Anweisungen finden Sie in der Dokumentation.

F: Welche Kosten entstehen, wenn ich die Verschlüsselung mithilfe von SSE-KMS konfiguriere?

Wenn Sie die Verschlüsselung mithilfe von SSE-KMS konfigurieren, entstehen die standardmäßigen AWS KMS-Kosten. Details finden Sie auf der AWS-KMS-Preisseite.

CloudTrail Log File Integrity Validation (Integritätsprüfung für Protokolldateien)

F: Worin besteht die Integritätsprüfung für CloudTrail-Protokolldateien?

Mit der Funktion zur Integritätsprüfung von CloudTrail-Protokolldateien können Sie ermitteln, ob eine CloudTrail-Protokolldatei seit der Übermittlung an den angegebenen Amazon-S3-Bucket unverändert geblieben ist, gelöscht oder geändert wurde.

F: Worin besteht der Nutzen der Integritätsprüfung von CloudTrail-Protokolldateien?

Sie können die Integritätsprüfung der Protokolldateien zur Unterstützung Ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.

F: Wie aktiviere ich die Integritätsprüfung für CloudTrail-Protokolldateien?

Sie können die Funktion zur Integritätsprüfung für CloudTrail-Protokolldateien von der AWS-Managementkonsole, über AWS CLI oder AWS-SDKs aktivieren.

F: Was geschieht, wenn ich die Funktion zur Integritätsprüfung für Protokolldateien aktiviere?

Sobald Sie die Funktion zur Integritätsprüfung der Protokolldateien aktiviert haben, liefert CloudTrail stündlich Digest-Dateien. Die Digest-Dateien enthalten Informationen über die Protokolldateien, die an Ihren Amazon S3-Bucket geliefert wurden, Hash-Werte für diese Protokolldateien, digitale Signaturen für die vorherigen Digest-Dateien und die digitale Signatur für die aktuelle Digest-Datei im Amazon S3-Metadatenabschnitt. Weitere Informationen über Digest-Dateien, digitale Signaturen und Hash-Werte finden Sie in der CloudTrail-Dokumentation.

F: Wohin werden die Digest-Dateien geliefert?

Die Digest-Dateien werden in demselben Amazon S3-Bucket gespeichert, in dem auch Ihre Protokolldateien gespeichert sind. Sie werden jedoch in einem anderen Ordner abgelegt, so dass Sie detaillierte Zugriffskontrollrichtlinien durchsetzen können. Weitere Informationen finden Sie im Abschnitt zur Struktur der Digest-Dateien in der CloudTrail-Dokumentation.

F: Wie kann ich die Integrität einer Protokolldatei oder Digest-Datei prüfen, die von CloudTrail geliefert wurde?

Sie können AWS CLI verwenden, um die Integrität einer Protokolldatei oder Digest-Datei zu prüfen. Sie können auch Ihre eigenen Tools zur Prüfung entwickeln. Weitere Informationen über die Verwendung von AWS CLI zur Prüfung der Integrität einer Protokolldatei finden Sie in der CloudTrail-Dokumentation.

F: Ich aggregiere alle meine Protokolldateien aus allen Regionen und mehreren Konten in einem einzigen Amazon-S3-Bucket. Werden die Digest-Dateien an den gleichen Amazon S3-Bucket geliefert?

Ja. CloudTrail liefert die Digest-Dateien aus allen Regionen und mehreren Konten an den gleichen Amazon-S3-Bucket.

AWS CloudTrail Processing Library

F: Was ist die AWS CloudTrail Processing Library?

AWS CloudTrail Processing Library ist eine Java-Bibliothek, die das Erstellen von Anwendungen für das Lesen und Verarbeiten von CloudTrail-Protokolldateien erleichtert. Sie können die CloudTrail Processing Library von GitHub herunterladen.

F: Welche Funktionalität bietet die CloudTrail Processing Library?

Die CloudTrail Processing Library bietet Funktionen zur Bewältigung von Aufgaben wie z.B. die kontinuierliche Abfrage einer SQS Warteschlange, das Lesen und Parsen von Amazon Simple Queue Service (SQS)-Nachrichten, das Herunterladen von in Amazon S3 gespeicherten Protokolldateien, und das Parsen und Serialisieren von Protokolldateiereignissen in einer fehlertoleranten Weise. Weitere Informationen finden Sie im Abschnitt Benutzerhandbuch der CloudTrail-Dokumentation.

F: Welche Software benötige ich, um die CloudTrail Processing Library zu verwenden?

Sie benötigen aws-java-sdk Version 1.9.3 und Java 1.7 oder höher.

Preise

F: Wie werden Gebühren für AWS CloudTrail berechnet?

Mit AWS CloudTrail können Sie die letzten 90 Tage der Verwaltungsereignisse Ihres Kontos kostenlos anzeigen, durchsuchen und herunterladen. Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Amazon S3 liefern, indem Sie einen Trail erstellen. Sobald ein CloudTrail Trail eingerichtet ist, fallen Amazon S3-Gebühren, die sich nach Ihrer Nutzung richten, an.

Sie können zusätzliche Exemplare von Ereignissen, einschließlich Datenereignissen, mithilfe von Trails bereitstellen. Für Datenereignisse oder zusätzliche Kopien von Verwaltungsereignissen werden Ihnen Gebühren berechnet. Weitere Informationen finden Sie auf unserer Preisübersicht-Seite.

F: Wenn ich nur einen Trail mit Managementereignissen habe und diesen auf alle Regionen anwende, fallen dann Gebühren an?

Nein. Die erste Kopie der Verwaltungsereignisse wird in jeder Region kostenlos bereitgestellt.

F: Werden mir Gebühren berechnet, wenn ich Datenereignisse für einen vorhandenen Pfad mit kostenlosen Verwaltungsereignisse aktiviere?

Ja. Ihnen werden nur die Datenereignisse in Rechnung gestellt. Die erste Kopie der Verwaltungsereignisse wird kostenlos bereitgestellt.

Partner

F: Wie helfen mir die AWS-Partnerlösungen bei der Analyse der von CloudTrail aufgezeichneten Ereignisse?

Mehrere Partner bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.

Sonstiges

F: Wirkt sich die Aktivierung von CloudTrail auf die Leistung meiner AWS-Ressourcen aus oder wird dadurch die Latenz von API-Aufrufen erhöht?

Nein. Das Aktivieren von CloudTrail hat keine Auswirkung auf die Leistung Ihrer AWS-Ressourcen oder die Latenz von API-Aufrufen.

Weitere Informationen zu AWS-CloudTrail-Partnern

Besuchen Sie die Partnerseite
Bereit zum Entwickeln?
Erste Schritte mit AWS CloudTrail
Haben Sie noch Fragen?
Kontakt