Главная » Ответы

AWS CloudTrail — создание мультирегионального рабочего процесса для отслеживания активности пользователей и API на вашей учетной записи AWS

На чтение 4 мин. Просмотров 88 Опубликовано

Содержание
  1. Нужна ли вам большая безопасность для вашей учетной записи AWS?
  2. AWS CloudTrail
  3. Архитектура
  4. Урок 1: Создание CloudTrail для нескольких регионов с помощью консоли AWS
  5. Урок 2 (необязательный): Добавление событий Insights
  6. Урок 3 (необязательный): Создание Cloud Watch в CloudTrail
  7. Заключение
  8. Ресурсы
  9. Присоединяйтесь к нам на конференции AWS re:Inforce

Нужна ли вам большая безопасность для вашей учетной записи AWS?

В предыдущем блоге я реализовал несколько шагов для снижения затрат и защиты несанкционированного доступа пользователей к учетной записи AWS.

Эти шаги включали в себя:

a) Блокировка публичного доступа к ведрам S3 включена
b) привязка многофакторной аутентификации (MFA) к корневому аккаунту AWS
c) Очистка и удаление неактивных служб AWS
d) Удаление пользователей, которые не указаны в AWS IAM
e) Сброс паролей для ваших учетных записей AWS IAM и Root
f) Сброс паролей для учетных записей электронной почты
g) Создание MFA на ваших учетных записях электронной почты
h) Мониторинг использования сервисов AWS с помощью AWS Cloud Watch
i) Создание отчета об обнаружении аномалий в расходах с помощью AWS Cost Explorer.

Если вы хотите отслеживать несанкционированный доступ пользователя, вы также можете создать AWS CloudTrail.

AWS CloudTrail

AWS CloudTrail может использоваться для обеспечения соответствия нормативным требованиям, предоставляя аудиторскую проверку действий пользователей и использования API путем мониторинга событий от пользователя, роли или сервиса AWS в виде события с данными журнала, хранящимися в ведре S3.

CloudTrail может отслеживать и записывать действия пользователей во всех сервисах AWS, создавая журнал в одном или нескольких регионах.

Архитектура

Архитектура рабочего процесса CloudTrail показана ниже на диаграмме AWS:

Рабочий процесс начинается с:

Шаг 1: Необычная активность пользователя или API регистрируется CloudTrail.

Шаг 2: Журналы истории событий хранятся в ведре S3, созданном CloudTrail.

Шаг 3: Необычная активность пользователей или API отслеживается, история событий за последние 90 дней может быть просмотрена путем создания дополнительной панели событий Insights, которую можно загрузить в виде файла csv или json.

Шаг 4: Консоль CloudTrail проанализирует последние события

Урок 1: Создание CloudTrail для нескольких регионов с помощью консоли AWS

Шаг 1: Убедитесь, что вы создали учетную запись AWS

Шаг 2: Создайте разрешения IAM для CloudTrail

Шаг 3: Перейдите к строке поиска и введите слово CloudTrail

Шаг 4: На домашней странице CloudTrail нажмите оранжевую кнопку Создать след

Шаг 5: Создайте имя для тропы, которое описывает ее назначение.

Шаг 6: Нажмите Создать новый S3 bucket и укажите имя для S3 bucket, созданного CloudTrail. Нажмите Далее

Диаграмма ниже является подтверждением создания ведра S3:

Шаг 7: В разделе Choose log events вы можете оставить настройки по умолчанию и выбрать Save Changes.

Шаг 8: Появляется подтверждение создания CloudTrail.

Вы можете перейти к недавним событиям журнала с панели CloudTrail.

Урок 2 (необязательный): Добавление событий Insights

CloudTrail доступен в рамках бесплатного уровня AWS, поэтому, пожалуйста, ознакомьтесь с ценами на события Insights Events здесь, так как вы можете понести дополнительные расходы.

Шаг 1: Зайдите в созданный CloudTrail, прокрутите вниз до Events и нажмите Edit, установите флажок ‘insights events’.

Шаг 2: Отметьте поле Insight Events, а затем отметьте два последних поля ‘API error rate’ и ‘API call rate’.

Через 24 часа вы сможете просматривать события инсайта на своей приборной панели.

Урок 3 (необязательный): Создание Cloud Watch в CloudTrail

Перейдите к CloudWatchLogs, нажмите «включено» и «Сохранить изменения».

Заключение

Вы можете быть спокойны, если позволите AWS CloudTrail отслеживать всю активность пользователей и API на ваших сервисах AWS в нескольких регионах, где данные журналов хранятся в вашем ведре S3 для просмотра в целях аудита. Вы также получите доступ к приборной панели для визуализации более детальных сведений, которые могут понадобиться для понимания истории событий для вашей учетной записи AWS.

До следующего раза, счастливого обучения! 😁

Ресурсы

Что такое AWS CloudTrail?

Создание CloudTrail с помощью AWS Console

Создание событий Insight

Присоединяйтесь к нам на конференции AWS re:Inforce

На следующей неделе состоится конференция AWS re:Inforce, 26-27 июля 📆.

Обучающая конференция по вопросам соответствия, конфиденциальности и идентификации 🔐🛠️

— Зарегистрируйтесь, чтобы посмотреть ключевые доклады и сессии в прямом эфире онлайн 📺

— Ссылка: https://reinforce.awsevents.com

Оцените статью
devanswers.ru
Добавить комментарий