AWS CloudTrail – это веб-сервис, который записывает все вызовы AWS API для вашего аккаунта и предоставляет вам лог-файлы. Записанная информация включает в себя идентификацию источника, совершившего вызов API, время вызова API, IP-адрес источника, совершившего вызов API, параметры запроса, а также элементы ответа, возвращенные сервисом AWS.
С помощью CloudTrail можно получить историю вызовов API AWS, сделанных в вашем аккаунте, включая вызовы API, сделанные из Консоли управления AWS или с помощью пакетов AWS SDK, инструментов командной строки и сервисов AWS более высокого уровня (таких как AWS CloudFormation). История вызовов API AWS в CloudTrail делает возможным проведение анализа безопасности, отслеживание изменения ресурсов и аудит соответствия.
Начните работать с AWS бесплатно
Создать бесплатный аккаунтили войти в Консоль
Получите доступ к уровню бесплатного пользования AWS на год, включая возможности базовой поддержки AWS Basic Support: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.
- Вызовы API на уровне корзин Amazon S3 теперь доступны в AWS CloudTrail
- Просмотр операций API в AWS CloudTrail
- Шаблон CloudFormation для создания предупреждений CloudWatch и получения оповещений по электронной почте о критически важных вызовах API в аккаунте AWS, связанных с сетью и безопасностью
- Интеграция AWS CloudTrail с функцией Amazon CloudWatch Logs теперь доступна в регионах Сидней, Сингапур, Франкфурт и Токио
- Теперь AWS CloudTrail можно использовать в регионе US GovCloud (США)
CloudTrail позволяет отслеживать действия пользователей путем записи вызовов API AWS. Благодаря этому вы можете получить информацию о: действиях, выполненных конкретным пользователем за указанный промежуток времени; пользователях, выполнявших действия с данным ресурсом за данный промежуток времени; IP-адресе, с которого выполнялись данные действия; действиях, которые не были выполнены в связи с несоответствием разрешений.
CloudTrail использует хранилище Amazon S3 для надежного и недорогого хранения и передачи лог-файлов. Чтобы еще значительней сократить расходы на хранение данных, следуйте правилам настройки жизненного цикла данных Amazon S3. Например, можно определить правила автоматического удаления старых лог-файлов или их архивации в хранилище Amazon Glacier для дополнительной экономии.
Сервис CloudTrail полностью автоматизирован. Достаточно включить его в вашем аккаунте, воспользовавшись Консолью управления AWS, интерфейсом командной строки или SDK CloudTrail, и вы начнете получать лог-файлы CloudTrail в заданную вами корзину сервиса Amazon Simple Storage Service (Amazon S3).
CloudTrail можно настроить для публикации оповещения о каждом сохраненном лог-файле, что позволит автоматически выполнять определенное действие при сохранении лог-файла. Для создания оповещений CloudTrail использует сервис Amazon Simple Notification Service (SNS).
Многие партнеры AWS, в том числе AlertLogic, Boundary, Loggly, Splunk и Sumologic, предлагают интегрированные решения анализа лог-файлов CloudTrail. Эти решения предоставляют такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Подробнее см. в разделе о партнерах CloudTrail.
CloudTrail можно настроить для агрегации лог-файлов из нескольких аккаунтов и регионов с сохранением их в одну корзину. Подробные инструкции см. в разделе Агрегирование лог-файлов CloudTrail в одну корзину Amazon S3.
Сервис CloudTrail непрерывно выполняет передачу событий от сервисов AWS, используя для этого высокодоступный и отказоустойчивый обрабатывающий конвейер. Как правило, CloudTrail сохраняет событие в течение 15 минут после выполнения вызова API.
Вы можете устранять неполадки в работе и проводить анализ безопасности путем просмотра операций API, выполнение которых было зарегистрировано в вашем аккаунте AWS. С помощью консоли AWS CloudTrail, интерфейса командной строки AWS или AWS SDK вы легко и быстро проанализируете операции API, выполненные за последние 7 дней, и сможете сразу же принять необходимые меры. Подробнее о просмотре операций API см. в данном разделе документации CloudTrail.
Сервис CloudTrail можно настроить для сохранения операций API в заданную вами группу логов CloudWatch Logs. После этого можно создавать предупреждения CloudWatch, чтобы получать оповещения SNS при выполнении определенных операций API. Подробнее см. раздел вопросов и ответов и Руководство пользователя в документации CloudTrail.
По умолчанию CloudTrail шифрует все лог-файлы, доставляемые в указанную корзину Amazon S3, с помощью шифрования Amazon S3 на стороне сервера. При желании можно защитить лог-файлы CloudTrail с помощью дополнительного уровня безопасности, шифруя лог-файл с использованием ключа AWS Key Management Service (KMS). Amazon S3 автоматически дешифрует лог-файлы при наличии у пользования разрешений на дешифрование. Дополнительную информацию см. в разделе Шифрование лог-файлов с помощью ключа KMS.
Можно проверить целостность лог-файлов CloudTrail, хранящихся в корзине Amazon S3, и удостовериться в том, что никакие лог-файлы не были изменены или удалены после того, как CloudTrail доставил их в корзину Amazon S3. Проверка целостности лог-файлов может использоваться как вспомогательная мера при обеспечении ИТ-безопасности и аудите.
В настоящее время CloudTrail поддерживает следующие сервисы:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Autoscaling
- Elastic Load Balancing (ELB)
- Amazon EC2 Container Service
- AWS Lambda
- Amazon Simple Storage Service (Amazon S3)
- Amazon Elastic Block Store (Amazon EBS)
- AWS Storage Gateway
- Amazon Glacier
- Amazon CloudFront
- Amazon Relational Database Service (Amazon RDS)
- Amazon Redshift;
- Amazon ElastiCache
- Amazon DynamoDB
- AWS Direct Connect
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon Route 53
- AWS Simple Queue Service (AWS SQS)
- Amazon Simple Notification Service (AWS SNS)
- Amazon Simple WorkFlow
- Amazon Cloudsearch
- Amazon Elastic Transcoder
- Amazon Simple Email Service
- Amazon API Gateway
- Amazon Cognito
- AWS CloudFormation
- AWS OpsWorks
- AWS CodeDeploy
- AWS Elastic Beanstalk
- AWS Identity and Access Management (AWS IAM)
- AWS Security Token Service (AWS STS)
- AWS CloudTrail
- AWS Key Management Service
- Amazon CloudWatch
- AWS Config
- AWS Directory Service
- Amazon Kinesis
- Amazon Elastic Map Reduce (EMR)
- AWS Data Pipeline
- Amazon Machine Learning
- Amazon WorkDocs
- Amazon WorkSpaces
В настоящее время CloudTrail поддерживается в таких регионах:
- Восток США (Северная Вирджиния)
- Запад США (Орегон)
- Запад США (Северная Калифорния)
- ЕС (Ирландия)
- ЕС (Франкфурт)
- Азия и Тихий океан (Токио)
- Азия и Тихий океан (Сидней)
- Азия и Тихий океан (Сингапур)
- Южная Америка (Сан-Паулу)
- GovCloud (США)
- Пекин (Китай)
Вы можете использовать историю вызовов API AWS, сгенерированную CloudTrail, в качестве входных данных решений анализа и управления логами, применяемых для анализа безопасности и определения схем поведения пользователей.
Вы можете использовать историю вызовов API AWS, сгенерированную CloudTrail, для отслеживания изменений ресурсов AWS, в том числе создания, изменения и удаления ресурсов AWS, например инстансов Amazon EC2, групп безопасности Amazon VPC и томов Amazon EBS.
Сервис CloudTrail упрощает обеспечение соответствия внутренним политикам и нормативным стандартам благодаря использованию истории вызовов API AWS. Подробнее см. в соответствующем техническом описании AWS Безопасность при любых масштабах: логи сервисов AWS.
Вы можете использовать историю вызовов API AWS, сгенерированную CloudTrail, для устранения неполадок в работе. Например, с ее помощью вы быстро определите последние изменения ресурсов вашей среды.
