AWS CloudTrail

AWS CloudTrail 是一項可對 AWS 帳戶進行管理、合規、操作稽核和風險稽核的服務。使用此功能 CloudTrail，客戶可以記錄、持續監控和保留與 AWS 基礎設施中動作相關的帳戶活動。 CloudTrail 提供 AWS 帳戶活動的事件歷史記錄，包括透過 AWS 開發套件 AWS Management Console、命令列工具和其他 AWS 服務執行的動作。此事件歷史記錄可簡化安全分析、資源變更追蹤及疑難排解。

AWS CloudTrail 已啟用可用於所有 AWS 帳戶，並可根據 AWS BAA 的要求用於稽核記錄。應使用 CloudTrail 主控台或 AWS 命令列界面建立特定追蹤。 CloudTrail 在建立加密的 Trail 時，加密傳輸中和靜態的所有流量。當可能存在記錄 PHI 時，應建立加密的追蹤。

根據預設，加密的追蹤會使用伺服器端加密搭配 Amazon S3 (SSE-S3) 受管金鑰，將項目存放在 Amazon S3 中。如果需要對金鑰進行其他管理，也可以使用 AWS KMS受管理的金鑰 (SSE-KMS) 來設定。 CloudTrail 就像 AWS 日誌項目的最終目的地一樣，因此，處理 PHI 之任何架構的關鍵元件都應該啟用 CloudTrail 日誌檔完整性驗證，並定期檢閱相關聯的 CloudTrail 摘要檔。一旦啟用，就可以建立記錄檔尚未變更或變更的正面宣告。