AWS CloudTrail позволяет упростить управление, обеспечение соответствия требованиям и аудит рисков. CloudTrail ускоряет анализ операционных проблем и проблем в области безопасности, обеспечивая мониторинг вызовов API и других действий в конкретном аккаунте AWS. CloudTrail интегрирован с CloudWatch Logs, поддерживает использование в нескольких регионах и проверку целостности файлов журналов. Сервис предоставляет подробные, защищенные и доступные для поиска исторические данные о действиях, выполненных с помощью Консоли управления AWS, SDK AWS, инструментов командной строки и других сервисов AWS.

Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Получите доступ к уровню бесплатного пользования AWS на год, включая преимущества базовой поддержки: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.

Простая настройка

AWS CloudTrail включен во всех аккаунтах AWS и начинает записывать действия в аккаунте с момента его создания. Просматривать и загружать историю аккаунта за последние девяносто дней, содержащую операции создания, изменения и удаления в поддерживаемых сервисах можно сразу, без дополнительной настройки CloudTrail вручную.

Простая настройка

Сервис позволяет просматривать историю недавних действий в аккаунте AWS, выполнять поиск по ней, а также загружать ее на свой компьютер. Это позволяет отслеживать изменения ресурсов, используемых аккаунтом AWS, чтобы повысить безопасность процессов, а также упростить разрешение оперативных проблем.

100x100_benefit_managed-deployment1

Можно сконфигурировать AWS CloudTrail на доставку файлов журналов для одного аккаунта из нескольких регионов в одну корзину Amazon S3. Конфигурация, применяемая ко всем регионам, обеспечивает единообразное применение всех настроек ко всем существующим и вновь запущенным регионам. Подробные инструкции см. в разделе Сбор файлов журналов CloudTrail в одну корзину Amazon S3 Руководства пользователя AWS CloudTrail.

 

 

Карта сервиса

Можно проверить целостность файлов журналов AWS CloudTrail, хранящихся в корзине Amazon S3, и удостовериться в том, что файлы журналов не были изменены или удалены после того, как CloudTrail доставил их в корзину Amazon S3. Проверка целостности файлов журналов может использоваться в технологиях обеспечения ИТ-безопасности и аудита.

 

Аннотирование и фильтрация данных

По умолчанию CloudTrail шифрует все файлы журналов, доставляемые в указанную вами корзину Amazon S3, с помощью шифрования Amazon S3 на стороне сервера (SSE). При желании можно защитить файлы журналов CloudTrail с помощью дополнительного уровня безопасности, шифруя файлы журналов с использованием ключа AWS Key Management Service (AWS KMS). Amazon S3 автоматически дешифрует файлы журналов при наличии у пользователя разрешения на дешифрование. Подробнее об этом см. в разделе Шифрование файлов журналов с помощью ключа KMS.

 

Консоль и программный доступ

События, связанные с данными, содержат сведения об операциях («плоскость данных»), выполненных с ресурсом или в рамках ресурса. Такие события часто бывают крупномасштабными и включают такие операции, как API уровня объектов Amazon S3 и API вызова функций AWS Lambda. Например, можно занести в журнал действия API с объектами Amazon S3 и получить подробную информацию, такую как аккаунт AWS, роль пользователя IAM, IP-адрес оператора, время вызова API и др. Кроме того, можно записывать действия Lambda и получать сведения о выполнении функций Lambda. Например, можно узнать, какие пользователи или службы IAM обратились к функции вызова API, когда был вызов и какая функция была выполнена.

Безопасность

События управления дают сведения об операциях управления («плоскость управления») с ресурсами аккаунта пользователя AWS. Например, можно занести в журнал административные действия, такие как создание, удаление и изменение инстансов Amazon EC2. О каждом событии можно получить такие сведения, как аккаунт AWS, роль пользователя IAM, IP-адрес пользователя, который вызвал действие, время действия, а также затронутые ресурсы.

Простая настройка

Можно воспользоваться функцией оповещения корзины Amazon S3 для выдачи указания Amazon S3 о публикации событий уровня объектов в AWS Lambda. Когда CloudTrail записывает журналы в корзину S3, Amazon S3 может вызвать пользовательскую функцию Lambda для обработки записей о доступе, добавляемых в журнал сервисом CloudTrail.

Простая настройка

Интеграция AWS CloudTrail с Amazon CloudWatch Logs позволяет отправлять события управления и события, связанные с данными, в журналы CloudWatch Logs. В CloudWatch Logs можно создавать фильтры метрик для мониторинга и поиска событий, а также для потоковой передачи событий в другие сервисы AWS, такие как AWS Lambda и Amazon Elasticsearch.

Простая настройка

Интеграция AWS CloudTrail с Amazon CloudWatch Events позволяет автоматически реагировать на изменения в ресурсах AWS. С помощью CloudWatch Events можно определить действия, которые следует выполнить, кода AWS CloudTrail регистрирует в журнале конкретное событие. Например, если CloudTrail записывает в журнал изменение в группе безопасности Amazon EC2, например добавление нового правила входа, можно создать правило CloudWatch Events, посылающее это действие в функцию AWS Lambda. После этого Lambda может запускать рабочий процесс, создающий заявку в вашей системе технической поддержки.