Anotações sobre o AWS CloudTrail para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:
Definição do fornecedor
O AWS CloudTrail monitora e registra a atividade da conta por toda a infraestrutura da AWS, oferecendo controle sobre o armazenamento, análise e ações de remediação. Rastreie atividades dos usuários e uso de APIs.
Anotações gerais
- Auditoria de API (Logs API call details)
- Salva log´s em Bucket S3 ou Cloudwatch Logs
- No Bucket é configurado a retenção
- É habilitado por default (por 7 dias)
- Notificações por SNS
- Pode agregar Regiões e Contas
- Logs a cada 5 minutos (pode chegar a 15 minutos)
- Use SSE-S3 ou SSE-KMS p/ criptografar logs no Bucket
- SSE-KMS Encryption é habilitado por padrão, mas pode ser desativado
- Por padrão, os arquivos de log do CloudTrail são criptografados usando SSE-S3 e colocados no seu bucket do S3
- Nem todos os eventos são logados
- Eventos de até 90 dias, após esse tempo pode jogar para S3 e ser consultado pelo AWS Athena
- Na conta root, pode-se habilitar em todas as contas da organização no AWS Organizations
- CloudWatch Logs é opcional, vem desabilitado por padrão
- Opção de escolher entre a atividade da API (Read e/ou Write)
- Não precisa do Trail criado para analisar os logs
- You cannot delete events from event history
-
Pode configurar multiplos Trails em Buckets separados
- Ao configurar uma trilha para registrar eventos de gerenciamento, você pode especificar read-only, write-only ou ambos.
O que é "logado"
- Metadata
- Identidade
- Time
- Source IP
- Parameters
- Elementos do serviço
Validar a integridade dos arquivos de log do CloudTrail
- Para determinar se um arquivo de log foi modificado, excluído permaneceu ou inalterado depois que o CloudTrail o forneceu, você pode usar a validação de integridade dos arquivos de log do CloudTrail.
- Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais.
- Vem habilitado por padrão, mas pode ser desativado.
Comandos
aws cloudtrail describe-trails
aws cloudtrail validate-logs --trail-arn [ARN-HERE] --start-time 20190101T19:00:00Z
Habilitar a validação da integridade dos arquivos de log para o CloudTrail
Eventos salvos por 90 dias - Event History
- Até 90 dias (Event History)
- Após esse período pode enviar para S3 e depois Athena
Prevenir que os logs sejam deletados
- Restrição de acesso c/ IAM e Bucket Policies
- Configuração S3 MFA Delete
Serviços não suportados pelo CloudTrail
- AWS Import/Export
- AWS Deep Learning AMI
- Amazon WorkSpaces Application Manager
- AWS Artifact
- AWS DeepComposer
- AWS DeepLens
- AWS DeepRacer
- AWS Snowmobile
- Amazon Sumerian
CloudTrails Events Types
Management Events
Link documentação oficial
- Capture as operações de gerenciamento realizadas em seus recursos da AWS.
- Separa Read Events de Write Events
- Habilitado por padrão
Data Events
Link documentação oficial
- Registre as operações de recursos executadas em um recurso ou dentro dele.
- AWS Lambda
Insight Events
Link documentação oficial
- Identifique atividades incomuns, erros ou comportamento do usuário em sua conta.
- Envia para S3
- Retenção é no S3
- Entrega a cada 5 min c/ 15 min de delay
- 2 tipos- API Call rate// API error rate
Criar um Trail para sua organização no console
- Pode criar um Trail para toda a Organizations pela Console
- *Enable for all accounts in my organization. *
Top comments (0)