Вопросы и ответы по AWS CloudTrail

Нет. Для просмотра истории аккаунта ничего настраивать не требуется. Историю учетной записи за последние 90 дней можно посмотреть в консоли AWS CloudTrail или с помощью Интерфейса командной строки AWS (AWS CLI).

AWS CloudTrail показывает только журнал событий CloudTrail за последние 90 дней для текущего региона и поддерживает некоторые сервисы AWS. Этот журнал событий включает только события управления, выполненные посредством вызовов API create, modify и delete, а также историю аккаунта. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание в CloudTrail.

Можно задать интервал времени и следующие атрибуты: event name, user name, resource name, event source, event ID и resource type.

Да. Чтобы просмотреть историю учетной записи за последние 90 дней, перейдите в консоль CloudTrail или используйте API CloudTrail либо Интерфейс командной строки AWS (AWS CLI).

Настройте конфигурацию отслеживания событий в CloudTrail, чтобы сохранять события CloudTrail в Простом сервисе хранения данных Amazon (Amazon S3), журналах Amazon CloudWatch и событиях Amazon CloudWatch. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.

Да. CloudTrail интегрирован с Управлением идентификацией и доступом AWS (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Удалите строку «cloudtrail:LookupEvents» из политики пользователя IAM, чтобы запретить ему просматривать журнал действий в аккаунте.

За использование журнала CloudTrail Event плата не начисляется. 

Можно останавливать ведение журналов и удалять любые отслеживания. Также будет остановлена передача действий в аккаунте в корзину Amazon S3, которую вы включили в конфигурацию отслеживания, а также передача в журналы CloudWatch, если она была настроена. История аккаунта за последние 90 дней будет собираться в любом случае; журнал будет доступен для просмотра в консоли CloudTrail или с помощью интерфейса командной строки AWS (AWS CLI). 

CloudTrail регистрирует историю аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе Сервисы, поддерживаемые CloudTrail руководства пользователя CloudTrail.

Да. CloudTrail записывает вызовы API, выполненные из любого клиента. Консоль управления AWS, пакеты AWS SDK, инструменты командной строки и сервисы AWS более высокого уровня выполняют вызовы API, поэтому они записываются.

Информация о действиях для сервисов с региональными адресами (например, Эластичное вычислительное облако Amazon [Amazon EC2] или Служба реляционных баз данных Amazon [Amazon RDS]) собирается и обрабатывается в том же регионе, где совершается действие. Затем оно доставляется в регион, связанный с вашей корзиной S3. Информация об активности для сервисов с отдельными адресами, таких как IAM и Сервис токенов безопасности AWS (AWS STS), захватывается в регионе, где находится адрес, и обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и сохраняется в том регионе, к которому привязана соответствующая корзина S3.

Настройка отслеживания во всех регионах AWS означает создание конфигурации отслеживания, которая будет регистрировать историю аккаунта AWS во всех регионах, где хранятся ваши данные. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах описано на странице об именах ресурсов Amazon и пространствах имен сервисов AWS.

Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. История аккаунта AWS для всех регионов будет сохраняться в одной корзине S3 или в группе журналов CloudWatch. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.

Чтобы применить отслеживание ко всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для параметра применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true. 

При применении отслеживания ко всем регионам сервис CloudTrail создаст новое отслеживание для всех регионов путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам в одну корзину S3 и одну группу журналов CloudWatch. При дополнительном указании темы в Простом сервисе уведомлений Amazon (Amazon SNS) сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.

Да. Вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали варианты отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail. 

Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.

В регионе можно создать до пяти вариантов отслеживания. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается одним отслеживанием в каждом из них.

Использование множества вариантов отслеживания позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные варианты отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа в Сервисе управления ключами Amazon (Amazon KMS). Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.

Да. Используя разрешения на уровне ресурсов, вы можете создать подробные политики управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. С подробной информацией можно ознакомиться в документации по CloudTrail. 

По умолчанию файлы журнала CloudTrail зашифрованы с помощью шифрования на стороне сервера S3 (SSE) и хранятся в корзине S3. Вы можете управлять доступом к файлам журнала с помощью политик корзин IAM или S3. Вы можете создать дополнительный уровень безопасности, включив функцию S3 удаления с использованием многофакторной аутентификации (MFA) в корзине S3. Дополнительную информацию о создании и обновлении отслеживания см. в документации по CloudTrail.

Образец политики корзины S3 и политики темы SNS можно загрузить из корзины CloudTrail S3. Вам нужно добавить свою информацию в образцы политик, прежде чем применять их к корзине S3 или теме SNS.

Вы управляете политиками хранения для файлов журнала CloudTrail. По умолчанию срок хранения файлов журнала не ограничен. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов для S3. Например, старые файлы журнала можно удалять или архивировать в Простом сервисе хранения данных Amazon Glacier (Amazon S3 Glacier).

Событие содержит информацию о соответствующем действии, то есть определяются имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информация о данных, возвращенных сервисом AWS. Дополнительную информацию см. в справочной информации о событиях CloudTrail в руководстве пользователя. 

Как правило, CloudTrail сохраняет информацию о событии в течение 5 минут после вызова API. Подробную информацию о работе CloudTrail см. здесь.   

CloudTrail доставляет файлы журнала в корзину S3 приблизительно каждые 5 минут. CloudTrail не доставляет файлы журнала, если в случае вашего аккаунта не выполнены вызовы API. 

Да. Вы можете включить оповещения Amazon SNS, чтобы сразу реагировать на доставку новых файлов журнала. 

Хотя это редкость, вы можете получать файлы журналов, содержащие одно или несколько повторяющихся событий. Такие события будут иметь один и тот же идентификатор eventID. Дополнительные сведения о поле eventID см. в разделеСодержание записей CloudTrail. 

Сохранение файлов журналов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журналов. 

Сервис CloudTrail разработан для поддержки как минимум одной доставки событий по подписке в корзины S3 клиента. В некоторых ситуациях CloudTrail может доставить одно и то же событие несколько раз. В результате клиенты могут заметить повторяющиеся события. 

События данных содержат сведения об операциях («плоскость данных»), выполненных с ресурсом или в рамках ресурса. Такие события часто бывают крупномасштабными и включают такие операции, как API уровня объектов S3 и API вызова функций AWS Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. С подробной информацией можно ознакомиться на странице цен на CloudTrail. 

События, связанные с данными, которые регистрируются в CloudTrail, сохраняются в S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в Amazon CloudWatch Events. 

События, связанные с изменением данных в S3, представляют собой операции API над объектами S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail. 

События, связанные с данными в Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий данных Lambda вы можете получить подробную информацию о времени выполнения функции Lambda. Примеры времени выполнения функции Lambda показывают, какой пользователь или сервис IAM выполнил вызов Invoke API, когда был выполнен вызов и какая функция была применена. Сведения о всех событиях, связанных с данными Lambda, доставляются в корзину S3 и события CloudWatch. Включить регистрацию событий, связанных с данными в Lambda, можно с помощью интерфейса командной строки или консоли CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться. 

События сетевой активности фиксируют действия AWS API, выполненные с использованием адресов VPC из частного VPC в сервис AWS, и помогают вам справиться с задачами изучения сетевой безопасности. Сюда входят вызовы AWS API, которые соответствуют политике адресов VPC, и те, что получили отказ в доступе. Например, как владелец адреса VPC, вы можете просматривать журналы действий, отклоненных из-за политик для адресов VPC, или определять, пытается ли кто-то извне вашего периметра данных получить доступ к данным в корзинах S3. В отличие от событий управления и данных, которые доставляются как вызывающему API, так и владельцу ресурса, события сетевой активности доставляются только владельцу адреса VPC.

Чтобы записывать события сетевой активности, необходимо прямо разрешить их фиксирование при настройке отслеживания или хранилища данных событий, а также выбрать источник (-и) событий для сервисов AWS, по которым вы хотите собирать данные об активности. Можно также добавить дополнительные фильтры, такие как фильтрация по идентификатору адреса VPC или регистрация только ошибок отказа в доступе. За работу с событиями сетевой активности взимается дополнительная плата. С подробной информацией можно ознакомиться на странице цен на CloudTrail.

Эти журналы позволяют фиксировать информацию об IP-трафике, идущем к сетевым интерфейсам и от них в VPC. Данные журнала сетевых потоков можно публиковать в следующих ресурсах: Журналы Amazon CloudWatch, Amazon S3 или Данные Amazon Firehose. События сетевой активности для адресов VPC фиксируют действия AWS API, выполняемые с использованием адресов VPC из частного VPC в сервис AWS. Так вы получаете подробную информацию о том, кто обращается к ресурсам в вашей сети, что позволяет выявлять и реагировать на непредусмотренные операции в периметре данных. Также можно просматривать журналы действий, отклоненных из-за политик адресов VPC, или использовать эти события для проверки последствий обновления существующих политик. 

Да. Теперь CloudTrail поддерживает добавление до трех делегированных администраторов на каждую организацию.

Управляющий аккаунт останется владельцем любых данных отслеживания организации или хранилищ данных событий, созданных на уровне организации, независимо от того, создан ли он аккаунтом делегированного администратора или управляющим аккаунтом.

На данный момент поддержка делегированного администратора для CloudTrail есть во всех регионах, где доступен сервис AWS CloudTrail. Дополнительные сведения см. в таблице регионов AWS.

События CloudTrail Insights помогают определять необычные действия в ваших аккаунтах AWS, например пиковые нагрузки при выделении ресурсов, всплески действий в сервисе Управления идентификацией и доступом AWS (IAM) или пробелы в периодическом обслуживании. CloudTrail Insights использует модели машинного обучения (ML), которые постоянно отслеживают события управления записью CloudTrail на предмет нетипичной активности.

При обнаружении нетипичной активности события CloudTrail Insights отображаются в консоли и передаются в события CloudWatch, корзину S3 и дополнительно – в группу журналов CloudWatch. Это упрощает создание предупреждений и интеграцию с существующими системами управления событиями и рабочими процессами.

CloudTrail Insights обнаруживает необычную активность, анализируя события управления записью CloudTrail в аккаунте AWS и регионе. Необычное или нетипичное событие определяется как том вызовов API AWS, который отличается от того, что ожидается от ранее установленного рабочего шаблона или базового уровня. CloudTrail Insights адаптируется к изменениям в ваших обычных рабочих шаблонах, принимая во внимание хронологические тренды в вызовах API и применяя адаптивные базовые показатели при изменении рабочих нагрузок.

CloudTrail Insights может помочь обнаружить неправильно работающие скрипты или приложения. Иногда разработчик меняет скрипт или приложение, которое запускает повторяющийся цикл или выполняет большое количество вызовов непреднамеренных ресурсов, таких как базы данных и хранилища данных, или другие функции. Зачастую такое поведение остается незамеченным до расчетного периода пользования в конца месяца, когда обнаруживается, что расходы неожиданно увеличились либо произошло отключение или сбой. События CloudTrail Insights могут сообщить вам об этих изменениях в вашем аккаунте AWS, чтобы вы могли быстро предпринять корректирующие меры.

CloudTrail Insights определяет необычную рабочую активность в ваших аккаунтах AWS, что позволяет устранять операционные неполадки, сводя к минимуму их влияние на работу и коммерческие процессы. Amazon GuardDuty направлен на повышение безопасности вашего аккаунта, обеспечивая обнаружение угроз путем мониторинга его активности. Amazon Macie разработан для улучшения защиты данных в вашем аккаунте путем обнаружения, классификации и защиты конфиденциальных данных. Эти сервисы обеспечивают дополнительную защиту от различных типов проблем, которые могут возникнуть в вашем аккаунте.

Да. События CloudTrail Insights настраиваются в отдельных отслеживаниях, поэтому необходимо настроить хотя бы одно отслеживание. Когда вы включаете события CloudTrail Insights для отслеживания, CloudTrail начинает отслеживать события управления записью, фиксированные этим отслеживанием, на наличие необычных схем. Если CloudTrail Insights обнаруживает необычную активность, событие CloudTrail Insights регистрируется в пункте назначения доставки, указанном в определении отслеживания.

CloudTrail Insights отслеживает необычную активность для API управления записью.

Вы можете включить события CloudTrail Insights в отдельных отслеживаниях в своем аккаунте, используя консоль, интерфейс командной строки (CLI) или SDK. Вы также можете включить события CloudTrail Insights в рамках своей организации, используя отслеживание для организации, настроенное в вашем аккаунте управления Организаций AWS. Вы можете включить события CloudTrail Insights, выбрав опцию в определении отслеживания. 

Озеро CloudTrail помогает изучать инциденты путем запроса всех действий, зарегистрированных CloudTrail, элементов конфигурации, записанных AWS Config, доказательств от Диспетчера аудита или событий из источника, не относящегося к AWS. Благодаря этому можно устранить операционные зависимости, а следовательно проще вести журнал проблем. Кроме того, сервис предоставляет инструменты, которые помогают меньше полагаться на сложные конвейеры обработки данных для разных команд. Для озера CloudTrail не требуется перемещать или загружать журналы CloudTrail куда бы то ни было, а значит поддерживается точность данных и отсутствуют ограничения скорости, влияющие на журналы. Сервис также оптимизирован для обработки больших структурированных журналов, за счет чего обеспечивает более легкий доступ к изучению проблем и близкую к реальному времени задержку. Он предоставляет знакомый интерфейс запросов на базе SQL с несколькими атрибутами и возможностью планирования и обработки нескольких одновременных запросов. Для пользователей, обладающих меньшим опытом в работе с SQL, доступна генерация запросов на естественном языке, помогающая создавать SQL-запросы и упрощающая анализ данных. Возможность суммировать результаты запросов с помощью искусственного интеллекта (в предварительной версии) еще больше расширяет функционал извлечения значимой информации из журналов активности и эффективного расследования инцидентов. Кроме того, предварительно отобранные и настраиваемые панели обеспечивают удобные способы визуализации и анализа данных, находящихся в хранилищах данных о событиях, непосредственно в консоли CloudTrail. За счет сочетания этих функций CloudTrail Lake позволяет эффективно расследовать инциденты и получать более глубокое представление о среде AWS, одновременно упрощая процессы управления данными.

CloudTrail – это стандартный источник журналов активности пользователей и использования API в сервисах AWS. Как только журналы становятся доступны в CloudTrail, с помощью озера CloudTrail можно проверять активность в сервисах AWS. Возможно отправлять запросы и анализировать активность пользователей и затронутые ресурсы, а также использовать эти данные для решения таких задач, как выявление злоумышленников и определение основных разрешений.

Вы можете найти и добавить партнерские интеграции, чтобы начать получать события активности из этих приложений за несколько шагов с помощью консоли CloudTrail, без необходимости создавать и поддерживать пользовательские интеграции. Для источников, отличных от доступных партнерских интеграций, вы можете использовать новые API-интерфейсы CloudTrail Lake для настройки собственных интеграций и отправки событий в CloudTrail Lake. Чтобы начать работу, см. раздел Работа с озером CloudTrail в руководстве пользователя CloudTrail.

Расширенный запрос AWS Config рекомендуется для клиентов, которые хотят объединять и запрашивать текущее состояние единиц конфигурации (CI) AWS Config. Благодаря этому клиенты могут управлять запасами, обеспечивать безопасность и оперативную аналитику, оптимизировать затраты и получать данные о соответствии нормативным требованиям. Расширенный запрос AWS Config предоставляется бесплатно, если вы являетесь клиентом AWS Config. 

Озеро CloudTrail поддерживает выполнение запросов для единиц конфигурации AWS Config, включая конфигурацию ресурсов и историю соответствия. Анализ истории конфигурации и соответствия для ресурсов с соответствующими событиями CloudTrail помогает сделать вывод о том, кто, когда и что изменил на этих ресурсах. Такой подход помогает проводить анализ первопричин инцидентов, связанных с угрозой безопасности или несоответствием требованиям. Озеро CloudTrail рекомендуется, если вам необходимо объединять и запрашивать данные по событиям CloudTrail и историческим единицам конфигурации.  

Озеро CloudTrail не будет загружать единицы конфигурации AWS Config, которые были созданы до того, как оно было настроено. Вновь записанные единицы конфигурации из AWS Config на уровне аккаунта или организации будут доставлены в указанное хранилище данных событий озера CloudTrail. Эти единицы конфигурации будут доступны в озере для запроса в течение указанного периода хранения и могут быть использованы для анализа исторических данных. 

Если несколько пользователей быстро пытаются изменить конфигурацию одного ресурса, может быть создана только одна единица конфигурации, которая будет соответствовать конфигурации конечного состояния ресурса. В этом и подобных сценариях может оказаться невозможным обеспечить 100 % соответствие того, какой пользователь внес какие изменения в конфигурацию, путем запроса CloudTrail и единиц конфигурации для определенного временного интервала и идентификатора ресурса.

Да. Возможность импорта озера CloudTrail поддерживает копирование журналов CloudTrail из корзины S3, в которой хранятся журналы из разных аккаунтов (отслеживание организации) и регионов AWS. Кроме того, вы можете импортировать журналы из индивидуальных аккаунтов и отслеживаний одного региона. Возможность импорта также позволяет указать диапазон дат импорта, благодаря чему вы можете импортировать только те подмножества журналов, которые необходимы для долгосрочного хранения и анализа в озере CloudTrail. После объединения журналов вы сможете запускать к ним запросы, начиная с самых недавних событий, собранных после подключения озера CloudTrail, и заканчивая предыдущими событиями, перенесенными из ваших отслеживаний.

Возможность импорта позволяет копировать сведения журналов из S3 в озеро CloudTrail и оставлять оригинальные копии в S3 в прежнем виде.

Озеро CloudTrail можно подключить для любой категории событий, собранных CloudTrail, в зависимости от индивидуальных потребностей. К категориям событий относятся события управления, которые фиксируют действия в плоскости управления, в том числе CreateBucket и TerminateInstances, события данных, где регистрируются действия в плоскости данных, такие как GetObject и PutObject, а также события сетевой активности (предварительная версия), где отражаются действия API, выполняемые с помощью адресов VPC из частного VPC в сервис AWS. Отдельная подписка на отслеживание этих событий не требуется. При использовании озера CloudTrail вам необходимо выбрать между сроком хранения на один год с возможностью продления или сроком на семь лет. Это повлияет на стоимость и продолжительность хранения событий. Запросить данные можно в любое время. На панелях управления озера CloudTrail мы поддерживаем запросы к событиям CloudTrail.

Запросы к действиям, произошедшим после включения озера CloudTrail, можно отправлять почти мгновенно.

В число распространенных примеров использования входит изучение проблем безопасности, таких как несанкционированный доступ или скомпрометированные учетные данные пользователя, а также повышение уровня безопасности за счет регулярных проверок базовых пользовательских разрешений. Можно выполнять необходимые проверки, чтобы убедиться, что правки в таких ресурсах, как группы безопасности, вносят только уполномоченные пользователи, и отслеживать любые изменения, не соответствующие рекомендациям организации. Кроме того, можно отслеживать действия, произошедшие с ресурсами, и проводить оценку изменений или удалений, а также получать более подробную информацию о платежах за сервисы AWS, включая подписавшихся на сервисы пользователей IAM.

Если вы текущий или новый пользователь CloudTrail, то можете немедленно начать выполнять запросы с помощью озера CloudTrail, включив его через API или консоль CloudTrail.

Выберите вкладку CloudTrail Lake (Озеро CloudTrail) на левой панели консоли CloudTrail и нажмите кнопку Create Event Data Store (Создать хранилище данных событий). При создании такого хранилища вы выбираете вариант ценообразования, который хотите использовать. Вариант ценообразования определяет стоимость загрузки событий, а также максимальный срок хранения и срок хранения по умолчанию для хранилища данных событий. Затем выберите категории событий, которые необходимо записать в журнал (события, связанные с управлением, данными и сетевой активностью). Кроме того, можно воспользоваться расширенными возможностями фильтрации событий, позволяющими контролировать, какие события CloudTrail загружаются в хранилища данных о событиях. Это поможет повысить эффективность и сократить расходы, сохраняя при этом прозрачность соответствующих действий. После настройки хранилища данных событий можно запрашивать любые хранилища данных событий, которыми клиент владеет или которыми управляет, используя запросы на основе SQL. Для пользователей, обладающих меньшим опытом в работе с SQL, доступна генерация запросов на естественном языке, помогающая создавать SQL-запросы.

Кроме того, результаты запросов можно суммировать (в режиме предварительной версии) с помощью генеративного искусственного интеллекта, что еще больше расширяет возможности извлечения аналитической информации из данных CloudTrail. Для того чтобы визуализировать данные озера CloudTrail, можно использовать предварительно отобранные панели управления, доступные непосредственно в консоли CloudTrail. Такие панели предлагают готовую визуализацию и ключевую аналитическую информацию на основе данных аудита и безопасности. Для более целенаправленного мониторинга и анализа также можно создавать собственные панели, адаптированные к конкретным потребностям.

Да. Вы можете изменить ценовой вариант с семилетнего срока хранения на один год с возможностью продления срока в рамках конфигурации хранилища данных событий. Существующие данные останутся доступными в хранилище данных событий в течение выбранного периода хранения. Плата за длительное хранение таких данных взиматься не будет. Однако все вновь введенные данные будут облагаться тарифами на продление срока хранения на один год как при приеме, так и при длительном хранении. 

Нет. В настоящее время мы не предоставляем переход от цены хранения данных о событиях с возможностью продления срока хранения на один год к цене хранения на семь лет. Однако вы сможете отключить ведение журнала в текущем хранилище данных событий и создать новое с оплатой хранения вновь поступивших данных в течение семи лет. Вы по-прежнему сможете хранить и анализировать данные в обоих хранилищах, используя соответствующий вариант ценообразования и настроенный период хранения.

CloudTrail – это озеро аудита, которое помогает клиентам удовлетворить свои потребности в сценариях использования, связанных с соблюдением нормативных требований и аудитом. Согласно требованиями программы соответствия заказчики должны хранить журналы аудита в течение определенного периода с момента их создания, независимо от того, когда они были загружены в озеро CloudTrail.

Нет. Поскольку это историческое событие, которое посвящено прошлому, оно будет храниться в озере CloudTrail в течение 1 года, начиная с момента проведения мероприятия, то есть менее 1 года. 

Предварительно отобранные панели озера CloudTrail поддерживают визуализацию управления CloudTrail, данных и событий аналитики. Кроме того, можно создавать собственные панели для визуализации данных любого типа, находящихся в хранилищах данных о событиях, что позволяет адаптировать функции анализа к конкретным потребностям.

В настоящее время панели доступны на уровне аккаунта.

Панели управления Озера CloudTrail работают на основе запросов Озера CloudTrail. При включении панелей управления Озера CloudTrail будет взиматься плата за считанные данные. Подробнее см. на странице цен.

Да, можно создавать собственные панели, а также устанавливать расписание их периодического обновления.

В озере CloudTrail имеется набор предварительно отобранных панелей управления для решения различных задач, в том числе в области безопасности, соблюдения нормативных требований, операций и управления ресурсами. Эти готовые панели управления адаптированы для конкретных сценариев и обеспечивают немедленные преимущества в различных аспектах управления облаком:

• При мониторинге безопасности такие панели, как «Панель мониторинга безопасности», помогают отслеживать критические события в системе безопасности, включая события отказа в доступе, неудачные попытки входа и разрушительные действия.
• Для решения задач соблюдения нормативных требований «Панель действий IAM» позволяет отслеживать изменения в сущностях IAM, помогая выявлять непреднамеренные действия IAM и потенциальные проблемы в области соблюдения требований.
• Специалисты по облачным операциям могут использовать «Панель анализа ошибок» для выявления и устранения ошибок регулирования и других эксплуатационных проблем в различных сервисах.
• При управлении ресурсами «Панель изменений в ресурсах» позволяет отслеживать тенденции выделения, удаления и изменения ресурсов AWS, в том числе изменения, внесенные с помощью CloudFormation и вручную.
• Организации могут воспользоваться преимуществами «Панели деятельности организаций», которая предоставляет аналитические данные об управлении аккаунтами, шаблонах доступа и изменениях в политиках.
• Панели управления, ориентированные на конкретные сервисы, для EC2, Lambda, DynamoDB и S3 предоставляют подробную информацию об управлении этими сервисами и операциях в плоскости данных.

Да. Вы можете настроить одну корзину S3 для доставки файлов для множества аккаунтов. Подробные инструкции см. в разделе об агрегации файлов журнала в одну корзину S3 руководства пользователя CloudTrail.

Интеграция сервиса CloudTrail с CloudWatch Logs позволяет сохранять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch Logs указанной группы.

Эта интеграция позволяет получать оповещения SNS об истории аккаунта, зарегистрированной сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети (ACL).

Вы можете включить интеграцию CloudTrail с журналами CloudWatch из консоли CloudTrail, указав группу журналов CloudWatch и роль IAM. Кроме того, чтобы включить интеграцию, вы можете использовать пакеты SDK AWS и интерфейс командной строки AWS.

После включения интеграции сервис CloudTrail будет постоянно доставлять историю аккаунта в поток журналов CloudWatch указанной группы. При этом, как и ранее, CloudTrail продолжит доставлять журналы в корзину S3.

Интеграция обеспечена в регионах, где поддерживаются журналы CloudWatch. См. раздел Регионы и адреса в общих справочных материалах по AWS.

Сервис CloudTrail доставляет историю аккаунта в журналы CloudWatch от имени указанной вами роли IAM. Следует ограничить роль IAM, указав лишь разрешения, необходимые для доставки событий в поток журнала CloudWatch Logs. Обзор политики роли IAM см. в руководстве пользователя из документации по CloudTrail.

После включения интеграции CloudTrail с журналами CloudWatch Logs вы оплачиваете журналы CloudWatch и сервис CloudWatch по стандартным тарифам. С подробной информацией можно ознакомиться на странице цен на CloudWatch. 

Шифрование файлов журналов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, доставляемых в корзину S3. По умолчанию CloudTrail шифрует файлы журналов, доставляемые в корзину S3, посредством шифрования S3 на стороне сервера.

При использовании шифрования SSE-KMS сервис S3 автоматически дешифрует файлы журнала, поэтому вносить изменения в приложение не придется. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями S3 GetObject и AWS KMS Decrypt.

Чтобы настроить шифрование файлов журнала, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.

За использование шифрования на стороне сервера с помощью KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее описано на странице цен на AWS KMS.

Возможность проверки целостности файлов журнала CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине S3, без изменений или же были изменены или удалены.

Возможность проверки целостности файлов журналов является вспомогательным средством в процессах ИТ-безопасности и аудита.

Чтобы включить проверку целостности файлов журнала CloudTrail, воспользуйтесь консолью, интерфейсом командной строки AWS или AWS SDK.

После включения функции проверки целостности файлов журнала CloudTrail начнет каждый час формировать файл дайджеста. Файлы дайджеста содержат информацию о файлах журнала, которые были доставлены в вашу корзину S3, и хэш-значения для этих файлов журнала. Они также содержат цифровые подписи для предыдущего файла дайджеста и цифровую подпись для текущего файла дайджеста в разделе метаданных S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях см. в документации по CloudTrail.

Файлы дайджеста доставляются в ту же корзину S3, что и файлы журнала. Но при этом они доставляются в другую папку, что позволяет точно настраивать политики доступа. Подробнее описано в разделе о структуре файлов дайджеста документации по CloudTrail.

Чтобы проверить целостность файла журнала или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности файлов журнала или файлов дайджеста с помощью интерфейса командной строки AWS см. в документации по CloudTrail.

Да. CloudTrail доставляет файлы дайджеста из всех регионов и аккаунтов в одну и ту же корзину S3.

Библиотека обработки CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журнала CloudTrail. Библиотеку обработки CloudTrail можно загрузить на GitHub.

Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и анализ сообщений Простого сервиса очередей Amazon (Amazon SQS), загрузка журналов, сохраненных в хранилище S3, отказоустойчивый анализ и последовательная обработка событий в файле журнала. Дополнительную информацию см. в соответствующем руководстве пользователя, приведенном в документации по CloudTrail. 

Вам потребуется пакет aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.

CloudTrail дает возможность просматривать, находить и загружать историю событий за последние 90 дней бесплатно. Вы можете бесплатно доставить один экземпляр текущих событий управлений в S3, создавая отслеживание. После настройки отслеживания CloudTrail будет начисляться плата за хранилище S3 по факту использования.

Можно передавать дополнительные копии событий, в том числе событий данных и сетевой активности, с помощью отслеживаний. С вас будет взиматься плата за события данных, события сетевой активности и дополнительные копии событий управления. С подробной информацией можно ознакомиться на странице цен.

Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.

Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно. 

Пользуясь озером CloudTrail, вы платите и за прием, и за хранение данных, а счета выставляются в зависимости от количества принятых несжатых и хранимых сжатых данных. При создании такого хранилища вы выбираете вариант ценообразования, который хотите использовать. Вариант ценообразования определяет стоимость загрузки событий, а также максимальный срок хранения и срок хранения по умолчанию для хранилища данных событий. Стоимость запросов зависит от выбранных для анализа сжатых данных. С подробной информацией можно ознакомиться на странице цен.

Да. Каждое событие CloudTrail в среднем занимает около 1500 байт. Применяя данное сопоставление, вы сможете оценить потребление озера CloudTrail на основе его использования в отслеживаниях в прошлом месяце по количеству событий.

Множество партнеров предлагают интегрированные решения для анализа файлов журнала CloudTrail. Эти решения включают такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Дополнительную информацию см. в разделе партнеров CloudTrail.

Чтобы начать интеграцию, см. руководство по регистрации партнеров. Свяжитесь со своей командой разработчиков партнера или архитектором партнерских решений, чтобы обратиться к команде управления озером CloudTrail для получения дополнительной информации или ответов на дополнительные вопросы.

Нет. Включение CloudTrail не влияет на производительность ресурсов AWS или задержку при выполнении вызовов API.