Amazon Identity and Access Management 中的日志记录和监控
监控是使您的 Amazon Identity and Access Management (IAM)、Amazon Security Token Service (Amazon STS) 和您的其他 Amazon 解决方案保持可靠性、可用性和性能的重要环节。Amazon 提供了多种工具,用于监控您 Amazon 资源和对潜在的事件作出响应:
-
Amazon CloudTrail 将对 IAM 和 Amazon STS 的所有 API 调用作为事件捕获,包括来自控制台的调用和 API 调用。要了解有关将 CloudTrail 与 IAM 和 Amazon STS 搭配使用的更多信息,请参阅 使用 Amazon CloudTrail 记录 IAM 和 Amazon STS API 调用。有关 CloudTrail 的更多信息,请参阅《Amazon CloudTrail 用户指南》。
-
Amazon Identity and Access Management Access Analyzer 帮助您标识企业和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。这可以帮助您识别对资源和数据的意外访问,此类访问会带来安全风险。要了解更多信息,请参阅 什么是 IAM 访问分析器?
-
Amazon CloudWatch 实时监控您的 Amazon 资源以及在 Amazon 上运行的应用程序。您可以收集和跟踪指标,创建自定义的控制平面,以及 设置警报以在指定的指标达到您指定的阈值时通知您或采取措施。例如,您可以使用 CloudWatch 跟踪 Amazon EC2 实例的 CPU 使用率或其他指标并且在需要时自动启动新实例。有关更多信息,请参阅 Amazon CloudWatch 用户指南。
-
Amazon CloudWatch Logs 帮助您监控、存储和访问来自 Amazon EC2 实例、CloudTrail 和其他来源的日志文件。CloudWatch Logs 可以监控日志文件中的信息,并在达到特定阈值时通知您。您还可以在高持久性存储中检索您的日志数据。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南。
有关 IAM 的其他资源和安全最佳实践,请参阅 Amazon Identity and Access Management 中的安全最佳实践和使用案例。