Amazon Identity and Access Management 中的日志记录和监控
监控是使您的 Amazon Identity and Access Management (IAM)、Amazon Security Token Service (Amazon STS) 和您的其他 Amazon 解决方案保持可靠性、可用性和性能的重要环节。Amazon 提供了多种工具,用于监控您 Amazon 资源和对潜在的事件作出响应:
-
Amazon CloudTrail 将对 IAM 和 Amazon STS 的所有 API 调用作为事件捕获,包括来自控制台的调用和 API 调用。要了解有关将 CloudTrail 与 IAM 和 Amazon STS 搭配使用的更多信息,请参阅 使用 Amazon CloudTrail 记录 IAM 和 Amazon STS API 调用。有关 CloudTrail 的更多信息,请参阅《Amazon CloudTrail 用户指南》https://docs.amazonaws.cn/awscloudtrail/latest/userguide/。
-
Amazon Identity and Access Management and Access Analyzer 帮助您识别您的组织和账户中与外部实体共享的资源(例如 Amazon S3 存储桶或 IAM 角色)。这可以帮助您识别对资源和数据的意外访问,此类访问会带来安全风险。要了解更多信息,请参阅 什么是 IAM 访问分析器?
-
Amazon CloudWatch 实时监控您的 Amazon 资源以及在 Amazon 上运行的应用程序。您可以收集和跟踪指标,创建自定义的控制平面,以及设置警报以在指定的指标达到您指定的阈值时通知您或采取措施。例如,您可以使用 CloudWatch 跟踪 Amazon EC2 实例的 CPU 使用率或其他指标并且在需要时自动启动新实例。有关更多信息,请参阅《Amazon CloudWatch 用户指南》。
-
Amazon CloudWatch Logs 帮助您监控、存储和访问来自 Amazon EC2 实例、CloudTrail 和其他来源的日志文件。CloudWatch Logs 可以监控日志文件中的信息,并在达到特定阈值时通知您。您还可以在高持久性存储中检索您的日志数据。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南。
有关 IAM 的其他资源和安全最佳实践,请参阅 Amazon Identity and Access Management 中的安全最佳实践和使用案例。