【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

AWS CloudTrail 扩展了 API 调用审计

  • 2014-06-29
  • 本文字数:1322 字

    阅读完需:约 4 分钟

AWS大幅增加 AWS CloudTrail 支持的服务数量,以便涵盖大量的 AWS 服务组合中的大多数。当前支持的服务包括大多数计算和网络服务以及所有的部署和管理服务,因此几乎可以为客户基础设施的任何更改提供全方位的端到端的审计。

最初向美国东部(北弗吉尼亚)和美国西部(俄勒冈州)提供服务,现在,AWS将CloudTrail 的覆盖面扩展到了美国西部(北加利福尼亚)、欧盟(爱尔兰)、亚太地区(悉尼)。按照计划,CloudTrail 将很快为全球范围内其它可访问的域提供支持。

AWS CloudTrail 会记录一个 AWS 账号所作的所有 API 调用,不管调用是从哪里发起,可以是 AWS 管理控制台,可以是 AWS 命令行接口,或者是使用了任何种类 AWS SDK 的第三方应用程序。它将生成的日志文件以 JSON 格式存储在一个 Amazon S3 存储段中,并提供了一个可选项,每次有文件发布时可以通知到 Amazon SNS 主题,那样,第三方和自定义日志分析解决方案就可以避免轮询,并在新的日志文件到达时才进行获取。

日志记录和审计的不同应用场景包括安全分析、更改跟踪、法规遵从性援助和运行故障排除。比如,若干第三方监控和分析工具提供 CloudTrail 事件与应用程序性能监控图表的关联,对于已知的性能衰退,可能由此识别出可能导致其发生或对其产生影响的 AWS 资源更改。

全方位的 JSON 日志记录可以提供如下信息:

  • 谁调用了 API?——AWS 身份类别(根账号、IAM 用户或角色、联合身份验证用户)、友好的用户名、访问密钥、账号等。
  • 什么时候调用了 API?——以 ISO 8601 格式记录的事件日期和时间。
  • 调用了什么?——API 调用和服务,如 EC2 上的“RunInstances”
  • API 调用作用在了哪些资源上?——请求参数和部分响应元素(为了避免事件信息过大,只读调用的结果中排除了像 Describe*、Get*、List* 这样的结果)
  • 调用从哪里发起?——清楚记录调用者 IP 地址和目标域

系统分析师 René Büst 在一篇博文中强调,对于个别的敏感用户和应用场景,CloudTrail 是一个非常有价值(至今为止非常特别)的解决方案:

对于企业客户,AWS CloudTrail 是 Amazon 近期发布的最重要的服务之一。通过允许记录所有对 AWS 服务的访问确保收集的日志符合政府规程。用户可以更有效地进行安全审计 [……],准确地识别出数据漏洞和未经授权的或错误的数据访问的来源。

CloudTrail“会在 API 调用 15 分钟内发送一个事件”,并且“大约每 5 分钟将生成的日志文件发送到 S3 存储段”。这使它不适用于严格实时的运行和安全监控,但是,准实时的更改跟踪、安全分析和运行故障排除还是可以保证的。

由于运行和安全方面的原因,日志文件可以跨AWS 域甚至多个AWS 账号聚集。比如,用户可能想要将开发账号和生产账号的审计日志合并到专用的审计账号,该账号有更高的安全性配置,并且限制用户访问,就像统一计费账号用于隔离涉众专属的计费和成本管理所做的那样。

CloudTrail 文档提供了通常的用户指南 API 参考。CloudTrail API 已经获得了跨平台的 AWS 命令行接口 AWS Tools for Windows PowerShell 和大多数 AWS SDK 的支持。用户支持可以从 AWS CloudTrail 论坛上获得。CloudTrail 本身是免费的,Amazon S3 存储和可选的 Amazon SNS 通知产生了这些服务的标准成本。

查看英文原文:**** AWS CloudTrail Expands Auditing of API Calls

2014-06-29 19:571241
用户头像

发布了 256 篇内容, 共 81.2 次阅读, 收获喜欢 11 次。

关注

评论

发布
暂无评论
发现更多内容

RocketMQ 重试机制详解及最佳实践

阿里巴巴云原生

阿里云 RocketMQ 云原生

极客时间架构训练营模块六作业

李晨

架构

好家伙!阿里P8撰写的Java微服务架构全栈笔记GitHub一夜飞到榜首

小二,上酒上酒

Java 架构 面试 微服务

最新出炉!开源 API 网关的性能对比:APISIX 3.0 和 Kong 3.0

API7.ai 技术团队

kong api 网关 APISIX

这些小技巧,让你的前端编程更优雅

好程序员IT教育

前端

灵雀云ACP 斩获“2022金边奖-最佳云原生边缘云平台”

York

容器 云原生 5G 边缘计算 边缘云

低门槛上手快!火山引擎VeDI这样满足数据分析新需求

字节跳动数据平台

大数据 BI

消息队列 RocketMQ 5.0:从消息服务到云原生事件流平台

阿里巴巴云原生

阿里云 RocketMQ 云原生

大数据培训和自学哪种方式更好

小谷哥

遭MQ连连干翻后的醒悟!含恨码出5本MQ学习手册助力秋招之旅

小二,上酒上酒

面试 RocketMQ 大厂 大厂面试

阿里P8偷偷把内网分享的SpringCloud微服务架构精髓手册开源了

小二,上酒上酒

架构 面试 微服务 Spring Cloud

PCB设计必须考虑的8种安全距离,搞错1种都出大问题!

华秋PCB

PCB PCB设计

Meta Force 原力元宇宙公排系统开发详情

开发微hkkf5566

自学前端技术怎么样,有必要去吗

小谷哥

爆肝了!阿里出版的这份Spring Security源码手册,狂揽GitHub榜首

小二,上酒上酒

Java 面试 spring security 大厂 大厂面试

蚌住了!这份阿里P8写的Java多线程编程实战指南就这么容易开源?

小二,上酒上酒

Java 面试 多线程 阿里 大厂面试

为什么晶闸管能在大电流下工作?

元器件秋姐

元器件采购 元器件电商 元器件知识 华秋商城 晶闸管

大数据培训学习需要什么基础

小谷哥

神了!阿里P8纯手写出了这份10W字的MyBatis技术原理实战开发手册

小二,上酒上酒

学习 编程 面试 mybatis

redhat运维-远程日志记录

阿柠xn

运维 日志 linux 文件权限控制 11月月更

PolarDB-X 开源分布式数据库进阶营免费报名中!

阿里云数据库开源

MySQL 数据库 阿里云 开源 PolarDB-X

低学历并不是阻碍职业发展的绊脚石

测吧(北京)科技有限公司

软件测试

为什么面试官狂问八股文?我已经被三家公司问到哑口无言……

程序知音

Java java面试 java架构 后端技术 Java面试八股文

深究并行编程Parallel类中的三大方法 (For、ForEach、Invoke)和几大编程模型(SPM、APM、EAP、TAP)

C++后台开发

多线程 后端开发 linux开发 C++开发 并行编程

前端培训班中如何学习前端开发技术

小谷哥

java培训学习该怎么做?

小谷哥

3年测试经验跳槽成功拿下30W+年薪

测吧(北京)科技有限公司

软件测试

Meta Force 原力元宇宙dapp系统开发(智能合约部署)

开发微hkkf5566

腾讯T4带你玩转Spring全家桶

钟奕礼

Java java程序员 java面试 java编程

终于有人把这份10 万字节详细面试笔记(带完整目录) 整理出来了

钟奕礼

Java java程序员 java面试 java编程 Java 面试题

【web 开发基础】PHP 自定义函数之函数的返回值-PHP 快速入门 (27)

迷彩

web开发基础 PHP基础 11月月更 return

AWS CloudTrail扩展了API调用审计_安全_Steffen Opel_InfoQ精选文章