AWS Identity and Access Management 中的日志记录和监控
监控是保持 AWS Identity and Access Management (IAM)、AWS Security Token Service (AWS STS) 和您的其他 AWS 解决方案的可靠性、可用性和性能的重要方面。AWS 提供了多种工具来监控 AWS 资源并对潜在的事件做出响应:
-
AWS CloudTrail 将对 IAM 和 AWS STS 的所有 API 调用作为事件捕获,包括来自控制台的调用和 API 调用。要了解有关将 CloudTrail 与 IAM 和 AWS STS 结合使用的更多信息,请参阅使用 AWS CloudTrail 记录 IAM 和 AWS STS API 调用。有关 CloudTrail 的更多信息,请参阅 AWS CloudTrail User Guide。
-
AWS Identity and Access Management 访问分析器 帮助您标识组织和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。这可以帮助您识别对资源和数据的意外访问,此类访问会带来安全风险。要了解更多信息,请参阅 什么是 IAM Access Analyzer?
-
Amazon CloudWatch 可实时监控您的 AWS 资源以及您在 AWS 上运行的应用程序。您可以收集和跟踪指标,创建自定义的控制面板,以及设置在指定指标达到指定阈值时通知您或采取措施的警报。例如,您可以具有 Amazon EC2 实例的 CloudWatch 跟踪 CPU 使用率或其他指标并且在需要时自动启动新实例。有关更多信息,请参阅 Amazon CloudWatch 用户指南。
-
Amazon CloudWatch Logs 可帮助您监控、存储和访问来自 Amazon EC2 实例、CloudTrail 和其他来源的日志文件。CloudWatch Logs 可以监控日志文件中的信息,并在达到特定阈值时通知您。您还可以在高持久性存储中检索您的日志数据。有关更多信息,请参阅 Amazon CloudWatch Logs User Guide。
有关 IAM 的其他资源和安全最佳实践,请参阅 AWS Identity and Access Management 中的安全最佳实践和使用案例。