AWS CloudTrail 是一項 Web 服務,用於記錄您帳戶的 AWS API 呼叫並為您提供日誌檔案。記錄的資訊包括 API 發起人的身分、API 呼叫的時間、API 發起人的來源 IP 地址、請求參數以及 AWS 服務傳回的回應元素。
利用 CloudTrail,您可以取得關於帳戶的 AWS API 呼叫的歷史記錄,包括透過 AWS 管理主控台、AWS 開發套件、命令列工具和更高等級的 AWS 服務 (例如 AWS CloudFormation) 進行的 API 呼叫。CloudTrail 產生的 AWS API 呼叫歷史記錄可用於安全分析、資源變更追蹤以及合規稽核。
CloudTrail 透過記錄 AWS API 呼叫,提高使用者活動的可見性。您可得知某位指定的使用者在特定時間內執行了哪些動作?對於特定的資源,哪位使用者在特定時間內對它執行動作?指定活動的來源 IP 地址是什麼?哪些活動因許可不足而失敗?
CloudTrail 使用 Amazon S3 儲存和交付日誌檔,所以日誌檔的儲存耐用且經濟實惠。您可以使用 Amazon S3 生命週期組態規則進一步降低儲存成本。例如,您可以將規則定義為自動刪除舊日誌檔或將其存檔到 Amazon Glacier,以節省更多成本。
CloudTrail 可設定為每交付一個日誌檔便發佈一個通知,因此,您能夠在日誌檔送達時自動採取動作。CloudTrail 使用 Amazon Simple Notification Service (SNS) 發佈通知。
CloudTrail 提供所有 S3 物件層級 API 呼叫的可見性,包含 Get、Put、Delete 以及對 S3 物件上 ACL 的變更。您可以取得關於每個 API 呼叫的詳細資訊,例如發出 API 呼叫的 IAM 使用者、發出呼叫的時間以及影響哪些資源等。
CloudTrail 可設定為彙總多個帳戶和區域的日誌檔,將日誌檔交付給單一儲存貯體。有關詳細說明,請參閱使用者指南中的 Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket 部分。
在預設情況下,CloudTrail 會使用 Amazon S3 伺服器端加密 (SSE) 來加密傳送至指定 Amazon S3 儲存貯體的所有日誌檔。您也可以選擇利用 AWS Key Management Service (KMS) 金鑰來加密日誌檔,以便在 CloudTrail 日誌檔提供多一層保護。如果您有解密許可,Amazon S3 會自動解密您的日誌檔。有關更多詳細資訊,請參閱使用您的 KMS 金鑰加密日誌檔。
您可以查詢 AWS 帳戶所擷取的 API 活動,對操作問題進行故障排除或執行安全分析。使用 AWS CloudTrail 主控台、AWS CLI 或 AWS 開發套件,您可以輕鬆快速地回答有關最後 7 天的 API 活動問題,並採取立即的動作。有關更多詳細資訊,請參閱 CloudTrail 文件的這個部分,以了解查詢 API 活動的相關資訊。
您可以使用 CloudTrail 產生的 AWS API 呼叫歷史記錄做為日誌管理和分析解決方案的輸入資料,以執行安全分析和偵測使用者行為模式。
您可以使用 CloudTrail 產生的 AWS API 呼叫歷史記錄來追蹤 AWS 資源的變更,包括對 Amazon EC2 執行個體、Amazon VPC 安全群組和 Amazon EBS 磁碟區等 AWS 資源的建立、修改和刪除。
CloudTrail 透過提供 AWS API 呼叫歷史記錄,更輕鬆地確保符合內部政策和法規標準。有關更多詳細資訊,請參閱 AWS 合規白皮書 "Security at Scale: Logging in AWS"。
您可以使用 CloudTrail 產生的 AWS API 呼叫歷史記錄,對操作問題進行故障排除。例如,您可以快速識別出環境中最新的資源變更。
CloudTrail 可記錄來自大多數 AWS 服務的 API 活動和服務事件。如需目前支援的服務清單,請參閱 CloudTrail User Guide。
所有 AWS 區域都支援 CloudTrail。如需支援的區域及終端節點的完整清單,請參閱 CloudTrail User Guide。
