Вопрос: Что такое AWS CloudTrail?
AWS CloudTrail – это веб-сервис, который регистрирует действия в аккаунте пользователя и сохраняет файлы журналов в корзину Amazon S3.

Вопрос: Каковы преимущества использования сервиса CloudTrail?
Сервис CloudTrail позволяет осуществлять мониторинг действий пользователей в аккаунте. CloudTrail регистрирует важную информацию о каждом действии, включая имя пользователя, инициировавшего запрос, используемый сервис, выполненные действия и параметры этих действий, а также информацию о данных, возвращенных сервисом AWS. Эта информация позволяет отслеживать изменения ресурсов AWS и устранять операционные неполадки. С помощью CloudTrail вы легко обеспечите соответствие внутренним политикам и нормативным стандартам. Подробнее см. техническую документацию по соответствию AWS «Безопасность при любых масштабах: логи сервисов AWS».

Вопрос: Для кого предназначен сервис CloudTrail?
CloudTrail будет полезен для тех клиентов, которым требуется отслеживать изменения ресурсов, выполнять простейший анализ действий пользователей и анализ безопасности, а также обеспечивать соответствие требованиям или устранять неполадки.


Вопрос: Если я являюсь новым пользователем AWS или не настраивал CloudTrail, нужно ли мне настраивать что-либо, чтобы просматривать историю аккаунта?
Нет. Для просмотра истории аккаунта настраивать ничего не требуется. Историю аккаунта за последние семь дней можно посмотреть в Консоли AWS CloudTrail или с помощью интерфейса командной строки AWS.

Вопрос: В истории событий CloudTrail отображаются все действия, выполненные в моем аккаунте?
AWS CloudTrail показывает только события CloudTrail за последние семь дней для текущего региона. Список поддерживаемых сервисов можно найти по этой ссылке. Эти события включают только события управления с вызовами API для создания, изменения или удаления, а также действия в аккаунте. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание событий CloudTrail.

Вопрос: Какие поисковые фильтры доступны при просмотре истории аккаунта?
Можно задать интервал времени и следующие атрибуты: имя события, имя пользователя, имя ресурса, источник события, идентификатор события и тип ресурса.

Вопрос: Можно ли использовать операторы поиска командной строки, если у меня не настроено отслеживание событий?
Да. Чтобы просмотреть историю аккаунта за последние семь дней, перейдите в Консоль CloudTrail или используйте CloudTrail API либо командную строку.

Вопрос: Какие дополнительные возможности станут доступны, если настроить CloudTrail и создать конфигурацию отслеживания событий?
Конфигурация отслеживания событий в CloudTrail позволяет сохранять события CloudTrail в сервисах Amazon S3, Amazon CloudWatch Logs и Amazon CloudWatch Events. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.

Вопрос: Могу ли я ограничить доступ к функции CloudTrail Event History пользователям своего аккаунта?
Да. CloudTrail интегрирован с AWS Identity and Access Management (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Для такой настройки требуется удалить строку «cloudtrail:LookupEvents» из политики пользователя IAM. После этого такой пользователь не сможет просматривать историю аккаунта.

Вопрос: Взимается ли какая-либо плата за включение истории событий CloudTrail при создании аккаунта?
За использование истории событий CloudTrail плата не взимается.

Вопрос: Могу ли я выключить в своем аккаунте истории событий CloudTrail?
Можно отключить ведение журнала для любого отслеживания, созданного пользователем, или удалить связанные конфигурации, после этого история аккаунта больше не будет сохраняться ни в корзину S3, ни в CloudWatch Logs, если такое сохранение было настроено. История аккаунта за последние семь дней все равно будет собираться, и ее можно будет посмотреть в Консоли CloudTrail или с помощью интерфейса командной строки AWS.  


Вопрос: Какие сервисы поддерживает CloudTrail?
AWS CloudTrail регистрирует действия на уровне аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе Сервисы, поддерживаемые CloudTrail Руководства пользователя CloudTrail.

Вопрос: Записываются ли вызовы API, выполняемые из Консоли управления AWS?
Да. CloudTrail записывает вызовы API, выполняемые из любого клиента. API AWS вызывают из Консоли управления AWS, с помощью AWS SDK или инструментов командной строки, а также из сервисов AWS более высокого уровня, и все эти вызовы можно записывать.


Вопрос: Где сохраняются и обрабатываются файлы журналов перед их сохранением в корзине Amazon S3?
Информация о действиях для сервисов с региональными конечными точками (EC2, RDS и т. д.) регистрируется и обрабатывается в том же регионе, в котором выполнено действие, и сохраняется в том регионе, к которому привязана соответствующая корзина Amazon S3. Информация о действиях для сервисов с отдельными конечными точками (IAM, STS и т. д.) захватывается в том регионе, где находится конечная точка, обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и сохраняется в том регионе, к которому привязана соответствующая корзина Amazon S3.


Вопрос: В чем заключается применение отслеживания по всем регионам?
Настройка отслеживания во всех регионах означает создание конфигурации отслеживания, которая будет регистрировать события в аккаунте AWS во всех регионах. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах см. на странице Amazon Resource Names и пространства имен сервисов AWS.

Вопрос: Каковы преимущества применения отслеживания по всем регионам?
Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. Действия, выполненные в аккаунте AWS по всем регионам, будут сохранены в одну корзину S3 или в группу журналов CloudWatch Logs. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.

Вопрос: Как применить отслеживание по всем регионам?
Чтобы применить отслеживание по всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для опции применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true.

Вопрос: Что произойдет при применении отслеживания по всем регионам?
При применении отслеживания по всем регионам сервис CloudTrail создаст новые отслеживания во всех регионах путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам AWS в одну корзину S3 и одну группу журналов CloudWatch Logs. При дополнительном указании темы SNS сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.

Вопрос: Можно ли применить существующее отслеживание ко всем регионам?
Да, вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail.

Вопрос: Как долго сервис CloudTrail реплицирует конфигурации отслеживаний во все регионы?
Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.


Вопрос: Сколько отслеживаний можно создать в одном регионе AWS?
В регионе AWS можно создать до пяти отслеживаний. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается за одно отслеживание в каждом из них.

Вопрос: Каковы преимущества создания нескольких отслеживаний в регионе AWS?
Использование нескольких отслеживаний позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа KMS. Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.

Вопрос: Поддерживает ли сервис CloudTrail разрешения на уровне ресурсов?
Да, используя разрешения на уровне ресурсов, вы можете создать политики точного управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. Подробнее см. в документации CloudTrail.


Вопрос: Как обеспечить безопасность файлов журналов CloudTrail?
По умолчанию файлы логов CloudTrail шифруются на стороне сервера с помощью механизма шифрования S3 SSE и помещаются в корзину хранилища S3. Вы можете контролировать доступ к этим файлам посредством политик IAM или политик корзины S3. Можно повысить уровень безопасности, включив для корзины S3 функцию удаления с использованием многофакторной аутентификации (MFA). Подробнее о создании и обновлении средств регистрации вызовов и событий см. документацию CloudTrail.

Вопрос: Где можно загрузить образец политики корзины S3 или темы SNS?
Образец политики корзины S3 или политики темы SNS можно загрузить из корзины S3 CloudTrail. Перед тем как применить образцы политик к вашей корзине S3 или теме SNS, их необходимо обновить, дополнив соответствующей информацией.

Вопрос: В течение какого времени можно хранить файлы журналов с записью моих действий?
Вы самостоятельно определяете политики хранения логов CloudTrail. По умолчанию время хранения файлов логов не ограничено. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов сервиса Amazon S3. Например, старые файлы журналов можно удалять или архивировать в хранилище Amazon Glacier.


Вопрос: Какая именно информация о событии предоставляется?
Событие содержит информацию о соответствующем действии: имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информацию о данных, возвращенных сервисом AWS. Подробнее см. раздел справочной информации о событиях CloudTrail в Руководстве пользователя.

Вопрос: Сколько времени занимает сохранение сервисом CloudTrail события, связанного с вызовом API?
Как правило, CloudTrail сохраняет информацию о событии в течение 15 минут после вызова API.

Вопрос: Как часто CloudTrail сохраняет файлы журналов в корзину Amazon S3?
CloudTrail сохраняет файлы логов в корзину S3 примерно через каждые пять минут. Если в аккаунте не выполнялись вызовы API, то CloudTrail не сохраняет файлы логов.

Вопрос: Можно ли настроить получение оповещений о сохранении новых файлов журналов в корзину Amazon S3?
Да. Вы можете включить оповещения Amazon SNS, что позволит принимать необходимые меры сразу же при появлении новых логов.

Вопрос: Что произойдет, если сервис CloudTrail для аккаунта включен, но корзина Amazon S3 не настроена в соответствии с корректной политикой?
Сохранение файлов логов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журналов.


Вопрос: Что такое события, связанные с изменением данных?
События, связанные с данными, представляют собой сведения об операциях с ресурсами («плоскость данных»), выполняемых в отношении ресурсов или внутри самих ресурсов. Объем событий, связанных с данными, зачастую велик. К этим событиям относятся такие операции, как API Amazon S3 объектного уровня и API вызова функций Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. Подробности см. в разделе Цены на CloudTrail.

Вопрос: Как можно использовать события, связанные с данными?
События, которые связаны с данными и регистрируются сервисом AWS CloudTrail, сохраняются в S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в Amazon CloudWatch Events.

Вопрос: Что такое события, связанные с данными в Amazon S3? Как обеспечить их запись?
События, связанные с данными в Amazon S3, отражают действия API над объектами Amazon S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail.

Вопрос: Что такое события, связанные с данными в AWS Lambda? Как обеспечить их запись?
События, связанные с данными в AWS Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий, связанных с данными в Lambda, можно получить информацию о выполнении функций Lambda, например какой пользователь или сервис IAM сделал вызов Invoke API, когда был сделан вызов и какая функция была выполнена. Все события, связанные с данными Lambda, сохраняются в корзину Amazon S3 и Amazon CloudWatch Events. Включить регистрацию событий, связанных с данными в AWS Lambda, можно с помощью интерфейса командной строки AWS или консоли AWS CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться.


Вопрос: У меня есть несколько аккаунтов AWS. Мне хотелось бы настроить сохранение файлов логов всех аккаунтов в одну корзину S3. Это возможно?
Да. Вы можете задать сохранение логов нескольких аккаунтов в одну корзину S3. Подробные инструкции см. в разделе об агрегации файлов журналов в одну корзину Amazon S3 «Руководства пользователя AWS CloudTrail».


Вопрос: В чем заключается интеграция CloudTrail с функцией CloudWatch Logs?
Интеграция сервиса CloudTrail с функцией CloudWatch Logs позволяет сохранять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch Logs указанной группы.

Вопрос: Каковы преимущества интеграции сервиса CloudTrail с функцией CloudWatch Logs?
Эта интеграция позволяет получать оповещения SNS о действиях в аккаунте, зарегистрированных сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети.

Вопрос: Как включить интеграцию сервиса CloudTrail с функцией CloudWatch Logs?
Чтобы включить интеграцию CloudTrail с функцией CloudWatch Logs, укажите в консоли CloudTrail группу логов CloudWatch Logs и роль IAM. Можно также воспользоваться AWS SDK или интерфейсом командной строки AWS.

Вопрос: Что произойдет при включении интеграции сервиса CloudTrail с функцией CloudWatch Logs?
После включения интеграции сервис CloudTrail будет постоянно сохранять историю аккаунта в поток журналов CloudWatch Logs указанной группы. При этом, как и ранее, CloudTrail продолжит сохранять журналы в корзину Amazon S3.

Вопрос: В каких регионах AWS поддерживается интеграция сервиса CloudTrail с функцией CloudWatch Logs?
Интеграция обеспечена в регионах с поддержкой журналов CloudWatch Logs. Дополнительную информацию см. в разделе Регионы и конечные точки Общих справочных материалов AWS.

Вопрос: Каким образом CloudTrail сохраняет события, содержащие действия в аккаунте, в журналы CloudWatch Logs?
Сервис CloudTrail сохраняет информацию о действиях в аккаунте в журналы CloudWatch Logs от имени указанной вами роли IAM. Вы наделяете роль IAM только теми разрешениями, которые требуются для сохранения событий в поток логов CloudWatch Logs. Инструкции по просмотру политики роли IAM см. в руководстве пользователя в документации CloudTrail.

Вопрос: Какие тарифы действуют при включении интеграции сервиса CloudTrail с функцией CloudWatch Logs?
После включения интеграции CloudTrail с функцией CloudWatch Logs начинают действовать стандартные тарифы CloudWatch Logs и CloudWatch. Подробнее см. на странице цен CloudWatch.


Вопрос: Каковы преимущества шифрования файлов журналов CloudTrail на стороне сервера с помощью KMS?
Шифрование лог-файлов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, сохраняемых в корзине Amazon S3. По умолчанию CloudTrail шифрует лог-файлы, сохраняемые в вашей корзине Amazon S3, посредством шифрования Amazon S3 на стороне сервера.

Вопрос: У меня есть приложение для импорта и обработки лог-файлов CloudTrail. Понадобится ли вносить в него изменения?
При использовании шифрования SSE-KMS сервис Amazon S3 автоматически дешифрует лог-файлы, поэтому вам не придется вносить в свое приложение никаких изменений. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями Amazon S3 GetObject и KMS Decrypt.

Вопрос: Как настроить шифрование файлов журналов CloudTrail?
Чтобы настроить шифрование файлов журналов, воспользуйтесь Консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.

Вопрос: Какая плата взимается за использование шифрования с помощью SSE-KMS?
За использование шифрования с помощью SSE-KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее см. на странице цен AWS KMS.


Вопрос: Что представляет собой проверка целостности файлов журналов CloudTrail?
Функция проверки целостности файлов журналов CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине Amazon S3, без изменений или же были изменены или удалены.

Вопрос: Для чего нужна проверка целостности файлов журналов CloudTrail?
Функция проверки целостности файлов журналов является вспомогательным средством в процессах ИТ-безопасности и аудита.

Вопрос: Как включить функцию проверки целостности файлов журналов CloudTrail?
Чтобы включить функцию проверки целостности файлов журналов CloudTrail, воспользуйтесь Консолью управления AWS, интерфейсом командной строки AWS или AWS SDK.

Вопрос: Что происходит при включении функции проверки целостности файлов журналов?
После включения функции проверки целостности лог-файлов CloudTrail начнет каждый час формировать файл дайджеста. Файл дайджест содержит информацию о лог-файлах, сохраненных в вашей корзине Amazon S3 и их хэш-значениях, цифровые подписи предыдущего файла дайджеста и собственную цифровую подпись в разделе метаданных Amazon S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях см. в документации CloudTrail.

Вопрос: Где сохраняются файлы дайджеста?
Файлы дайджеста сохраняются в той же корзине Amazon S3, что и лог-файлы. Но при этом они сохраняются в другой папке, что позволяет точно настраивать политики доступа. Подробнее см. в разделе о структуре файлов дайджеста документации CloudTrail.

Вопрос: Как проверить целостность файла журнала или файла дайджеста, сохраненного CloudTrail?
Чтобы проверить целостность лог-файла или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности файлов журналов или файлов дайджеста с помощью интерфейса командной строки AWS см. в документации CloudTrail.

Вопрос: Я собираю все свои файлов журналов из всех регионов и аккаунтов в одну корзину Amazon S3. Будут ли файлы дайджеста сохраняться в той же корзине Amazon S3?
Да, CloudTrail сохраняет файлы дайджеста из всех регионов и аккаунтов в одной и той же корзине Amazon S3.


Вопрос: Что такое библиотека обработки AWS CloudTrail?
Библиотека обработки AWS CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журналов CloudTrail. Библиотеку обработки CloudTrail можно загрузить с GitHub.

Вопрос: Какие функциональные возможности предоставляет библиотека обработки CloudTrail?
Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и парсинг сообщений SQS, загрузка журналов, сохраненных в хранилище S3, отказоустойчивый парсинг и последовательная обработка событий в файле журнала. Дополнительные сведения см. в соответствующем разделе руководства пользователя документации CloudTrail.

Вопрос: Какое программное обеспечение потребуется для работы с библиотекой обработки CloudTrail?
Вам потребуется aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.


Вопрос: Как начисляется плата за использование AWS CloudTrail?
AWS CloudTrail позволяет бесплатно просматривать и загружать историю аккаунта за последние семь дней, содержащую операции создания, изменения и удаления в поддерживаемых сервисах.

Плата за создание конфигурации отслеживания событий CloudTrail в сервисе AWS CloudTrail не взимается, а первая копия событий управления в каждом регионе сохраняется в корзину S3, указанную для отслеживания событий, бесплатно. После настройки отслеживания событий CloudTrail плата в Amazon S3 начисляется исходя из объема использования этой функции. Плата будет начисляться за каждое событие, связанное с данными, и за дополнительные копии событий управления, записанных в этом регионе, согласно опубликованному плану оплаты. Например, если внутри одного региона вы создали конфигурации отслеживания событий для одного и нескольких регионов, плата будет начисляться за копию событий управления в данном регионе.  

Вопрос: Будет ли начисляться плата, если я буду использовать одну конфигурацию отслеживания событий управления и применять ее ко всем регионам?
Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.

Вопрос: Будет ли начисляться плата, если я в существующей конфигурации, в которой бесплатно отслеживаются события управления, включу регистрацию событий, связанных с данными?
Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно.


Вопрос: Каким образом решения, предоставляемые партнерами AWS, помогают выполнять анализ событий, записанных сервисом CloudTrail?
Многие партнеры AWS предлагают интегрированные решения для анализа логов CloudTrail. Эти решения предоставляют такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Подробнее см. в разделе о партнерах CloudTrail.


Вопрос: Отразится ли использование сервиса CloudTrail на производительности ресурсов AWS, и может ли оно увеличить время задержки при выполнении вызовов API?
Нет. Использование сервиса CloudTrail не влияет на производительность ресурсов AWS и на время задержки при выполнении вызовов API.