AWS CloudTrail 是一項重要服務，用於加強雲端安全性並確保遵守相關規範。它能監控您的 AWS 設定，記錄使用者操作及 API 呼叫，幫助您清楚了解 AWS 環境中的所有活動。

什麼是 AWS CloudTrail？

AWS CloudTrail 是 AWS 中追蹤事件的主要工具，專為追蹤和記錄 AWS 帳戶活動而設計。它能自動記錄使用者、角色或 AWS 服務執行的動作，並將這些動作記錄為事件。這些事件涵蓋透過 AWS 管理控制台、命令列介面 (CLI) 和 AWS SDK 或 API 執行的所有操作。

值得注意的是，CloudTrail 在您建立 AWS 帳戶時即自動啟用，確保您能即時記錄並監控帳戶中的活動。當任何活動發生於您的 AWS 帳戶中，例如建立資源、修改配置或執行其他操作，CloudTrail 都會詳細記錄相關資訊，為您的帳戶活動提供透明性和安全性。

CloudTrail 是確保 AWS 資源合規性、審計和安全分析的重要工具，使企業能夠輕鬆檢視操作歷史、追蹤變更以及快速偵測異常行為。

AWS CloudTrail 的主要功能

1. 完整的 API 呼叫記錄：

   CloudTrail 記錄帳戶內每個 API 呼叫，顯示呼叫者是誰、呼叫時間及來源，並包含請求和回應的詳細資訊。

2. 多區域事件記錄：

   可設定 CloudTrail 以記錄多個區域的事件，涵蓋所有 AWS 資源的活動。

3. 與其他 AWS 服務的整合：

   CloudTrail 與 CloudWatch 和 Lambda 無縫整合，讓您能即時監控並回應 API 活動。

4. 滿足合規需求：

   支援 SOC、ISO 和 PCI 等合規性需求，提供完整的 AWS 帳戶活動稽核記錄。

5. 偵測異常活動：

   CloudTrail 的日誌能協助辨識不尋常或可疑的活動，是安全作業的重要工具。

設定 AWS CloudTrail

以下是設定 AWS CloudTrail 並存取日誌的詳細步驟。

步驟 1：建立 Trail

1. 登入 AWS 管理控制台：

• 進入 AWS 帳戶，並導航至 AWS 管理控制台。

2. 開啟 CloudTrail 主控台：

• 在管理控制台中搜尋「CloudTrail」，並選擇該服務。

3. 建立 Trail：

• 點選「建立 Trail」。

  
  

  

  
  

• 為 Trail 命名，例如「events」。

  
  

  

  
  

• 預設情況下，CloudTrail 會啟用在組織中的所有帳戶，因此無需額外配置。

  
  

4. 配置存儲：

• 選擇一個 S3 儲存桶，用於存儲 CloudTrail 的日誌。您可以建立新的儲存桶或使用現有的儲存桶。

  
  

  

  
  

• 勾選「啟用日誌檔案驗證」選項以增強安全性，此功能能檢測日誌檔案傳送後的任何更動。

  
  

  

  
  

5. 設定 CloudWatch Logs（可選）：

• 如果需要即時監控並分析日誌，可以將 CloudTrail 整合至 CloudWatch Logs。建立或選擇一個 CloudWatch Logs 群組，並設置授予 CloudTrail 所需權限的 IAM 角色。

• AWS 會自動建立 IAM 角色，或允許您配置具有 CloudWatch 日誌記錄權限的自訂角色。

步驟 2：選擇記錄事件

1. 管理事件：

• 管理事件追蹤 AWS 資源的高階操作，例如建立、修改或刪除操作。

• 可記錄讀取（Read）與寫入（Write）事件，或選擇僅記錄其中一種。為實現全面監控，建議記錄兩種類型。

2. 數據事件（可選）：

• 數據事件記錄在服務中執行的數據層級操作，例如 Amazon S3 中的物件活動（例如 GetObject 或 PutObject）。啟用此功能可幫助監控重要資源的活動。

• This can be customized by selecting specific S3 buckets or Lambda functions.

3. CloudTrail Insights（可選）：

• 您可以自訂選擇特定的 S3 儲存桶或 Lambda 函數。

步驟 3：檢查並建立

1. Review your settings:檢查您的設定：

• 確認您的設定正確，包括區域、記錄事件及 S3 儲存桶。

  
  

2. Create the Trail:建立 Trail：

• 點選「建立 Trail」，開始記錄 AWS 帳戶的 API 活動。

  
  

步驟 4：驗證 CloudTrail 日誌

1. 在 S3 中存取日誌：

• 導航至 Trail 建立時指定的 S3 儲存桶，您會發現依區域與日期排列的 CloudTrail 日誌。

  
  

  

  
  

2. 使用 CloudTrail 事件歷史：

• 或者，您可以直接從 CloudTrail 主控台查看最近的事件。進入「事件歷史」以查看過去 90 天內的 API 呼叫列表。

  
  

  

  
  

• 使用篩選器根據時間、事件名稱、資源類型或 AWS 服務縮小事件範圍。

  
  

步驟 5：分析並回應事件（理論）

1. 設定警報：

• 若已將 CloudTrail 與 CloudWatch Logs 整合，您可設定警報，例如未授權存取或 IAM 角色變更。

• 前往 CloudWatch，為特定 API 呼叫建立指標篩選器，然後從該篩選器創建警報。

2. 使用 Lambda 自動化回應：

• 若需自動化回應，可將 CloudTrail 與 AWS Lambda 連接。例如，當 CloudTrail 偵測到關鍵資源被刪除時，Lambda 函數可提醒管理員或重新建立資源。

結論

AWS CloudTrail 是提升雲端安全性與合規的重要工具，能追蹤使用者操作及 API 呼叫，提供詳細的稽核記錄，協助檢查並進行安全檢查。

透過 CloudTrail，您可以清楚了解 AWS 帳戶中的所有活動。它記錄多種類型的事件，幫助您全面掌握資源狀態。這些日誌會在操作後 15 分鐘內送達，讓您迅速辨識安全風險。

常見問題

什麼是 AWS CloudTrail？

AWS CloudTrail 是一項服務，用於追蹤 AWS 帳戶內的操作。它記錄 API 呼叫，幫助您監控 AWS 環境中的活動。

AWS CloudTrail 的主要功能與優勢是什麼？

CloudTrail 的功能包括保持 90 天的操作歷史、提供 CloudTrail Lake 用於長期數據存儲，以及 Trail 用於事件捕捉。它支持安全性與合規需求，並能與 S3 和 CloudWatch Logs 等服務整合。

CloudTrail 如何增強安全性與合規性？

CloudTrail 能記錄詳細的稽核記錄，幫助您監控使用者行為、辨識安全風險，並確保符合規範要求。

CloudTrail 記錄哪些類型的事件？

CloudTrail 記錄管理事件，例如對 AWS 資源的 API 呼叫。這些記錄來自 AWS 管理控制台、CLI、SDK 和 API。