写点什么

AWS CloudTrail 扩展了 API 调用审计

  • 2014-06-29
  • 本文字数:1322 字

    阅读完需:约 4 分钟

AWS大幅增加 AWS CloudTrail 支持的服务数量,以便涵盖大量的 AWS 服务组合中的大多数。当前支持的服务包括大多数计算和网络服务以及所有的部署和管理服务,因此几乎可以为客户基础设施的任何更改提供全方位的端到端的审计。

最初向美国东部(北弗吉尼亚)和美国西部(俄勒冈州)提供服务,现在,AWS将CloudTrail 的覆盖面扩展到了美国西部(北加利福尼亚)、欧盟(爱尔兰)、亚太地区(悉尼)。按照计划,CloudTrail 将很快为全球范围内其它可访问的域提供支持。

AWS CloudTrail 会记录一个 AWS 账号所作的所有 API 调用,不管调用是从哪里发起,可以是 AWS 管理控制台,可以是 AWS 命令行接口,或者是使用了任何种类 AWS SDK 的第三方应用程序。它将生成的日志文件以 JSON 格式存储在一个 Amazon S3 存储段中,并提供了一个可选项,每次有文件发布时可以通知到 Amazon SNS 主题,那样,第三方和自定义日志分析解决方案就可以避免轮询,并在新的日志文件到达时才进行获取。

日志记录和审计的不同应用场景包括安全分析、更改跟踪、法规遵从性援助和运行故障排除。比如,若干第三方监控和分析工具提供 CloudTrail 事件与应用程序性能监控图表的关联,对于已知的性能衰退,可能由此识别出可能导致其发生或对其产生影响的 AWS 资源更改。

全方位的 JSON 日志记录可以提供如下信息:

  • 谁调用了 API?——AWS 身份类别(根账号、IAM 用户或角色、联合身份验证用户)、友好的用户名、访问密钥、账号等。
  • 什么时候调用了 API?——以 ISO 8601 格式记录的事件日期和时间。
  • 调用了什么?——API 调用和服务,如 EC2 上的“RunInstances”
  • API 调用作用在了哪些资源上?——请求参数和部分响应元素(为了避免事件信息过大,只读调用的结果中排除了像 Describe*、Get*、List* 这样的结果)
  • 调用从哪里发起?——清楚记录调用者 IP 地址和目标域

系统分析师 René Büst 在一篇博文中强调,对于个别的敏感用户和应用场景,CloudTrail 是一个非常有价值(至今为止非常特别)的解决方案:

对于企业客户,AWS CloudTrail 是 Amazon 近期发布的最重要的服务之一。通过允许记录所有对 AWS 服务的访问确保收集的日志符合政府规程。用户可以更有效地进行安全审计 [……],准确地识别出数据漏洞和未经授权的或错误的数据访问的来源。

CloudTrail“会在 API 调用 15 分钟内发送一个事件”,并且“大约每 5 分钟将生成的日志文件发送到 S3 存储段”。这使它不适用于严格实时的运行和安全监控,但是,准实时的更改跟踪、安全分析和运行故障排除还是可以保证的。

由于运行和安全方面的原因,日志文件可以跨AWS 域甚至多个AWS 账号聚集。比如,用户可能想要将开发账号和生产账号的审计日志合并到专用的审计账号,该账号有更高的安全性配置,并且限制用户访问,就像统一计费账号用于隔离涉众专属的计费和成本管理所做的那样。

CloudTrail 文档提供了通常的用户指南 API 参考。CloudTrail API 已经获得了跨平台的 AWS 命令行接口 AWS Tools for Windows PowerShell 和大多数 AWS SDK 的支持。用户支持可以从 AWS CloudTrail 论坛上获得。CloudTrail 本身是免费的,Amazon S3 存储和可选的 Amazon SNS 通知产生了这些服务的标准成本。

查看英文原文:**** AWS CloudTrail Expands Auditing of API Calls

2014-06-29 19:571336
用户头像

发布了 256 篇内容, 共 85.5 次阅读, 收获喜欢 12 次。

关注

评论

发布
暂无评论
发现更多内容

【淘系技术】超详解析Flutter渲染引擎_业务想创新,不了解底层原理怎么行

android 程序员 移动开发

一款Android开发者神器,从此不怕Show case

android 程序员 移动开发

三年 Android 开发的技术人生,浅谈自身面试的感悟

android 程序员 移动开发

不要学得太杂太乱!学习Android开发只要记住这几点!

android 程序员 移动开发

【自学Flutter】18 TabBar、TabBarView

android 程序员 移动开发

一篇文章教你搞清楚——Kotlin-进阶---不变型、协变

程序员 移动开发

一起看 I_O _ Android 12 Beta 版发布,诸多亮点不容错过

android 程序员 移动开发

一种清晰, 便于扩展android项目架构方案

android 程序员 移动开发

【CSS Master】选择器四种基本类型

devpoint

CSS CSS语法 11月日更

【自学Flutter】3

android 程序员 移动开发

【透镜系列】看穿 _ 触摸事件分发 _

android 程序员 移动开发

【面试总结】Android-开发者值得深入思考的几个面试问答分享

android 程序员 移动开发

一个简单强大且灵活的 MVP 框架。

android 程序员 移动开发

一位Android大牛的BAT面试心得与经验总结

android 程序员 移动开发

一波Android面试(附答案)

android 程序员 移动开发

一行代码解决安卓重复点击?

android 程序员 移动开发

一封给Android开发者 UI 自动化测试上手指南

android 程序员 移动开发

七月脱产复习上岸Byte Dance,敢问:这不比“博人传

android 程序员 移动开发

不要花大力气学-Kotlin

android 程序员 移动开发

一个34岁出来面试还被拒绝的Android程序员有多惨?

android 程序员 移动开发

万字长文 - Kotlin 协程进阶

android 程序员 移动开发

三年经验Android开发面经总结

android 程序员 移动开发

iOS开发:上架App被拒原因5.1.1Legal Privacy - Data Collection and Storage

三掌柜

11月日更

一个自学Android-人的第三年的面经分享

android 程序员 移动开发

一位30多岁已婚已育没有车贷男程序员的不安

android 程序员 移动开发

一次面试被问到ArrayMap,原理及源码分析详解

android 程序员 移动开发

一直认为Android不好找工作的同学,你的问题在这里!

android 程序员 移动开发

三面字节跳动被虐得“体无完肤”,15天读完这份pdf

android 程序员 移动开发

【自学Android】使用DataBinding,ViewModel,LiveData完成点赞小功能

android 程序员 移动开发

快速创建一个Django项目,Python环境也给你安排了

老表

Python django 个人博客 web开发 11月日更

【自学Flutter】20

android 程序员 移动开发

AWS CloudTrail扩展了API调用审计_安全_Steffen Opel_InfoQ精选文章