ACCT.07 — 将 CloudTrail 日志传送到受保护的 S3 存储桶

您的 AWS 账户中的用户、角色和服务所执行的操作将作为事件记录在中 AWS CloudTrail。 CloudTrail 默认情况下处于启用状态，在 CloudTrail 控制台中，您可以访问 90 天的事件历史记录信息。要查看、搜索、下载、存档、分析和响应 AWS 基础架构中的账户活动，请参阅使用 CloudTrail事件历史记录查看事件（CloudTrail 文档）。

要将 CloudTrail 历史记录保留超过 90 天以及其他数据，您可以创建一个新的跟踪，将所有事件类型的日志文件传输到亚马逊简单存储服务 (Amazon S3) 存储桶。在 CloudTrail 控制台中创建跟踪时，即创建多区域跟踪。

创建将所有 AWS 区域 人的日志传输到 S3 存储桶的跟踪

1. 创建跟踪（CloudTrail 文档）。在选择日志事件页面上，执行以下操作：

   1. 对于 API 活动，同时选择读取和写入。

   2. 对于预生产环境，选择排除 AWS KMS 事件。这会将所有 AWS Key Management Service (AWS KMS) 事件排除在您的跟踪之外。 AWS KMS 读取诸如EncryptDecrypt、和之类的操作GenerateDataKey可以生成大量事件。

      对于生产环境，选择记录写入管理事件，并清除排除 AWS KMS 事件复选框。这不包括高容量 AWS KMS 读取事件，但仍会记录相关的写入事件Disable，例如Delete、和。ScheduleKey这些是生产环境推荐的最低 AWS KMS 日志记录设置。

2. 新的跟踪将显示在跟踪页面上。大约 15 分钟后，将 CloudTrail 发布日志文件，显示在您的账户中进行的 AWS 应用程序编程接口 (API) 调用。您可以在指定的 S3 存储桶中查看日志文件。

为了帮助保护存储 CloudTrail 日志文件的 S3 存储桶

1. 查看您存储日志文件的所有存储桶的 Amazon S3 存储桶策略（CloudTrail 文档），并根据需要进行调整以删除任何不必要的访问权限。

2. 作为安全最佳实践，务必手动将 aws:SourceArn 条件键添加到存储桶策略。有关更多信息，请参阅创建或更新用于存储组织跟踪日志文件的 Amazon S3 存储桶（CloudTrail 文档）。

3. 启用 MFA 删除（Amazon S3 文档）。