Общие вопросы

Вопрос. Что такое AWS CloudTrail?

AWS CloudTrail обеспечивает аудит, мониторинг безопасности и устранение неполадок в процессе работы, отслеживая действия пользователей и использование API. CloudTrail регистрирует, постоянно отслеживает и хранит активность учетной записи в инфраструктуре AWS, имеющую отношение к действиям, позволяя контролировать хранение, анализ и исправления.

Вопрос. Каковы преимущества использования сервиса CloudTrail?

CloudTrail помогает вам обеспечить соответствие требованиям, укрепить безопасность и объединить записи о действиях, которые производятся в разных регионах и аккаунтах. Сервис CloudTrail позволяет осуществлять мониторинг действий пользователей в аккаунте. CloudTrail регистрирует важную информацию о каждом действии, включая имя пользователя, инициировавшего запрос, используемый сервис, выполненные действия и параметры этих действий, а также информацию о данных, возвращенных сервисом AWS. Эта информация позволяет отслеживать изменения ресурсов AWS и устранять операционные неполадки. CloudTrail упрощает обеспечение соответствия требованиям внутренних политик и нормативных стандартов. Дополнительную информацию см. в техническом описании AWS, касающемся соответствия требованиям, – «Безопасность при любых масштабах: ведение журналов в AWS».

Вопрос. Для кого предназначен сервис CloudTrail?

Пользуйтесь CloudTrail, если требуется проводить аудит активности, отслеживать события, связанные с безопасностью, или устранять текущие неисправности.

Начало работы

Вопрос. Если я являюсь новым пользователем AWS или мною не выполнялась настройка CloudTrail, нужно ли мне что-либо настраивать, чтобы просматривать историю аккаунта?

Нет. Для просмотра истории аккаунта ничего настраивать не требуется. Историю аккаунта за последние 90 дней можно посмотреть в консоли AWS CloudTrail или с помощью интерфейса командной строки AWS.

Вопрос. В журнале событий CloudTrail отображается вся история моего аккаунта?

AWS CloudTrail показывает только журнал событий CloudTrail за последние 90 дней для текущего региона и поддерживает некоторые сервисы AWS. Этот журнал событий включает только события управления, выполненные посредством вызовов API create, modify и delete, а также историю аккаунта. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание в CloudTrail.

Вопрос. Какие поисковые фильтры доступны при просмотре истории аккаунта?

Можно задать интервал времени и следующие атрибуты: Event name, User name, Resource name, Event source, Event ID и Resource type.

Вопрос. Можно ли использовать операторы поиска в интерфейсе командной строки, если отслеживание событий не настроено?

Да. Чтобы просмотреть историю аккаунта за последние 90 дней, перейдите в консоль CloudTrail или используйте API CloudTrail/интерфейс командной строки.

Вопрос. Какие дополнительные возможности станут доступны для создания отслеживания событий?

Настройте конфигурацию отслеживания событий в CloudTrail, чтобы сохранять события CloudTrail в сервисах Amazon S3, Amazon CloudWatch Logs и Amazon CloudWatch Events. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.

Вопрос. Можно ли ограничить доступ пользователей к просмотру журнала событий CloudTrail?

Да. CloudTrail интегрирован с AWS Identity and Access Management (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Удалите строку «cloudtrail:LookupEvents» из политики пользователя IAM, чтобы запретить ему просматривать журнал действий в аккаунте.

Вопрос. Взимается ли плата за включение журнала событий CloudTrail при создании аккаунта?

За использование журнала событий CloudTrail плата не начисляется.

Вопрос. Можно ли отключить в своем аккаунте журнал событий CloudTrail?

Можно останавливать ведение журналов и удалять любые отслеживания. Также будет остановлена передача действий в аккаунте в корзину S3, которую вы включили в конфигурацию отслеживания, а также передача в CloudWatch Logs, если она была настроена. История аккаунта за последние 90 дней будет собираться в любом случае; журнал будет доступен для просмотра в консоли CloudTrail или с помощью интерфейса командной строки (CLI) AWS.

Поддержка сервисов и регионов

Вопрос. Какие сервисы поддерживает CloudTrail?

AWS CloudTrail регистрирует историю аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе Сервисы, поддерживаемые CloudTrail руководства пользователя CloudTrail.

Вопрос. Записываются ли вызовы API, выполненные из консоли управления AWS?

Да. CloudTrail записывает вызовы API, выполненные из любого клиента. Консоль управления AWS, пакеты средств разработки ПО (SDK) AWS, инструменты командной строки и сервисы AWS более высокого уровня выполняют вызовы API, поэтому они записываются.

Вопрос. Где сохраняются и обрабатываются файлы журналов перед их сохранением в корзине Amazon S3?

Информация о действиях для сервисов с региональными конечными точками (EC2, RDS и т. д.) регистрируется и обрабатывается в том же регионе, в котором выполнено действие, и доставляется в тот регион, к которому привязана соответствующая корзина Amazon S3. Информация о действиях для сервисов с отдельными конечными точками, такими как IAM и AWS Security Token Service (STS), регистрируется в том регионе, где находится конечная точка, обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и доставляется в тот регион, к которому привязана соответствующая корзина Amazon S3.

Применение отслеживания ко всем регионам

Вопрос. Что означает настройка отслеживания во всех регионах?

Настройка отслеживания во всех регионах AWS означает создание конфигурации отслеживания, которая будет регистрировать историю аккаунта AWS во всех регионах, где хранятся ваши данные. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах описано на странице об именах ресурсов Amazon и пространствах имен сервисов AWS.

Вопрос. Каковы преимущества применения отслеживания ко всем регионам?

Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. История аккаунта AWS для всех регионов будет сохраняться в одной корзине Amazon S3 или в группе журналов CloudWatch Logs. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.

Вопрос. Как применить отслеживание ко всем регионам?

Чтобы применить отслеживание ко всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для параметра применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true.

Вопрос. Что произойдет при применении отслеживания ко всем регионам?

При применении отслеживания ко всем регионам сервис CloudTrail создаст новое отслеживание для всех регионов путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам AWS в одну корзину Amazon S3 и одну группу журналов CloudWatch Logs. При дополнительном указании темы Amazon Simple Notification Service (SNS) сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.

Вопрос. Можно ли применить существующее отслеживание ко всем регионам?

Да. Вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали варианты отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail.

Вопрос. Сколько времени занимает репликация настроек отслеживания CloudTrail во все регионы?

Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.

Множество вариантов отслеживания

Вопрос. Сколько вариантов отслеживания можно создать в одном регионе AWS?

В регионе AWS можно создать до пяти вариантов отслеживания. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается одним отслеживанием в каждом из них.

Вопрос. Каковы преимущества создания множества вариантов отслеживания в регионе AWS?

Использование множества вариантов отслеживания позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные варианты отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа Amazon Key Management Service (KMS). Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.

Вопрос. Поддерживает ли сервис CloudTrail разрешения на уровне ресурсов?

Да. Используя разрешения на уровне ресурсов, вы можете создать подробные политики управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. Подробнее описано в документации по CloudTrail.

Безопасность и срок действия

Вопрос. Как обеспечить безопасность файлов журналов CloudTrail?

По умолчанию файлы журнала CloudTrail зашифрованы с помощью шифрования на стороне сервера (SSE) Amazon S3 и хранятся в корзине S3. Вы можете управлять доступом к файлам журнала с помощью политик корзин IAM или S3. Вы можете создать дополнительный уровень безопасности, включив функцию удаления с использованием многофакторной аутентификации (MFA) в корзине S3. Дополнительную информацию о создании и обновлении отслеживания см. в документации по CloudTrail.

Вопрос. Где можно загрузить образец политики для корзины S3 или темы SNS?

Образец политики корзины S3 и политики темы SNS можно загрузить из корзины CloudTrail S3. Вам нужно добавить свою информацию в образцы политик, прежде чем применять их к корзине S3 или теме SNS.

Вопрос. В течение какого времени можно хранить файлы журналов с записью моих действий?

Вы управляете политиками хранения для файлов журнала CloudTrail. По умолчанию срок хранения файлов журнала не ограничен. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов для Amazon S3. Например, старые файлы журнала можно удалять или архивировать в хранилище Amazon Glacier.

Полезные данные события, время и периодичность сохранения

Вопрос. Какая именно информация о событии доступна?

Событие содержит информацию о соответствующем действии, то есть определяются имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информация о данных, возвращенных сервисом AWS. Дополнительную информацию см. в справочной информации о событиях CloudTrail в руководстве пользователя.

Вопрос. Сколько времени занимает сохранение сервисом CloudTrail события, связанного с вызовом API?

Как правило, CloudTrail сохраняет информацию о событии в течение 15 минут после вызова API.

Вопрос. С какой периодичностью CloudTrail доставляет файлы журнала в корзину Amazon S3?

CloudTrail доставляет файлы журнала в корзину Amazon S3 приблизительно каждые 5 минут. CloudTrail не доставляет файлы журнала, если в случае вашего аккаунта не выполнены вызовы API.

Вопрос. Можно ли настроить получение оповещений о доставке новых файлов журналов в корзину Amazon S3?

Да. Вы можете включить оповещения Amazon SNS, чтобы сразу реагировать на доставку новых файлов журнала.

Вопрос. Что произойдет, если включить сервис CloudTrail для аккаунта, но не настроить корзину Amazon S3 в соответствии с корректной политикой?

Сохранение файлов журналов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журнала.

События, связанные с данными

Вопрос. Что такое события, связанные с данными?

События, связанные с данными, содержат сведения об операциях («плоскость данных»), выполненных с ресурсом или в рамках ресурса. Объем событий, связанных с данными, зачастую велик. К этим событиям относятся такие операции, которые касаются API Amazon S3 объектного уровня и API вызова функций Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. Подробнее описано на странице цен на CloudTrail.

Вопрос. Как можно использовать события, связанные с данными?

События, которые связаны с данными и регистрируются сервисом AWS CloudTrail, сохраняются в Amazon S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в Amazon CloudWatch Events.

Вопрос. Что такое события, связанные с данными в Amazon S3? Как обеспечить их регистрацию?

События, связанные с данными в Amazon S3, отражают действия API над объектами Amazon S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail.

Вопрос. Что такое события, связанные с данными в AWS Lambda? Как обеспечить их регистрацию?

События, связанные с данными в AWS Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий, связанных с данными в Lambda, можно получить информацию о выполнении функций Lambda (например, сведения о том, какой пользователь или сервис IAM сделал вызов Invoke API, когда был сделан вызов и какая функция была выполнена). Сведения о всех событиях, связанных с данными Lambda, доставляются в корзину Amazon S3 и Amazon CloudWatch Events. Включить регистрацию событий, связанных с данными в AWS Lambda, можно с помощью интерфейса командной строки AWS или консоли AWS CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться.

CloudTrail Insights

Вопрос. Что такое события CloudTrail Insights?

События AWS CloudTrail Insights помогают клиентам определять необычные действия в своих аккаунтах AWS, например пиковые нагрузки при выделении ресурсов, всплески действий AWS Identity and Access Management (IAM) или пробелы в периодическом обслуживании. CloudTrail Insights использует модели машинного обучения (ML), которые постоянно отслеживают события управления записью CloudTrail на предмет нетипичной активности.

При обнаружении нетипичной активности события CloudTrail Insights отображаются в консоли и передаются в Amazon CloudWatch Events, корзину Amazon S3 и дополнительно – в группу Amazon CloudWatch Logs. Это упрощает создание предупреждений и интеграцию с существующими системами управления событиями и рабочими процессами.

Вопрос. Какой тип действий помогает определить AWS CloudTrail Insights?

CloudTrail Insights обнаруживает необычную активность, анализируя события управления записью CloudTrail в аккаунте AWS и регионе. Необычное или нетипичное событие определяется как том вызовов API AWS, который отличается от того, что ожидается от ранее установленного рабочего шаблона или базового уровня. CloudTrail Insights адаптируется к изменениям в ваших обычных рабочих шаблонах, принимая во внимание хронологические тренды в вызовах API и применяя адаптивные базовые показатели при изменении рабочих нагрузок.

CloudTrail Insights может помочь обнаружить неправильно работающий скрипт или приложения. Нередко можно услышать, как разработчик меняет скрипт или приложение, которое запускает повторяющийся цикл или выполняет большое количество вызовов непреднамеренных ресурсов, таких как базы данных и хранилища данных, или другие функции. Зачастую такое поведение остается незамеченным до расчетного периода пользования в конца месяца, когда обнаруживается, что расходы неожиданно увеличились либо произошло отключение или сбой. События CloudTrail Insights могут сообщить вам об этих изменениях в вашем аккаунте AWS, чтобы вы могли быстро предпринять корректирующие меры.

Вопрос. Как CloudTrail Insights работает с другими сервисами AWS, которые используют обнаружение аномалий?

CloudTrail Insights может помочь определить необычную рабочую активность в ваших аккаунтах AWS, что позволяет устранять операционные неполадки, сводя к минимуму их влияние на работу и коммерческие процессы. Amazon GuardDuty направлен на повышение безопасности вашего аккаунта, обеспечивая обнаружение угроз путем мониторинга его активности. Amazon Macie разработан для улучшения защиты данных в вашем аккаунте путем обнаружения, классификации и защиты конфиденциальных данных. Эти сервисы обеспечивают дополнительную защиту от различных типов проблем, которые могут возникнуть в вашем аккаунте.

Вопрос. Нужно ли настраивать AWS CloudTrail для работы CloudTrail Insights?

Да. События CloudTrail Insights настраиваются в отдельных отслеживаниях, поэтому необходимо настроить хотя бы одно отслеживание. Когда вы включаете события CloudTrail Insights для отслеживания, CloudTrail начинает отслеживать события управления записью, фиксированные этим отслеживанием, на наличие необычных схем. Если CloudTrail Insights обнаруживает необычную активность, событие CloudTrail Insights регистрируется в пункте назначения доставки, указанном в определении отслеживания.

Вопрос. Какие события отслеживает CloudTrail Insights?

CloudTrail Insights отслеживает необычную активность для API управления записью.

Вопрос. Как начать работу с сервисом?

Вы можете включить события CloudTrail Insights в отдельных отслеживаниях в своем аккаунте, используя консоль, интерфейс командной строки (CLI) или SDK. Вы также можете включить события CloudTrail Insights в рамках своей организации, используя отслеживание для организации, настроенное в вашем основном аккаунте AWS Organizations. Вы можете включить события CloudTrail Insights, выбрав опцию в определении отслеживания.

CloudTrail Lake

Вопрос. В каких случаях рекомендуется использовать AWS CloudTrail Lake?

CloudTrail Lake позволяет отправлять запросы для всех действий, зарегистрированных в CloudTrail, и с помощью этого изучать проблемы. Благодаря этому можно устранить операционные зависимости, а следовательно проще вести журнал проблем. Кроме того, сервис предоставляет инструменты, которые помогают меньше полагаться на сложные конвейеры обработки данных для разных команд. Для CloudTrail Lake не требуется перемещать или загружать журналы CloudTrail куда бы то ни было, а значит поддерживается точность данных и отсутствуют ограничения скорости, влияющие на журналы. Сервис также оптимизирован для обработки больших структурированных журналов, за счет чего обеспечивает более легкий доступ к изучению проблем и близкую к реальному времени задержку. Кроме того, CloudTrail Lake позволяет привычно выполнять запросы с несколькими атрибутами с SQL, а также планировать и обрабатывать несколько запросов одновременно.

Вопрос. Как этот сервис связан и взаимодействует с другими сервисами AWS?

AWS CloudTrail – это стандартный источник журналов активности пользователей и использования API в сервисах AWS. Как только журналы становятся доступны в CloudTrail, с помощью CloudTrail Lake можно проверять активность во всех сервисах AWS. Возможно отправлять запросы и анализировать активность пользователей и затронутые ресурсы, а также использовать эти данные для решения таких задач, как выявление злоумышленников и определение основных разрешений.

Вопрос. К каким событиям CloudTrail можно отправлять запросы после подключения возможности CloudTrail Lake?

CloudTrail Lake можно подключить для любой категории событий, собранных CloudTrail, в зависимости от индивидуальных потребностей. В перечень категорий событий входят события управления, которые фиксируют действия плоскости управления (например, CreateBucket и TerminateInstances), и события данных, фиксирующие действия плоскости данных (например, GetObject и putObject). Отдельная подписка на отслеживание этих событий не требуется. Можно выбрать срок хранения события до 7 лет, а запросы к этим данным отправлять в любой момент.

Вопрос. Через какое время после подключения возможности CloudTrail Lake можно начать писать запросы?

Запросы к действиям, произошедшим после включения CloudTrail Lake, можно отправлять почти мгновенно.

Вопрос. Каковы стандартные примеры использования CloudTrail Lake в системах безопасности и операционных процессах?

В число распространенных примеров использования входит изучение проблем безопасности, таких как несанкционированный доступ или скомпрометированные учетные данные пользователя, а также повышение уровня безопасности за счет регулярных проверок базовых пользовательских разрешений. Можно выполнять спонтанные проверки, чтобы убедиться, что правки в таких ресурсах, как группы безопасности, вносят только уполномоченные пользователи, и отслеживать любые изменения, не соответствующие рекомендациям организации. Кроме того, можно отслеживать действия, произошедшие с ресурсами, и проводить оценку изменений или удалений, а также получать более подробную информацию о платежах за сервисы AWS, включая подписавшихся на сервисы пользователей IAM.

Вопрос. Как начать работу с сервисом?

Все текущие и новые клиенты AWS CloudTrail могут немедленно начать выполнять запросы с помощью возможности CloudTrail Lake, включив ее через API или консоль CloudTrail. Чтобы начать работу, выберите вкладку Lake на левой панели консоли CloudTrail, нажмите кнопку «Создать хранилище данных о событиях» (Create event data store), выберите срок хранения событий (до 7 лет) и категории событий, регистрируемых в CloudTrail (события управления и события данных).

Кроме того, для начала поиска можно писать запросы для распространенных сценариев с помощью примеров, таких как идентификация записей об ошибках авторизации для AssumeRole, или создавать собственные запросы.

Агрегация файлов журнала

Вопрос. У меня есть множество аккаунтов AWS. Мне хотелось бы настроить доставку файлов журнала всех аккаунтов в одну корзину S3. Это возможно?

Да. Вы можете настроить одну корзину Amazon S3 для доставки файлов для множества аккаунтов. Подробные инструкции см. в разделе об агрегации файлов журнала в одну корзину Amazon S3 руководства пользователя AWS CloudTrail.

Интеграция с CloudWatch Logs

Вопрос. В чем заключается интеграция CloudTrail с сервисом CloudWatch Logs?

Интеграция сервиса CloudTrail с CloudWatch Logs позволяет доставлять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch Logs указанной группы.

Вопрос. Каковы преимущества интеграции сервиса CloudTrail с CloudWatch Logs?

Эта интеграция позволяет получать оповещения Amazon SNS об истории аккаунта, зарегистрированной сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети (ACL).

Вопрос. Как включить интеграцию сервиса CloudTrail с CloudWatch Logs?

Вы можете включить интеграцию CloudTrail с CloudWatch Logs из консоли CloudTrail, указав группу журнала CloudWatch Logs и роль IAM. Кроме того, чтобы включить интеграцию, вы можете использовать пакеты SDK AWS и интерфейс командной строки AWS.

Вопрос. Что произойдет при включении интеграции сервиса CloudTrail с CloudWatch Logs?

После включения интеграции сервис CloudTrail будет постоянно доставлять историю аккаунта в поток журналов CloudWatch Logs указанной группы. При этом, как и ранее, CloudTrail продолжит доставлять журналы в корзину Amazon S3.

Вопрос. В каких регионах AWS поддерживается интеграция сервиса CloudTrail с CloudWatch Logs?

Интеграция обеспечена в регионах, где поддерживается CloudWatch Logs. Дополнительную информацию см. в разделе Регионы и конечные точки общих справочных материалов AWS.

Вопрос. Каким образом CloudTrail доставляет события, включающие историю аккаунта, в журналы CloudWatch Logs?

Сервис CloudTrail доставляет историю аккаунта в журналы CloudWatch Logs от имени указанной вами роли IAM. Следует ограничить роль IAM, указав лишь разрешения, необходимые для доставки событий в поток журнала CloudWatch Logs. Обзор политики роли IAM см. в руководстве пользователя из документации по CloudTrail.

Вопрос. Какие расходы влечет за собой включение интеграции сервиса CloudTrail с CloudWatch Logs?

После включения интеграции CloudTrail с CloudWatch Logs вы оплачиваете CloudWatch Logs и CloudWatch по стандартным тарифам. Подробнее описано на странице цен на CloudWatch.

Шифрование файлов протоколов CloudTrail с помощью AWS Key Management Service (KMS)

Вопрос. Каковы преимущества шифрования файлов журнала CloudTrail на стороне сервера с помощью KMS?

Шифрование файлов журналов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, доставляемых в корзину Amazon S3. По умолчанию CloudTrail шифрует файлы журналов, доставляемые в корзину Amazon S3, посредством шифрования Amazon S3 на стороне сервера.

Вопрос. У меня есть приложение для импорта и обработки файлов журналов CloudTrail. Понадобится ли вносить в него изменения?

При использовании шифрования SSE-KMS сервис Amazon S3 автоматически дешифрует файлы журнала, поэтому вносить изменения в приложение не придется. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями Amazon S3 GetObject и KMS Decrypt.

Вопрос. Как настроить шифрование файлов журнала CloudTrail?

Чтобы настроить шифрование файлов журнала, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.

Вопрос. Какая плата взимается за использование шифрования на стороне сервера с помощью KMS?

За использование шифрования на стороне сервера с помощью KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее описано на странице цен на AWS KMS.

Проверка целостности файлов журналов CloudTrail

Вопрос. Что представляет собой проверка целостности файлов журнала CloudTrail?

Возможность проверки целостности файлов журнала CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине Amazon S3, без изменений или же были изменены или удалены.

Вопрос. Для чего нужна проверка целостности файлов журнала CloudTrail?

Возможность проверки целостности файлов журнала является вспомогательным средством в процессах ИТ-безопасности и аудита.

Вопрос. Как включить проверку целостности файлов журнала CloudTrail?

Чтобы включить проверку целостности файлов журнала CloudTrail, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK.

Вопрос. Что происходит при включении проверки целостности файлов журнала?

После включения функции проверки целостности файлов журнала CloudTrail начнет каждый час формировать файл дайджеста. Файл дайджеста содержит информацию о файлах журнала, доставленных в корзину Amazon S3, и их хэш-значениях, цифровые подписи предыдущего файла дайджеста и собственную цифровую подпись в разделе метаданных Amazon S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях описано в документации по CloudTrail.

Вопрос. Куда доставляются файлы дайджеста?

Файлы дайджеста доставляются в ту же корзину Amazon S3, что и файлы журнала. Но при этом они доставляются в другую папку, что позволяет точно настраивать политики доступа. Подробнее описано в разделе о структуре файлов дайджеста документации по CloudTrail.

Вопрос. Как проверить целостность файла журнала или файла дайджеста, сохраненного CloudTrail?

Чтобы проверить целостность файла журнала или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности файлов журнала или файлов дайджеста с помощью интерфейса командной строки AWS см. в документации по CloudTrail.

Вопрос. Я собираю все свои файлов журнала из всех регионов и аккаунтов в одной корзине Amazon S3. Будут ли файлы дайджеста доставляться в ту же корзину Amazon S3?

Да. CloudTrail доставляет файлы дайджеста из всех регионов и аккаунтов в одну и ту же корзину Amazon S3.

Библиотека обработки AWS CloudTrail

Вопрос. Что такое библиотека обработки AWS CloudTrail?

Библиотека обработки AWS CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журнала CloudTrail. Библиотеку обработки CloudTrail можно загрузить на GitHub.

Вопрос. Какие функциональные возможности обеспечивает библиотека обработки CloudTrail?

Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и анализ сообщений Amazon Simple Queue Service (SQS), загрузка журналов, сохраненных в хранилище Amazon S3, отказоустойчивый анализ и последовательная обработка событий в файле журнала. Дополнительную информацию см. в соответствующем разделе руководства пользователя, приведенном в документации по CloudTrail.

Вопрос. Какое программное обеспечение требуется для работы с библиотекой обработки CloudTrail?

Вам потребуется пакет aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.

Цены

Вопрос. Как начисляется плата за использование AWS CloudTrail?

AWS CloudTrail дает возможность просматривать, находить и загружать историю событий за последние 90 дней бесплатно. Вы можете бесплатно доставить один экземпляр текущих событий управлений в Amazon S3, создавая отслеживание. После настройки отслеживания CloudTrail будет начисляться плата за хранилище Amazon S3 по факту использования.

Вы можете доставлять дополнительные копии событий, в том числе событий данных, с помощью отслеживаний. Плата начисляется за каждое событие, связанное с данными, или за дополнительные копии событий управления. Подробные сведения см. на странице цен.

Вопрос. Будет ли начисляться плата, если использовать одну конфигурацию отслеживания событий управления и применять ее ко всем регионам?

Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.

Вопрос. Будет ли начисляться плата, если в существующей конфигурации, в которой бесплатно отслеживаются события управления, включить регистрацию событий, связанных с данными?

Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно.

Партнеры

Вопрос. Каким образом решения, предоставляемые партнерами AWS, помогают выполнять анализ событий, записанных сервисом CloudTrail?

Множество партнеров предлагают интегрированные решения для анализа файлов журнала CloudTrail. Эти решения включают такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Дополнительную информацию см. в разделе партнеров CloudTrail.

Прочее

Вопрос. Отражается ли использование сервиса CloudTrail на производительности ресурсов AWS и может ли оно увеличить время задержки при выполнении вызовов API?

Нет. Включение CloudTrail не влияет на производительность ресурсов AWS или задержку при выполнении вызовов API.

Подробнее о партнерах по AWS CloudTrail

Перейти на страницу партнеров
Готовы приступить к разработке?
Начать работу с AWS CloudTrail
Возникли дополнительные вопросы?
Свяжитесь с нами