Общие вопросы

Вопрос: Что такое AWS CloudTrail?

AWS CloudTrail – это веб-сервис, который регистрирует действия в аккаунте пользователя и сохраняет файлы журналов в корзину Amazon S3.

Вопрос: Каковы преимущества использования сервиса CloudTrail?

Сервис CloudTrail позволяет осуществлять мониторинг действий пользователей в аккаунте. CloudTrail регистрирует важную информацию о каждом действии, включая имя пользователя, инициировавшего запрос, используемый сервис, выполненные действия и параметры этих действий, а также информацию о данных, возвращенных сервисом AWS. Эта информация позволяет отслеживать изменения ресурсов AWS и устранять операционные неполадки. С помощью CloudTrail вы легко обеспечите соответствие внутренним политикам и нормативным стандартам. Подробнее см. техническую документацию по соответствию AWS «Безопасность при любых масштабах: логи сервисов AWS».

Вопрос: Для кого предназначен сервис CloudTrail?

CloudTrail будет полезен для тех клиентов, которым требуется отслеживать изменения ресурсов, выполнять простейший анализ действий пользователей и анализ безопасности, а также обеспечивать соответствие требованиям или устранять неполадки.

Начало работы

Вопрос: Если я являюсь новым пользователем AWS или не настраивал CloudTrail, нужно ли мне что-либо настраивать, чтобы просматривать историю аккаунта?

Нет. Для просмотра истории аккаунта ничего настраивать не требуется. Историю аккаунта за последние девяносто дней можно посмотреть в Консоли AWS CloudTrail или с помощью интерфейса командной строки AWS.

Вопрос: В журнале CloudTrail Event отображаются все действия, выполненные в моем аккаунте?

AWS CloudTrail показывает только журнал CloudTrail Event за последние девяносто дней для текущего региона. Список поддерживаемых сервисов можно найти по этой ссылке. Этот журнал событий включает только события управления, выполненные посредством вызовов API create, modify и delete, а также действия на уровне аккаунта. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание в CloudTrail.

Вопрос: Какие поисковые фильтры доступны при просмотре истории аккаунта?

Можно задать интервал времени и следующие атрибуты: Event name, User name, Resource name, Event source, Event ID и Resource type.

Вопрос: Можно ли использовать операторы поиска в интерфейсе командной строки, если отслеживание событий не настроено?

Да. Чтобы просмотреть историю аккаунта за последние девяносто дней, перейдите в консоль CloudTrail или используйте API CloudTrail/интерфейс командной строки.

Вопрос: Какие дополнительные возможности станут доступны, если настроить CloudTrail и создать отслеживание событий?

Конфигурация отслеживания событий в CloudTrail позволяет сохранять события CloudTrail в сервисах Amazon S3, Amazon CloudWatch Logs и Amazon CloudWatch Events. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.

Вопрос: Можно ли ограничить доступ пользователей аккаунта к журналу CloudTrail Event?

Да. CloudTrail интегрирован с AWS Identity and Access Management (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Для такой настройки требуется удалить строку «cloudtrail:LookupEvents» из политики пользователя IAM. После этого такой пользователь не сможет просматривать историю аккаунта.

Вопрос: Взимается ли плата за включение журнала CloudTrail Event при создании аккаунта?

За использование журнала CloudTrail Event плата не начисляется.

Вопрос: Можно ли отключить в своем аккаунте журнал CloudTrail Event?

Для любого отслеживания, созданного пользователем, можно отключить ведение журнала или удалить связанные настройки, после чего действия аккаунта больше не будут сохраняться ни в корзину S3, ни в CloudWatch Logs, если такое сохранение было настроено. События уровня аккаунта за последние 90 дней будут собираться в любом случае; журнал будет доступен для просмотра в консоли CloudTrail или с помощью интерфейса командной строки AWS.

Поддержка сервисов и регионов

Вопрос: Какие сервисы поддерживает CloudTrail?

AWS CloudTrail регистрирует действия на уровне аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе CloudTrail Supported Services Руководства пользователя CloudTrail.

Вопрос: Записываются ли вызовы API, выполненные из Консоли управления AWS?

Да. CloudTrail записывает вызовы API, выполняемые из любого клиента. API AWS вызывают из Консоли управления AWS, с помощью AWS SDK или инструментов командной строки, а также из сервисов AWS более высокого уровня, и все эти вызовы можно записывать.

Вопрос: Где сохраняются и обрабатываются файлы журналов перед их сохранением в корзине Amazon S3?

Информация о действиях для сервисов с региональными конечными точками (EC2, RDS и т. д.) регистрируется и обрабатывается в том же регионе, в котором выполнено действие, и сохраняется в том регионе, к которому привязана соответствующая корзина Amazon S3. Информация о действиях для сервисов с отдельными конечными точками (IAM, STS и т. д.) захватывается в том регионе, где находится конечная точка, обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и сохраняется в том регионе, к которому привязана соответствующая корзина Amazon S3.

Применение отслеживания ко всем регионам

Вопрос: В чем заключается применение отслеживания по всем регионам?

Настройка отслеживания во всех регионах означает создание конфигурации отслеживания, которая будет регистрировать события в аккаунте AWS во всех регионах. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах см. на странице Amazon Resource Name и пространства имен сервисов AWS.

Вопрос: Каковы преимущества применения отслеживания по всем регионам?

Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. Действия, выполненные в аккаунте AWS по всем регионам, будут сохранены в одну корзину S3 или в группу журналов CloudWatch Logs. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.

Вопрос: Как применить отслеживание по всем регионам?

Чтобы применить отслеживание по всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для опции применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true.

Вопрос: Что произойдет при применении отслеживания по всем регионам?

При применении отслеживания по всем регионам сервис CloudTrail создаст новые отслеживания во всех регионах путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам AWS в одну корзину S3 и одну группу журналов CloudWatch Logs. При дополнительном указании темы SNS сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.

Вопрос: Можно ли применить существующее отслеживание по всем регионам?

Да, вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail.

Вопрос: Сколько времени занимает репликация настроек отслеживаний CloudTrail по всем регионам?

Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.

Несколько отслеживаний

Вопрос: Сколько отслеживаний можно создать в одном регионе AWS?

В регионе AWS можно создать до пяти отслеживаний. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается за одно отслеживание в каждом из них.

Вопрос: Каковы преимущества создания нескольких отслеживаний в регионе AWS?

Использование нескольких отслеживаний позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа KMS. Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.

Вопрос: Поддерживает ли сервис CloudTrail разрешения на уровне ресурсов?

Да, используя разрешения на уровне ресурсов, вы можете создать политики точного управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. Подробнее см. в документации CloudTrail.

Безопасность и срок действия

Вопрос: Как обеспечить безопасность файлов журналов CloudTrail?

По умолчанию файлы логов CloudTrail шифруются на стороне сервера с помощью механизма шифрования S3 SSE и помещаются в корзину хранилища S3. Вы можете контролировать доступ к этим файлам посредством политик IAM или политик корзины S3. Можно повысить уровень безопасности, включив для корзины S3 функцию удаления с использованием многофакторной аутентификации (MFA). Подробнее о создании и обновлении средств регистрации вызовов и событий см. документацию CloudTrail.

Вопрос: Где можно загрузить образец политики для корзины S3 или темы SNS?

Образец политики корзины S3 или политики темы SNS можно загрузить из корзины S3 CloudTrail. Перед тем как применить образцы политик к вашей корзине S3 или теме SNS, их необходимо обновить, дополнив соответствующей информацией.

Вопрос: В течение какого времени можно хранить файлы журналов с записью моих действий?

Вы самостоятельно определяете политики хранения логов CloudTrail. По умолчанию время хранения файлов логов не ограничено. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов сервиса Amazon S3. Например, старые файлы журналов можно удалять или архивировать в хранилище Amazon Glacier.

Полезные данные события, время и периодичность сохранения

Вопрос: Какая именно информация о событии доступна?

Событие содержит информацию о соответствующем действии: имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информацию о данных, возвращенных сервисом AWS. Подробнее см. раздел справочной информации о событиях CloudTrail в Руководстве пользователя.

Вопрос: Сколько времени занимает сохранение сервисом CloudTrail события, связанного с вызовом API?

Как правило, CloudTrail сохраняет информацию о событии в течение 15 минут после вызова API.

Вопрос: С какой периодичностью CloudTrail сохраняет файлы журналов в корзину Amazon S3?

CloudTrail сохраняет файлы логов в корзину S3 примерно через каждые пять минут. Если в аккаунте не выполнялись вызовы API, то CloudTrail не сохраняет файлы логов.

Вопрос: Можно ли настроить получение оповещений о сохранении новых файлов журналов в корзину Amazon S3?

Да. Вы можете включить оповещения Amazon SNS, что позволит принимать необходимые меры сразу же при появлении новых логов.

Вопрос: Что произойдет, если включить сервис CloudTrail для аккаунта, но не настроить корзину Amazon S3 в соответствии с корректной политикой?

Сохранение файлов журналов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журналов.

События, связанные с данными

Вопрос: Что такое события, связанные с данными?

События, связанные с данными, представляют собой сведения об операциях с ресурсами («плоскость данных»), выполняемых в отношении ресурсов или внутри самих ресурсов. Объем событий, связанных с данными, зачастую велик. К этим событиям относятся такие операции, как API Amazon S3 объектного уровня и API вызова функций Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. Подробности см. в разделе Цены на CloudTrail.

Вопрос: Как можно использовать события, связанные с данными?

События, которые связаны с данными и регистрируются сервисом AWS CloudTrail, сохраняются в S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в Amazon CloudWatch Events.

Вопрос: Что такое события, связанные с данными в Amazon S3? Как обеспечить их запись?

События, связанные с данными в Amazon S3, отражают действия API над объектами Amazon S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail.

Вопрос: Что такое события, связанные с данными в AWS Lambda? Как обеспечить их запись?

События, связанные с данными в AWS Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий, связанных с данными в Lambda, можно получить информацию о выполнении функций Lambda, например какой пользователь или сервис IAM сделал вызов Invoke API, когда был сделан вызов и какая функция была выполнена. Все события, связанные с данными Lambda, сохраняются в корзину Amazon S3 и Amazon CloudWatch Events. Включить регистрацию событий, связанных с данными в AWS Lambda, можно с помощью интерфейса командной строки AWS или консоли AWS CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться.

Агрегация файлов журналов

Вопрос: У меня есть несколько аккаунтов AWS. Мне хотелось бы настроить сохранение файлов журналов всех аккаунтов в одну корзину S3. Это возможно?

Да. Вы можете задать сохранение логов нескольких аккаунтов в одну корзину S3. Подробные инструкции см. в разделе об агрегации файлов журналов в одну корзину Amazon S3 «Руководства пользователя AWS CloudTrail».

Интеграция с CloudWatch Logs

Вопрос: В чем заключается интеграция CloudTrail с сервисом CloudWatch Logs?

Интеграция сервиса CloudTrail с CloudWatch Logs позволяет сохранять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch Logs указанной группы.

Вопрос: Каковы преимущества интеграции сервиса CloudTrail с CloudWatch Logs?

Эта интеграция позволяет получать оповещения SNS о действиях в аккаунте, зарегистрированных сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети.

Вопрос: Как включить интеграцию сервиса CloudTrail с CloudWatch Logs?

Чтобы включить интеграцию CloudTrail с функцией CloudWatch Logs, укажите в консоли CloudTrail группу логов CloudWatch Logs и роль IAM. Можно также воспользоваться AWS SDK или интерфейсом командной строки AWS.

Вопрос: Что произойдет при включении интеграции сервиса CloudTrail с CloudWatch Logs?

После включения интеграции сервис CloudTrail будет постоянно сохранять историю аккаунта в поток журналов CloudWatch Logs указанной группы. При этом, как и ранее, CloudTrail продолжит сохранять журналы в корзину Amazon S3.

Вопрос: В каких регионах AWS поддерживается интеграция сервиса CloudTrail с CloudWatch Logs?

Интеграция обеспечена в регионах, где поддерживается CloudWatch Logs. Дополнительную информацию см. в разделе Регионы и адреса Общих справочных материалов AWS.

Вопрос: Каким образом CloudTrail сохраняет события, содержащие действия в аккаунте, в журналы CloudWatch Logs?

Сервис CloudTrail сохраняет информацию о действиях в аккаунте в журналы CloudWatch Logs от имени указанной вами роли IAM. Вы наделяете роль IAM только теми разрешениями, которые требуются для сохранения событий в поток логов CloudWatch Logs. Инструкции по просмотру политики роли IAM см. в руководстве пользователя в документации CloudTrail.

Вопрос: Какие расходы влечет за собой включение интеграции сервиса CloudTrail с CloudWatch Logs?

После включения интеграции CloudTrail с функцией CloudWatch Logs начинают действовать стандартные тарифы CloudWatch Logs и CloudWatch. Подробнее см. на странице цен CloudWatch.

Шифрование файлов журналов CloudTrail с помощью AWS Key Management Service (KMS)

Вопрос: Каковы преимущества шифрования файлов журналов CloudTrail на стороне сервера с помощью KMS?

Шифрование лог-файлов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, сохраняемых в корзине Amazon S3. По умолчанию CloudTrail шифрует лог-файлы, сохраняемые в вашей корзине Amazon S3, посредством шифрования Amazon S3 на стороне сервера.

Вопрос: У меня есть приложение для импорта и обработки файлов журналов CloudTrail. Понадобится ли вносить в него изменения?

При использовании шифрования SSE-KMS сервис Amazon S3 автоматически дешифрует файлы журналов, поэтому вносить изменения в приложение не придется. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями Amazon S3 GetObject и KMS Decrypt.

Вопрос: Как настроить шифрование файлов журналов CloudTrail?

Чтобы настроить шифрование файлов журналов, воспользуйтесь Консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.

Вопрос: Какая плата взимается за использование шифрования на стороне сервера с помощью KMS?

За использование шифрования на стороне сервера с помощью KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее см. на странице цен на AWS KMS.

Проверка целостности файлов журналов CloudTrail

Вопрос: Что представляет собой проверка целостности файлов журналов CloudTrail?

Возможность проверки целостности файлов журналов CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине Amazon S3, без изменений или же были изменены или удалены.

Вопрос: Для чего нужна проверка целостности файлов журналов CloudTrail?

Возможность проверки целостности файлов журналов является вспомогательным средством в процессах ИТ-безопасности и аудита.

Вопрос: Как включить проверку целостности файлов журналов CloudTrail?

Чтобы включить проверку целостности файлов журналов CloudTrail, воспользуйтесь Консолью управления AWS, интерфейсом командной строки AWS или AWS SDK.

Вопрос: Что происходит при включении проверки целостности файлов журналов?

После включения функции проверки целостности лог-файлов CloudTrail начнет каждый час формировать файл дайджеста. Файл дайджест содержит информацию о лог-файлах, сохраненных в вашей корзине Amazon S3 и их хэш-значениях, цифровые подписи предыдущего файла дайджеста и собственную цифровую подпись в разделе метаданных Amazon S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях см. в документации CloudTrail.

Вопрос: Где сохраняются файлы дайджеста?

Файлы дайджеста сохраняются в той же корзине Amazon S3, что и лог-файлы. Но при этом они сохраняются в другой папке, что позволяет точно настраивать политики доступа. Подробнее см. раздел о структуре файлов дайджеста документации CloudTrail.

Вопрос: Как проверить целостность файла журнала или файла дайджеста, сохраненного CloudTrail?

Чтобы проверить целостность лог-файла или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности лог-файлов или обзорных файлов с помощью интерфейса командной строки AWS см. в документации CloudTrail.

Вопрос: Я собираю все свои файлов журналов из всех регионов и аккаунтов в одну корзину Amazon S3. Будут ли файлы дайджеста сохраняться в той же корзине Amazon S3?

Да, CloudTrail сохраняет файлы дайджеста из всех регионов и аккаунтов в одной и той же корзине Amazon S3.

Библиотека обработки AWS CloudTrail

Вопрос: Что такое библиотека обработки AWS CloudTrail?

Библиотека обработки AWS CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журналов CloudTrail. Библиотеку обработки CloudTrail можно загрузить с GitHub.

Вопрос: Какие функциональные возможности обеспечивает библиотека обработки CloudTrail?

Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и парсинг сообщений SQS, загрузка журналов, сохраненных в хранилище S3, отказоустойчивый парсинг и последовательная обработка событий в файле журнала. Дополнительные сведения см. в соответствующем разделе руководства пользователя документации CloudTrail.

Вопрос: Какое программное обеспечение требуется для работы с библиотекой обработки CloudTrail?

Вам потребуется пакет aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.

Цены

Вопрос: Как начисляется плата за использование AWS CloudTrail?

AWS CloudTrail позволяет бесплатно просматривать и загружать данные последних 90 дней активности аккаунта для создания, изменения и удаления операций поддерживаемых сервисов.

Плата за создание конфигурации отслеживания событий CloudTrail в сервисе AWS CloudTrail не взимается, а первая копия событий управления в каждом регионе сохраняется в корзину S3, указанную для отслеживания событий, бесплатно. После настройки отслеживания событий CloudTrail плата в Amazon S3 начисляется исходя из объема использования этой функции. Плата начисляется за каждое событие, связанное с данными, и за дополнительные копии событий управления, записанные в регионе, согласно опубликованным тарифам. Например, если внутри одного региона вы создали конфигурации отслеживания событий для одного и нескольких регионов, плата будет начисляться за копию событий управления в данном регионе.

Вопрос: Будет ли начисляться плата, если использовать одну конфигурацию отслеживания событий управления и применять ее ко всем регионам?

Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.

Вопрос: Будет ли начисляться плата, если в существующей конфигурации, в которой бесплатно отслеживаются события управления, включить регистрацию событий, связанных с данными?

Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно.

Партнеры

Вопрос: Каким образом решения, предоставляемые партнерами AWS, помогают выполнять анализ событий, записанных сервисом CloudTrail?

Многие партнеры AWS предлагают интегрированные решения для анализа логов CloudTrail. Эти решения предоставляют такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Подробнее см. в разделе о партнерах CloudTrail.

Прочие вопросы

Вопрос: Отражается ли использование сервиса CloudTrail на производительности ресурсов AWS и может ли оно увеличить время задержки при выполнении вызовов API?

Нет. Использование сервиса CloudTrail не влияет на производительность ресурсов AWS и на время задержки при выполнении вызовов API.

Подробнее о партнерах по AWS CloudTrail

Перейти на страницу партнеров
Готовы приступить?
Начать работу с AWS CloudTrail
Есть вопросы?
Свяжитесь с нами