AWS CloudTrail

AWS CloudTrail 是一项支持 AWS 账户的治理、合规、运营审计和风险审计的服务。借助 CloudTrail，客户可以记录、持续监控和保留与其 AWS 基础设施中的操作相关的账户活动。 CloudTrail 提供其 AWS 账户活动的事件历史记录，包括通过、AWS 软件开发工具包 AWS Management Console、命令行工具和其他 AWS 服务执行的操作。此事件历史记录简化了安全分析、资源变更跟踪和故障排除。

AWS CloudTrail 已启用适用于所有 AWS 账户，并且可以按照 AWS BAA 的要求用于审计日志。应使用 CloudTrail 控制台或 AWS 命令行界面创建特定的跟踪。 CloudTrail 在创建加密的 Trail 时，对传输中的所有流量和静态流量进行加密。当有可能记录 PHI 时，应创建加密跟踪。

默认情况下，加密的跟踪使用服务器端加密和 Amazon S3 (SSE-S3) 托管密钥将条目存储在 Amazon S3 中。如果需要对密钥进行额外管理，也可以使用 AWS KMS托管密钥 (SSE-KMS) 进行配置。AWS 日志条目的最终目的地，因此，作为 CloudTrail 任何处理 PHI 的架构的关键组成部分，都应启用 CloudTrail 日志文件完整性验证，并应定期检查相关的 CloudTrail 摘要文件。启用后，可以肯定地断言日志文件未被更改或更改。