Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pencatatan dan pemantauan aplikasi menggunakanAWS CloudTrail
AWS CloudTrailadalah sebuahLayanan AWSyang membantu Anda mengaktifkan audit operasional dan risiko, tata kelola, dan kepatuhan AndaAkun AWS. Tindakan yang diambil oleh pengguna, peran, atauLayanan AWSdicatat sebagaiacaradiCloudTrail. Peristiwa dapat mencakup tindakan yang diambil dalamAWS Management Console,AWS Command Line Interface(AWS CLI), danAWSSDK dan API.
Menggunakan CloudTrail
CloudTraildiaktifkan pada AndaAkun AWSketika Anda membuatnya. Ketika aktivitas terjadi diAkun AWSKegiatan tersebut dicatat dalamCloudTrailacara. Anda dapat dengan mudah melihat peristiwa terbaru diCloudTrailkonsol dengan pergi keRiwayat acara.
Untuk catatan aktivitas dan acara yang sedang berlangsung diAkun AWS, Anda membuatjejak. Anda dapat membuat jalur untuk satuWilayah AWSatau untuk semua wilayah. Trails merekam file log di setiap Wilayah, danCloudTraildapat mengirimkan file log ke satu bucket Amazon Simple Storage Service (Amazon S3) yang terkonsolidasi.
Anda dapat mengonfigurasi beberapa jejak secara berbeda sehingga jejak memproses dan hanya mencatat peristiwa yang Anda tentukan. Ini dapat berguna ketika Anda ingin melakukan triase peristiwa yang terjadi di AndaAkun AWSdengan peristiwa yang terjadi dalam aplikasi Anda.
catatan
CloudTrailmemiliki fitur validasi yang dapat Anda gunakan untuk menentukan apakah file log diubah, dihapus, atau tidak berubah setelahnyaCloudTrailmengirimkannya. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukanCloudTraillog file tanpa deteksi. Anda dapat menggunakanAWS CLIuntuk memvalidasi file di lokasi di manaCloudTrailmengantarkan mereka. Untuk informasi selengkapnya tentang fitur ini dan cara mengaktifkannya, lihatMemvalidasiCloudTrailintegritas file log(CloudTraildokumentasi).
Kasus penggunaan untuk CloudTrail
-
Bantuan kepatuhan— MenggunakanCloudTraildapat membantu Anda mematuhi kebijakan internal dan standar peraturan dengan memberikan riwayat peristiwa diAkun AWS.
-
Analisis keamanan— Anda dapat melakukan analisis keamanan dan mendeteksi pola perilaku pengguna dengan menelanCloudTraillog file ke manajemen log dan solusi analitik, sepertiCloudWatchLog, AmazonEventBridge, Amazon Athena, AmazonOpenSearchLayanan, atau solusi pihak ketiga lainnya.
-
Eksfiltrasi data— Anda dapat mendeteksi eksfiltrasi data dengan mengumpulkan data aktivitas pada objek Amazon S3 melalui peristiwa API tingkat objek yang direkamCloudTrail. Setelah data aktivitas dikumpulkan, Anda dapat menggunakan yang lainLayanan AWS, sepertiEventBridgedanAWS Lambda, untuk memicu respons otomatis.
-
Pemecahan masalah operasional— Anda dapat memecahkan masalah operasional dengan menggunakanCloudTrailfile log. Misalnya, Anda dapat dengan cepat mengidentifikasi perubahan terbaru yang dibuat pada sumber daya di lingkungan Anda, termasuk pembuatan, modifikasi, dan penghapusanAWSsumber daya.
Praktik terbaik untuk CloudTrail
-
AktifkanCloudTraildalam semuaWilayah AWS.
-
Aktifkan validasi integritas file log.
-
Enkripsi log.
-
TertelanCloudTraillog file keCloudWatchLog.
-
Memusatkan log dari semuaAkun AWSdan Wilayah.
-
Terapkan kebijakan siklus hidup ke bucket S3 yang berisi file log.
-
Mencegah pengguna agar tidak dapat menonaktifkan loginCloudTrail. Terapkan yang berikut inikebijakan kontrol layanan(SCP) diAWS Organizations. SCP ini menetapkan aturan penolakan eksplisit untuk
StopLoggingdanDeleteTrailtindakan di seluruh organisasi.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudtrail:StopLogging", "cloudtrail:DeleteTrail" ], "Resource": "*", "Effect": "Deny" } ] }
