为 Amazon WorkSpaces 安全浏览器设置会话记录器 - Amazon WorkSpaces 安全浏览器
采用 KMS 加密的 S3 存储桶

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon WorkSpaces 安全浏览器设置会话记录器

警告

启用会话记录器会禁用 Chrome 的下列 Chrome 功能:

  • 隐身模式

  • 开发人员工具

  • Chrome 配置文件切

要激活 WorkSpaces 安全浏览器门户的会话记录器,您必须首先确定将收集会话事件的 Amazon S3 存储桶。您可以使用已存储类似日志的现有存储桶,也可以专门为此目的创建一个新的存储桶。

Amazon S3 存储桶必须具有授予 WorkSpaces 安全浏览器向其写入日志的权限的存储桶策略。我们建议将 Amazon S3 存储桶放置在 AWS 账户 与 WorkSpaces 安全浏览器门户相同的区域中。

Amazon S3 存储桶没有命名要求。要创建新的存储桶,请按照以下步骤操作,或者参阅 Amazon 简单存储服务用户指南中的创建通用存储。有关配置权限的指导,请参阅《亚马逊简单存储服务用户指南》中的 Amazon S3 存储桶策略

以下是针对您的 Amazon S3 存储桶的策略示例。请务必使用您的 Amazon S3 存储桶的名称更新政策。请注意,校长是 “workspaces-web.amazonaws.com”。


  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
 }

在 WorkSpaces 安全浏览器门户上激活会话记录器可能会导致 Amazon S3 收取费用。有关信息,请参阅 Amazon S3 定价

有关 Session Logger 捕获的与会话相关的事件的更多信息,请参阅。Amazon WorkSpaces 安全浏览器的会话记录器中的会话事件

采用 KMS 加密的 S3 存储桶(可选)

WorkSpaces 安全浏览器会话记录器完全支持启用 AWS KMS 加密的 Amazon S3 存储桶。为确保加密的 Amazon S3 存储桶能够正常记录日志,您必须向会话记录器授予使用您的 AWS KMS 密钥所需的权限。

将以下策略添加到您的 AWS KMS 密钥配置中:


{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},

在 AWS 控制台中,选择要从中收集事件 WorkSpaces 的安全浏览器门户,然后选择会话记录器选项卡和编辑

输入以下信息为门户配置会话记录器:

  • S3 位置(必填):用于传送事件的 Amazon S3 存储桶的名称。

  • 密钥前缀(可选):发送事件的文件夹。如果该文件夹不存在,则会创建该文件夹。如果该字段留空,则会话记录器将在 Amazon S3 存储桶的根目录中写入事件。

在 “高级” 下,您可以配置以下字段:

  • 事件过滤器:这是会话记录器监控的事件列表。

    • 全部:选择此选项意味着将监视所有当前和将来的事件

    • 包括:这允许您手动选择要监视的特定事件。只有明确选择的事件才会被记录下来。Future 更新中引入的新事件将不会受到监控,除非手动将其添加到选择中。

  • 文件格式

    • JSON(默认):这是一种文件格式,其中每个日志文件都以事件数组的形式呈现。对于大多数用例,我们建议使用这种格式。

    • JSONLines:这是一种针对亚马逊 Athena 进行了优化的文件格式。

  • 文件夹结构:这决定了日志文件的存储方式。

    • Fla@@ t(默认):所有日志文件都在一个文件夹中。

    • 按日期嵌套:日志文件按日期和时间组织到文件夹中。针对亚马逊 Athena 进行了分区,并针对亚马逊 Athena 查询进行了优化。

您可以测试会话记录器设置并确保会话记录器正常运行。配置完成后,系统会尝试将名_workspaces_secure_browser.tmp 为的测试文件写入指定的 Amazon S3 存储桶和文件夹。这既是对日志功能的验证,也是对权限设置的验证。

您也可以通过在门户中启动安全浏览器会话并像往常一样使用浏览器来运行测试会话。在活动会话期间或会话结束时,会话记录器每 15 分钟将日志文件写入您配置的 Amazon S3 存储桶。

结束会话或等待下一个日志间隔后,请检查 Amazon S3 存储桶,确认您的会话日志文件已按预期生成和存储。