ACCT.07 Consegna CloudTrail i log a un bucket S3 protetto - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ACCT.07 Consegna CloudTrail i log a un bucket S3 protetto

Le azioni intraprese da utenti, ruoli e servizi nel tuo AWS account vengono registrate come eventi in AWS CloudTrail. CloudTrail è abilitato per impostazione predefinita e nella CloudTrail console puoi accedere a 90 giorni di informazioni sulla cronologia degli eventi. Per visualizzare, cercare, scaricare, archiviare, analizzare e rispondere alle attività degli account nell' AWS infrastruttura, vedi Visualizzazione degli eventi con la cronologia degli CloudTrail eventi (CloudTrail documentazione).

Per conservare CloudTrail la cronologia oltre 90 giorni con dati aggiuntivi, crei un nuovo trail che invia i file di log a un bucket Amazon Simple Storage Service (Amazon S3) per tutti i tipi di eventi. Quando crei un percorso nella CloudTrail console, crei un percorso multiregionale.

Per creare un percorso che fornisca i log per tutti Regioni AWS a un bucket S3

  1. Crea un percorso (documentazione)CloudTrail . Nella pagina Scegli eventi di log, esegui le operazioni seguenti:

    1. Per APIl'attività, scegli Lettura e Scrittura.

    2. Per gli ambienti di preproduzione, scegli Escludi eventi AWS KMS . Ciò esclude tutti gli AWS Key Management Service (AWS KMS) eventi dal tuo percorso. AWS KMS leggi azioni come EncryptDecrypt, e GenerateDataKey può generare un grande volume di eventi.

      Per gli ambienti di produzione, scegli di registrare gli eventi di gestione scrittura, quindi deseleziona la casella di controllo per Escludi eventi AWS KMS . Ciò esclude gli eventi di AWS KMS lettura ad alto volume, ma registra comunque gli eventi di scrittura pertinenti, comeDisable, Delete e. ScheduleKey Queste sono le impostazioni di AWS KMS registrazione minime consigliate per un ambiente di produzione.

  2. Il nuovo trail viene visualizzato nella pagina Trails (Trail). In circa 15 minuti, CloudTrail pubblica file di registro che mostrano le chiamate all'interfaccia di programmazione dell' AWS applicazione (API) effettuate nell'account. È possibile visualizzare i file di log nel bucket S3 specificato.

Per proteggere i bucket S3 in cui vengono archiviati i file di registro CloudTrail

  1. Consulta la policy sui bucket di Amazon S3 (CloudTrail documentazione) per tutti i bucket in cui memorizzi i file di log e modificala secondo necessità per rimuovere eventuali accessi non necessari.

  2. Come best practice per la sicurezza, assicurati di aggiungere manualmente una chiave di condizione aws:SourceArn per la policy del bucket. Per ulteriori informazioni, consulta Creare o aggiornare un bucket Amazon S3 da utilizzare per archiviare i file di log per un percorso organizzativo (CloudTrail documentazione).

  3. Abilita l'MFAeliminazione (documentazione di Amazon S3).