第 07 條 — 交付 CloudTrail 日誌到受保護的 S3 存儲桶 - AWS規範指導

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

第 07 條 — 交付 CloudTrail 日誌到受保護的 S3 存儲桶

使用者、角色和服務在您的AWS帳户記錄為AWS CloudTrail。 CloudTrail 預設為啟用,並在 CloudTrail 控制台,您可以訪問 90 天的事件歷史記錄信息。若要查看、搜尋、下載、存檔、分析和回應您AWS基礎設施,請參使用 CloudTrail 事件歷史記錄檢視事件(CloudTrail 文檔)。

保留 CloudTrail 歷史記錄超過 90 天,就可以建立新追蹤,將日誌檔案交付到 Amazon Simple Storage Service (Amazon S3) 儲存貯體,適用於所有事件類型。當您在 CloudTrail 主控台中會建立多區域線索。

創建提供所有日誌的跟蹤AWS 區域連接至 S3 儲存桶

  1. 建立線索(CloudTrail 文檔)。在選擇日誌事件頁面上,執行以下作業:

    1. 適用於API 活動,選擇閱讀寫入

    2. 對於預生產環境,請選擇ExcludeAWS KMS事件。這將排除所有AWS Key Management Service(AWS KMS)事件。AWS KMS 閱讀操作,例如EncryptDecrypt,以及GenerateDataKey可以生成大量的事件。

      對於生產環境,選擇記錄寫入管理事件,然後清除ExcludeAWS KMS事件。這不包括大量AWS KMS讀取事件,但仍會記錄相關的寫入事件,例如DisableDelete,以及ScheduleKey。這些是推薦的最低AWS KMS日誌記錄設定。

  2. 新的追蹤會出現在 Trails (追蹤) 頁面上。在大約 15 分鐘內, CloudTrail 發佈日誌文件,顯示AWS在您的帳户中進行應用程式設計界面 (API) 調用。您可以在所指定之 S3 儲存貯體中看到日誌檔案。

如需保護儲存貯體的 S3 儲存貯體 CloudTrail 日誌檔案

  1. Amazon S3 儲存儲體政策(CloudTrail 文檔),用於存放日誌檔案的任何儲存貯體,並調整其在需要時移除任何不必要的存取。

  2. 作為安全最佳實務,請務必手動添加aws:SourceArn條件密鑰添加到存儲桶策略。如需詳細資訊,請參閱「」建立或更新 Amazon S3 儲存貯體以存放組織追蹤的日誌檔案(CloudTrail 文檔)。

  3. 啟用 MFA Delete(Amazon S3 文檔)。