設定 Amazon WorkSpaces 安全瀏覽器的工作階段記錄器 - Amazon WorkSpaces 安全瀏覽器
具有 KMS 加密的 S3 儲存貯體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Amazon WorkSpaces 安全瀏覽器的工作階段記錄器

警告

啟用工作階段記錄器會停用下列 Chrome 功能:

  • Incognito 模式

  • 開發人員工具

  • Chrome 設定檔切換

若要啟用 WorkSpaces 安全瀏覽器入口網站的工作階段記錄器,您必須先識別要收集工作階段事件的 Amazon S3 儲存貯體。您可以使用已存放類似日誌的現有儲存貯體,或專門為此目的建立新的儲存貯體。

Amazon S3 儲存貯體必須有儲存貯體政策,授予 WorkSpaces 安全瀏覽器寫入日誌的許可。我們建議您將 Amazon S3 儲存貯體放在與 WorkSpaces 安全瀏覽器入口網站相同的 AWS 帳戶 和 區域。

Amazon S3 儲存貯體沒有命名需求。若要建立新的儲存貯體,請依照下列步驟操作,或參閱《Amazon Simple Storage Service 使用者指南》中的建立一般用途儲存貯體。如需設定許可的指引,請參閱《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 儲存貯體政策

以下是 Amazon S3 儲存貯體的政策範例。請務必使用 Amazon S3 儲存貯體的名稱更新政策。請注意,委託人是 "workspaces-web.amazonaws.com"。


  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
 }

在 WorkSpaces 安全瀏覽器入口網站上啟用工作階段記錄器可能會導致 Amazon S3 產生費用。如需詳細資訊,請參閱 Amazon S3 定價

如需工作階段記錄器擷取之工作階段相關事件的詳細資訊,請參閱 Amazon WorkSpaces 安全瀏覽器的工作階段記錄器中的工作階段事件

具有 KMS 加密的 S3 儲存貯體 (選用)

WorkSpaces 安全瀏覽器工作階段記錄器完全支援啟用 AWS KMS 加密的 Amazon S3 儲存貯體。為了確保您的加密 Amazon S3 儲存貯體具有適當的記錄功能,您必須授予工作階段記錄器使用 AWS KMS 金鑰的必要許可。

將下列政策新增至您的 AWS KMS 金鑰組態:


{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},

在 AWS 主控台中,選取您要從中收集事件的 WorkSpaces 安全瀏覽器入口網站,然後選擇工作階段記錄器索引標籤和編輯

輸入以下資訊以設定入口網站的工作階段記錄器:

  • S3 位置 (必要):將交付事件的 Amazon S3 儲存貯體名稱。

  • 金鑰字首 (選用):交付事件的資料夾。如果資料夾不存在,則會建立資料夾。如果欄位保留空白,工作階段記錄器會在 Amazon S3 儲存貯體的根目錄寫入事件。

進階下,您可以設定下列欄位:

  • 事件篩選條件:這是工作階段記錄器監控的事件清單。

    • 全部:選取此選項表示將監控所有目前和未來的事件

    • 包含:這可讓您手動選取要監控的特定事件。只會記錄明確選取的事件。除非手動將新事件新增至選取項目,否則未來更新中引入的新事件將不會受到監控。

  • 檔案格式

    • JSON (預設):這是將每個日誌檔案顯示為事件陣列的檔案格式。對於大多數使用案例,我們建議使用此格式。

    • JSONLines:這是針對 Amazon Athena 最佳化的檔案格式。

  • 資料夾結構:這會決定日誌檔案的儲存方式。

    • 一般 (預設):所有日誌檔案都在單一資料夾中。

    • 巢狀依據日期:日誌檔案會依日期和時間組織成資料夾。針對 Amazon Athena 進行分割,並針對 Amazon Athena 查詢進行最佳化。

您可以測試工作階段記錄器設定,並確保工作階段記錄器正常運作。組態完成後,系統會嘗試將名為 的測試檔案寫入指定的 Amazon S3 _workspaces_secure_browser.tmp 儲存貯體和資料夾。這可做為記錄功能和許可設定的驗證。

您也可以在入口網站中啟動安全瀏覽器工作階段,並像平常一樣使用瀏覽器,以執行測試工作階段。工作階段記錄器會在作用中工作階段期間或工作階段結束時,每 15 分鐘將日誌檔案寫入您設定的 Amazon S3 儲存貯體。

結束工作階段或等待下一個記錄間隔後,請檢查 Amazon S3 儲存貯體,確認工作階段的日誌檔案已如預期產生並儲存。