Общие вопросы

Вопрос. Что такое AWS CloudTrail?

AWS CloudTrail – это веб-сервис, который регистрирует действия в аккаунте пользователя и сохраняет файлы журналов в корзину Amazon S3.

Вопрос. Каковы преимущества использования сервиса CloudTrail?

Сервис CloudTrail позволяет осуществлять мониторинг действий пользователей в аккаунте. CloudTrail регистрирует важную информацию о каждом действии, включая имя пользователя, инициировавшего запрос, используемый сервис, выполненные действия и параметры этих действий, а также информацию о данных, возвращенных сервисом AWS. Эта информация позволяет отслеживать изменения ресурсов AWS и устранять операционные неполадки. CloudTrail упрощает обеспечение соответствия требованиям внутренних политик и нормативных стандартов. Дополнительную информацию см. в техническом описании AWS, касающемся соответствия требованиям, – Безопасность при любых масштабах: ведение журналов в AWS.

Вопрос. Для кого предназначен сервис CloudTrail?

CloudTrail будет полезен для тех клиентов, которым требуется отслеживать изменения ресурсов, выполнять простейший анализ действий пользователей и анализ безопасности, а также обеспечивать соответствие требованиям или устранять неполадки.

Начало работы

Вопрос. Если я являюсь новым пользователем AWS или не настраивал CloudTrail, нужно ли мне что-либо настраивать, чтобы просматривать историю аккаунта?

Нет. Для просмотра истории аккаунта ничего настраивать не требуется. Историю аккаунта за последние 90 дней можно посмотреть в консоли AWS CloudTrail или с помощью интерфейса командной строки AWS.

Вопрос. В журнале событий CloudTrail отображается вся история моего аккаунта?

AWS CloudTrail показывает только журнал событий CloudTrail за последние 90 дней для текущего региона. Список поддерживаемых сервисов можно найти, перейдя по этой ссылке. Этот журнал событий включает только события управления, выполненные посредством вызовов API create, modify и delete, а также историю аккаунта. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание в CloudTrail.

Вопрос. Какие поисковые фильтры доступны при просмотре истории аккаунта?

Можно задать интервал времени и следующие атрибуты: Event name, User name, Resource name, Event source, Event ID и Resource type.

Вопрос. Можно ли использовать операторы поиска в интерфейсе командной строки, если отслеживание событий не настроено?

Да. Чтобы просмотреть историю аккаунта за последние 90 дней, перейдите в консоль CloudTrail или используйте API CloudTrail/интерфейс командной строки.

Вопрос. Какие дополнительные возможности станут доступны, если настроить CloudTrail и создать отслеживание событий?

Конфигурация отслеживания событий в CloudTrail позволяет сохранять события CloudTrail в сервисах Amazon S3, Amazon CloudWatch Logs и Amazon CloudWatch Events. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.

Вопрос. Можно ли ограничить доступ пользователей аккаунта к журналу событий CloudTrail?

Да. CloudTrail интегрирован с AWS Identity and Access Management (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Для такой настройки требуется удалить строку «cloudtrail:LookupEvents» из политики пользователя IAM. После этого такой пользователь не сможет просматривать историю аккаунта.

Вопрос. Взимается ли плата за включение журнала событий CloudTrail при создании аккаунта?

За использование журнала событий CloudTrail плата не начисляется.

Вопрос. Можно ли отключить в своем аккаунте журнал событий CloudTrail?

Для любого отслеживания, созданного пользователем, можно отключить ведение журнала или удалить связанные настройки, после чего история аккаунта больше не будет доставляться ни в корзину S3, ни в CloudWatch Logs, если такая доставка была настроена. История аккаунта за последние 90 дней будет собираться в любом случае; журнал будет доступен для просмотра в консоли CloudTrail или с помощью интерфейса командной строки AWS.

Поддержка сервисов и регионов

Вопрос. Какие сервисы поддерживает CloudTrail?

AWS CloudTrail регистрирует историю аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе Сервисы, поддерживаемые CloudTrail руководства пользователя CloudTrail.

Вопрос. Записываются ли вызовы API, выполненные из консоли управления AWS?

Да. CloudTrail записывает вызовы API, выполненные из любого клиента. Консоль управления AWS, пакеты SDK AWS, инструменты командной строки и сервисы AWS более высокого уровня выполняют вызовы API, поэтому они записываются.

Вопрос. Где сохраняются и обрабатываются файлы журналов перед их сохранением в корзине Amazon S3?

Информация о действиях для сервисов с региональными конечными точками (EC2, RDS и т. д.) регистрируется и обрабатывается в том же регионе, в котором выполнено действие, и доставляется в тот регион, к которому привязана соответствующая корзина Amazon S3. Информация о действиях для сервисов с отдельными конечными точками (IAM, STS и т. д.) регистрируется в том регионе, где находится конечная точка, обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и доставляется в тот регион, к которому привязана соответствующая корзина Amazon S3.

Применение отслеживания ко всем регионам

Вопрос. В чем заключается применение отслеживания ко всем регионам?

Настройка отслеживания во всех регионах означает создание конфигурации отслеживания, которая будет регистрировать историю аккаунта AWS во всех регионах. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах описано на странице об именах Amazon Resource Name и пространствах имен сервисов AWS.

Вопрос. Каковы преимущества применения отслеживания ко всем регионам?

Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. История аккаунта AWS для всех регионов будет сохраняться в одной корзине S3 или в группе журналов CloudWatch Logs. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.

Вопрос. Как применить отслеживание ко всем регионам?

Чтобы применить отслеживание ко всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для параметра применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true.

Вопрос. Что произойдет при применении отслеживания ко всем регионам?

При применении отслеживания по всем регионам сервис CloudTrail создаст новое отслеживание для всех регионов путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам AWS в одну корзину S3 и одну группу журналов CloudWatch Logs. При дополнительном указании темы SNS сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.

Вопрос. Можно ли применить существующее отслеживание ко всем регионам?

Да. Вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали варианты отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail.

Вопрос. Сколько времени занимает репликация настроек отслеживания CloudTrail во все регионы?

Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.

Множество вариантов отслеживания

Вопрос. Сколько вариантов отслеживания можно создать в одном регионе AWS?

В регионе AWS можно создать до пяти вариантов отслеживания. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается одним отслеживанием в каждом из них.

Вопрос. Каковы преимущества создания множества вариантов отслеживания в регионе AWS?

Использование множества вариантов отслеживания позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные варианты отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа KMS. Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.

Вопрос. Поддерживает ли сервис CloudTrail разрешения на уровне ресурсов?

Да. Используя разрешения на уровне ресурсов, вы можете создать подробные политики управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. Подробнее описано в документации по CloudTrail.

Безопасность и срок действия

Вопрос. Как обеспечить безопасность файлов журналов CloudTrail?

По умолчанию файлы журнала CloudTrail зашифрованы с помощью шифрования на стороне сервера S3 (SSE) и хранятся в корзине S3. Вы можете управлять доступом к файлам журнала с помощью политик корзин IAM или S3. Вы можете создать дополнительный уровень безопасности, включив функцию удаления с использованием многофакторной аутентификации (MFA) в корзине S3. Дополнительную информацию о создании и обновлении отслеживания см. в документации по CloudTrail.

Вопрос. Где можно загрузить образец политики для корзины S3 или темы SNS?

Образец политики корзины S3 и политики темы SNS можно загрузить из корзины CloudTrail S3. Вам нужно добавить свою информацию в образцы политик, прежде чем применять их к корзине S3 или теме SNS.

Вопрос. В течение какого времени можно хранить файлы журналов с записью моих действий?

Вы управляете политиками хранения для файлов журнала CloudTrail. По умолчанию срок хранения файлов журнала не ограничен. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов для Amazon S3. Например, старые файлы журнала можно удалять или архивировать в хранилище Amazon Glacier.

Полезные данные события, время и периодичность сохранения

Вопрос. Какая именно информация о событии доступна?

Событие содержит информацию о соответствующем действии, то есть определяются имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информация о данных, возвращенных сервисом AWS. Дополнительную информацию см. в справочной информации о событиях CloudTrail в руководстве пользователя.

Вопрос. Сколько времени занимает сохранение сервисом CloudTrail события, связанного с вызовом API?

Как правило, CloudTrail сохраняет информацию о событии в течение 15 минут после вызова API.

Вопрос. С какой периодичностью CloudTrail доставляет файлы журнала в корзину Amazon S3?

CloudTrail доставляет файлы журнала в корзину S3 приблизительно каждые 5 минут. CloudTrail не доставляет файлы журнала, если в случае вашего аккаунта не выполнены вызовы API.

Вопрос. Можно ли настроить получение оповещений о доставке новых файлов журналов в корзину Amazon S3?

Да. Вы можете включить оповещения Amazon SNS, чтобы сразу реагировать на доставку новых файлов журнала.

Вопрос. Что произойдет, если включить сервис CloudTrail для аккаунта, но не настроить корзину Amazon S3 в соответствии с корректной политикой?

Сохранение файлов журналов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журнала.

События, связанные с данными

Вопрос. Что такое события, связанные с данными?

События, связанные с данными, содержат сведения об операциях («плоскость данных»), выполненных с ресурсом или в рамках ресурса. Объем событий, связанных с данными, зачастую велик. К этим событиям относятся такие операции, которые касаются API Amazon S3 объектного уровня и API вызова функций Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. Подробнее описано на странице цен на CloudTrail.

Вопрос. Как можно использовать события, связанные с данными?

События, которые связаны с данными и регистрируются сервисом AWS CloudTrail, сохраняются в S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в Amazon CloudWatch Events.

Вопрос. Что такое события, связанные с данными в Amazon S3? Как обеспечить их регистрацию?

События, связанные с данными в Amazon S3, отражают действия API над объектами Amazon S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail.

Вопрос. Что такое события, связанные с данными в AWS Lambda? Как обеспечить их регистрацию?

События, связанные с данными в AWS Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий, связанных с данными в Lambda, можно получить информацию о выполнении функций Lambda (например, сведения о том, какой пользователь или сервис IAM сделал вызов Invoke API, когда был сделан вызов и какая функция была выполнена). Сведения о всех событиях, связанных с данными Lambda, доставляются в корзину Amazon S3 и Amazon CloudWatch Events. Включить регистрацию событий, связанных с данными в AWS Lambda, можно с помощью интерфейса командной строки AWS или консоли AWS CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться.

Агрегация файлов журнала

Вопрос. У меня есть множество аккаунтов AWS. Мне хотелось бы настроить доставку файлов журнала всех аккаунтов в одну корзину S3. Это возможно?

Да. Вы можете настроить одну корзину S3 для доставки файлов для множества аккаунтов. Подробные инструкции см. в разделе об агрегации файлов журнала в одну корзину Amazon S3 руководства пользователя AWS CloudTrail.

Интеграция с CloudWatch Logs

Вопрос. В чем заключается интеграция CloudTrail с сервисом CloudWatch Logs?

Интеграция сервиса CloudTrail с CloudWatch Logs позволяет доставлять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch Logs указанной группы.

Вопрос. Каковы преимущества интеграции сервиса CloudTrail с CloudWatch Logs?

Эта интеграция позволяет получать оповещения SNS об истории аккаунта, зарегистрированной сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети.

Вопрос. Как включить интеграцию сервиса CloudTrail с CloudWatch Logs?

Вы можете включить интеграцию CloudTrail с CloudWatch Logs из консоли CloudTrail, указав группу журнала CloudWatch Logs и роль IAM. Кроме того, чтобы включить интеграцию, вы можете использовать пакеты SDK AWS и интерфейс командной строки AWS.

Вопрос. Что произойдет при включении интеграции сервиса CloudTrail с CloudWatch Logs?

После включения интеграции сервис CloudTrail будет постоянно доставлять историю аккаунта в поток журналов CloudWatch Logs указанной группы. При этом, как и ранее, CloudTrail продолжит доставлять журналы в корзину Amazon S3.

Вопрос. В каких регионах AWS поддерживается интеграция сервиса CloudTrail с CloudWatch Logs?

Интеграция обеспечена в регионах, где поддерживается CloudWatch Logs. Дополнительную информацию см. в разделе Регионы и конечные точки общих справочных материалов AWS.

Вопрос. Каким образом CloudTrail доставляет события, включающие историю аккаунта, в журналы CloudWatch Logs?

Сервис CloudTrail доставляет историю аккаунта в журналы CloudWatch Logs от имени указанной вами роли IAM. Следует ограничить роль IAM, указав лишь разрешения, необходимые для доставки событий в поток журнала CloudWatch Logs. Обзор политики роли IAM см. в руководстве пользователя из документации по CloudTrail.

Вопрос. Какие расходы влечет за собой включение интеграции сервиса CloudTrail с CloudWatch Logs?

После включения интеграции CloudTrail с CloudWatch Logs вы оплачиваете CloudWatch Logs и CloudWatch по стандартным тарифам. Подробнее описано на странице цен на CloudWatch.

Шифрование файлов журнала CloudTrail с помощью AWS Key Management Service (KMS)

Вопрос. Каковы преимущества шифрования файлов журнала CloudTrail на стороне сервера с помощью KMS?

Шифрование файлов журналов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, доставляемых в корзину Amazon S3. По умолчанию CloudTrail шифрует файлы журналов, доставляемые в корзину Amazon S3, посредством шифрования Amazon S3 на стороне сервера.

Вопрос. У меня есть приложение для импорта и обработки файлов журналов CloudTrail. Понадобится ли вносить в него изменения?

При использовании шифрования SSE-KMS сервис Amazon S3 автоматически дешифрует файлы журнала, поэтому вносить изменения в приложение не придется. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями Amazon S3 GetObject и KMS Decrypt.

Вопрос. Как настроить шифрование файлов журнала CloudTrail?

Чтобы настроить шифрование файлов журнала, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.

Вопрос. Какая плата взимается за использование шифрования на стороне сервера с помощью KMS?

За использование шифрования на стороне сервера с помощью KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее описано на странице цен на AWS KMS.

Проверка целостности файлов журнала CloudTrail

Вопрос. Что представляет собой проверка целостности файлов журнала CloudTrail?

Возможность проверки целостности файлов журнала CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине Amazon S3, без изменений или же были изменены или удалены.

Вопрос. Для чего нужна проверка целостности файлов журнала CloudTrail?

Возможность проверки целостности файлов журнала является вспомогательным средством в процессах ИТ-безопасности и аудита.

Вопрос. Как включить проверку целостности файлов журнала CloudTrail?

Чтобы включить проверку целостности файлов журнала CloudTrail, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK.

Вопрос. Что происходит при включении проверки целостности файлов журнала?

После включения функции проверки целостности файлов журнала CloudTrail начнет каждый час формировать файл дайджеста. Файл дайджеста содержит информацию о файлах журнала, доставленных в корзину Amazon S3, и их хэш-значениях, цифровые подписи предыдущего файла дайджеста и собственную цифровую подпись в разделе метаданных Amazon S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях описано в документации по CloudTrail.

Вопрос. Куда доставляются файлы дайджеста?

Файлы дайджеста доставляются в ту же корзину Amazon S3, что и файлы журнала. Но при этом они доставляются в другую папку, что позволяет точно настраивать политики доступа. Подробнее описано в разделе о структуре файлов дайджеста документации по CloudTrail.

Вопрос. Как проверить целостность файла журнала или файла дайджеста, сохраненного CloudTrail?

Чтобы проверить целостность файла журнала или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности файлов журнала или файлов дайджеста с помощью интерфейса командной строки AWS см. в документации по CloudTrail.

Вопрос. Я собираю все свои файлов журнала из всех регионов и аккаунтов в одной корзине Amazon S3. Будут ли файлы дайджеста доставляться в ту же корзину Amazon S3?

Да. CloudTrail доставляет файлы дайджеста из всех регионов и аккаунтов в одну и ту же корзину Amazon S3.

Библиотека обработки AWS CloudTrail

Вопрос. Что такое библиотека обработки AWS CloudTrail?

Библиотека обработки AWS CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журнала CloudTrail. Библиотеку обработки CloudTrail можно загрузить на GitHub.

Вопрос. Какие функциональные возможности обеспечивает библиотека обработки CloudTrail?

Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и парсинг сообщений SQS, загрузка журналов, сохраненных в хранилище S3, отказоустойчивый парсинг и последовательная обработка событий в файле журнала. Дополнительную информацию см. в соответствующем разделе руководства пользователя, приведенном в документации по CloudTrail.

Вопрос. Какое программное обеспечение требуется для работы с библиотекой обработки CloudTrail?

Вам потребуется пакет aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.

Цены

Вопрос. Как начисляется плата за использование AWS CloudTrail?

AWS CloudTrail позволяет бесплатно просматривать и загружать данные последних 90 дней истории аккаунта для создания, изменения и удаления операций поддерживаемых сервисов.

Плата за создание конфигурации отслеживания событий CloudTrail в сервисе AWS CloudTrail не взимается, а первая копия событий управления в каждом регионе доставляется в корзину S3, указанную для отслеживания событий, бесплатно. После настройки отслеживания событий CloudTrail плата в Amazon S3 начисляется с учетом объема использования этой функции. Плата начисляется за каждое событие, связанное с данными, и за дополнительные копии событий управления, записанные в регионе, согласно опубликованному плану оплаты. Например, если в одном регионе вы создали конфигурации отслеживания событий для одного и множества регионов, плата будет начисляться за копию событий управления в данном регионе.

Вопрос. Будет ли начисляться плата, если использовать одну конфигурацию отслеживания событий управления и применять ее ко всем регионам?

Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.

Вопрос. Будет ли начисляться плата, если в существующей конфигурации, в которой бесплатно отслеживаются события управления, включить регистрацию событий, связанных с данными?

Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно.

Партнеры

Вопрос. Каким образом решения, предоставляемые партнерами AWS, помогают выполнять анализ событий, записанных сервисом CloudTrail?

Множество партнеров предлагают интегрированные решения для анализа файлов журнала CloudTrail. Эти решения включают такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Дополнительную информацию см. в разделе партнеров CloudTrail.

Прочее

Вопрос. Отражается ли использование сервиса CloudTrail на производительности ресурсов AWS и может ли оно увеличить время задержки при выполнении вызовов API?

Нет. Включение CloudTrail не влияет на производительность ресурсов AWS или задержку при выполнении вызовов API.

Подробнее о партнерах по AWS CloudTrail

Перейти на страницу партнеров
Готовы приступить к разработке?
Начать работу с AWS CloudTrail
Возникли дополнительные вопросы?
Свяжитесь с нами