AWS CloudTrail ist ein Web-Service, der Aufrufe von AWS-APIs für Ihr Konto aufzeichnet und Protokolldateien an Sie übermittelt. Zu den aufgezeichneten Informationen gehören u. a die aufrufende API-Methode, der Zeitpunkt des API-Aufrufs, die IP-Quelladresse des API-Aufrufers, die Anforderungsparameter und die Antwortelemente, die vom AWS-Service zurückgegeben werden.

Mit CloudTrail erhalten Sie einen Verlauf der AWS-API-Aufrufe für Ihr Konto, einschließlich über die AWS Management Console, AWS SDKs, Befehlszeilen-Tools und allgemeine AWS-Services (z. B. AWS CloudFormation) erfolgte API-Aufrufe. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften.

Kostenlos bei AWS einsteigen

Kostenloses Konto erstellen
Oder bei der Konsole anmelden

Erhalten Sie 12 Monate lang Zugriff auf das kostenlose Nutzungskontingent von AWS sowie AWS Support-Funktionen der Stufe ''Basic'' mit Kundenservice rund um die Uhr, Support-Foren und vielen weiteren Vorteilen.





CloudTrail bietet mehr Transparenz bei Ihrer Benutzeraktivität, indem Aufrufe von AWS-APIs aufgezeichnet werden. Sie können bestimmen, welche Aktionen ein bestimmter Benutzer in einem bestimmten Zeitraum ausgeführt hat. Oder bei einer bestimmten Ressource feststellen, welche Benutzer in einem bestimmten Zeitraum Aktion auf diese angewendet hat. Sie können auch die IP-Quelladresse einer bestimmten Aktivität feststellen. Und Sie können herausfinden, welche Aktivitägen aufgrund unzureichender Berechtigungen fehlgeschlagen sind.

CloudTrail nutzt Amazon S3 für die Speicherung und Übermittlung von Protokolldateien, die beständig und kostengünstig gespeichert werden. Sie können Konfigurationsregeln für den Amazon S3-Lebenszyklus verwenden, um Speicherkosten weiter zu senken. Sie können beispielsweise Regeln für das automatische Löschen alter Protokolldateien definieren oder diese für weitere Einsparungen in Amazon Glacier archivieren.

CloudTrail ist ein vollständig verwalteter Service. Sie müssen CloudTrail lediglich über die AWS Management Console, die Befehlszeilen-Schnittstelle oder das CloudTrail SDK für Ihr Konto aktivieren und schon beginnt der Empfang von CloudTrail-Protokolldateien im Amazon Simple Storage Service (Amazon S3)-Bucket, den Sie angegeben haben.

CloudTrail kann so konfiguriert werden, dass eine Benachrichtigung für jede übermittelte Protokolldatei veröffentlicht wird. Dadurch können Sie nach der Übermittlung der Protokolldatei automatisch Maßnahmen ergreifen. CloudTrail nutzt für Benachrichtigungen den Amazon Simple Notification Service (SNS).

Mehrere Partner, z. B. AlertLogic, Boundary, Loggly, Splunk und Sumologic, bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.

CloudTrail kann für das Zusammenführen von Protokolldateien aus mehrere Konten und Regionen in einem zentralen Bucket konfiguriert werden. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single Amazon S3 bucket im Benutzerhandbuch.

CloudTrail transportiert Ereignisse fortlaufend mithilfe einer hochverfügbaren und fehlertoleranten Verarbeitungs-Pipeline aus AWS-Services. CloudTrail übermittelt Ergebnisse in der Regel binnen 15 Minuten nach dem API-Aufruf.

Sie können Betriebsprobleme beheben oder eine Sicherheitsanalyse durchführen, indem Sie die API-Aktivitäten abfragen, die für Ihr AWS-Konto erfasst wurden. Mit der AWS CloudTrail-Konsole, der AWS-Befehlszeilen-Schnittstelle oder AWS SDKs können Sie schnell und einfach Fragen zu den API-Aktivitäten der letzten 7 Tage beantworten und sofort entsprechende Maßnahmen ergreifen. Weitere Informationen finden Sie in diesem Abschnitt der CloudTrail-Dokumentation zum Abfragen von API-Aktivitäten.

 

CloudTrail kann so konfiguriert werden, dass API-Aktivitäten an eine von Ihnen festgelegte CloudWatch Logs-Protokollgruppe übermittelt werden. Sie können dann CloudWatch-Warnungen einrichten, um bei bestimmten API-Aktivitäten SNS-Benachrichtigungen zu erhalten. Details finden Sie in den häufig gestellten Fragen und dem Benutzerhandbuch zu CloudTrail.

 

Standardmäßig verschlüsselt CloudTrail sämtliche Protokolldateien, die an den angegebenen Amazon S3-Bucket geliefert werden, mithilfe von serverseitiger Amazon S3-Verschlüsselung (SSE). Sie können Ihren CloudTrail-Protokolldateien auch eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem AWS KMS-Schlüssel (Key Management Service) verschlüsseln. Amazon S3 entschlüsselt ihre Protokolldateien automatisch, sofern Sie über die Berechtigung zum Entschlüsseln verfügen. Weitere Informationen finden Sie unter Verschlüsseln von Protokolldateien mithilfe Ihres KMS-Schlüssels.


Sie können die Integrität Ihrer in Ihrem Amazon S3-Bucket gespeicherten CloudTrail-Protokolldateien prüfen und erkennen, ob die Protokolldateien unverändert sind, verändert oder gelöscht wurden, seit CloudTrail sie an Ihren Amazon S3-Bucket geliefert hat. Sie können die Integritätsprüfung für Protokolldateien zur Unterstützung ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.


Derzeit unterstützt CloudTrail die folgenden Services:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Auto Scaling
  • Elastic Load Balancing (ELB)
  • Amazon EC2 Container Service
  • AWS Lambda

  • Amazon Simple Storage Service (Amazon S3)
  • Amazon Elastic Block Store (Amazon EBS)
  • AWS Storage Gateway
  • Amazon Glacier
  • Amazon CloudFront

  • Amazon Relational Database Service (Amazon RDS)
  • Amazon Redshift
  • Amazon ElastiCache
  • Amazon DynamoDB

  • AWS Direct Connect
  • Amazon Virtual Private Cloud (Amazon VPC)
  • Amazon Route 53

  • Amazon Simple Queue Service (Amazon SQS)
  • Amazon Simple Notification Service (AWS SNS)
  • Amazon Simple WorkFlow
  • Amazon CloudSearch
  • Amazon Elastic Transcoder
  • Amazon Simple Email Service

  • AWS CloudFormation
  • AWS OpsWorks
  • AWS CodeDeploy
  • AWS Elastic Beanstalk

  • AWS Identity and Access Management (AWS IAM)
  • AWS Security Token Service (AWS STS)
  • AWS CloudTrail
  • AWS Key Management Service
  • Amazon CloudWatch
  • AWS Config
  • AWS Directory Service

  • Amazon Kinesis
  • Amazon Elastic Map Reduce (EMR)
  • AWS Data Pipeline
  • Amazon Machine Learning

  • Amazon WorkDocs
  • Amazon WorkSpaces


Derzeit unterstützt CloudTrail die folgenden Regionen:

  • USA Ost (Nord-Virginia)
  • USA West (Oregon)
  • USA West (Nordkalifornien)
  • EU (Irland)
  • EU (Frankfurt)

  • AP Nordost (Tokyo)
  • AP Südost (Sydney)
  • AP Südost (Singapur)
  • SA Ost (Sao Paulo)
  • GovCloud (USA)
  • Peking (China)


Sie können den von CloudTrail erstellten AWS-API-Aufrufverlauf als Eingabe in Protokollverwaltungs- und -analyselösungen nutzen, um eine Sicherheitsanalyse durchzuführen und Muster beim Benutzerverhalten auszumachen.

 

Sie können den von CloudTrail erstellten AWS-API-Aufrufverlauf zum Nachverfolgen von Änderungen an AWS-Ressourcen nutzen und prüfen, welche AWS-Ressourcen wie Amazon EC2-Instances, Amazon VPC-Sicherheitsgruppen und Amazon EBS-Volumes erstellt, geändert oder gelöscht wurden.

CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften durch das Bereitstellen eines AWS-API-Aufrufverlaufs. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Security at Scale: Logging in AWS.

Sie können mithilfe des von CloudTrail erstellten AWS-API-Aufrufverlaufs Betriebsprobleme beheben. Sie können beispielsweise rasch die Änderungen bestimmen, die an Ressourcen in Ihrer Umgebung zuletzt erfolgt sind.