什么是 Amazon CloudTrail? - Amazon CloudTrail
正在访问 CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon CloudTrail?

Amazon CloudTrail Amazon Web Services 服务 可帮助您实现运营和风险审计、治理和合规性 Amazon Web Services 账户。用户、角色或 Amazon 服务执行的操作将记录为 CloudTrail 中的事件。事件包括在 Amazon Web Services Management Console、 Amazon Command Line Interface、 Amazon SDKs 和中采取的操作 APIs。

CloudTrail 提供了两种记录事件的方法:

  • 事件历史记录事件历史记录提供对 Amazon Web Services 区域中过去 90 天发生的管理事件的可查看、可搜索、可下载和不可变记录。您可以依单个属性筛选事件,从而搜索事件。创建账户时,您自动获得对事件历史记录的访问权限。有关更多信息,请参阅 处理 CloudTrail 事件历史记录

    查看活动历史记录不 CloudTrail 收取任何费用。

  • T@@ rail s — T rail s 会捕获 Amazon 活动记录,将这些事件传送并存储在 Amazon S3 存储桶中,还可以选择传送到 CloudWatch LogsAmazon EventBridge。您可以将这些事件输入到您的安全监控解决方案中。您也可以使用自己的第三方解决方案或解决方案(例如 Amazon Athena)来搜索和分析您的日志。 CloudTrail 您可以使用为单条 Amazon Web Services 账户 或多 Amazon Web Services 账户 条轨迹创建跟踪 Amazon Organizations。您可以记录 Insights 事件来分析您的管理事件,以查看 API 调用率和错误率中的异常行为。有关更多信息,请参阅 为您创建路线 Amazon Web Services 账户

    通过创建跟踪,您可以免费将正在进行的管理事件的一份副本传送到 S3 存储桶,但是 Amazon S3 会收取存储费用。 CloudTrail 有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价。有关 Amazon S3 定价的信息,请参阅 Amazon S3 定价

Amazon 账户活动的可见性是安全和运营最佳实践的关键方面。您可以使用 CloudTrail 查看、搜索、下载、存档、分析和响应 Amazon 基础架构中的账户活动。您可以确定谁或什么采取了哪些行动、对哪些资源采取了行动、事件发生的时间以及其他详细信息,以帮助您分析和响应 Amazon 账户中的活动。

您可以使用 API CloudTrail 集成到应用程序中,为您的组织自动创建跟踪,检查您创建的跟踪的状态,并控制用户查看 CloudTrail 事件的方式。

正在访问 CloudTrail

您可以通过以下任何一种方式使用 CloudTrail 。

CloudTrail 控制台

登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

CloudTrail 控制台提供了用于执行许多 CloudTrail 任务的用户界面,例如:

  • 查看您 Amazon 账户的近期活动和事件历史记录。

  • 事件历史记录中下载过去 90 天管理事件的已筛选或完整文件。

  • 创建和编辑 CloudTrail 路径。

  • 配置 CloudTrail 跟踪,包括:

    • 选择用于跟踪的 Amazon S3 存储桶。

    • 设置前缀。

    • 配置向 CloudWatch 日志的传输。

    • 使用 Amazon KMS 密钥对跟踪数据进行加密。

    • 为跟踪上的日志文件传送启用 Amazon SNS 通知。

    • 为跟踪记录添加和管理标签。

有关更多信息 Amazon Web Services Management Console,请参阅Amazon Web Services Management Console

Amazon CLI

Amazon Command Line Interface 是一个统一的工具,可用于 CloudTrail 从命令行与之交互。有关更多信息,请参阅 Amazon Command Line Interface 《用户指南》有关 CloudTrail CLI 命令的完整列表,请参阅《命令参考》中的 cloudtrailcloudtrail-data。Amazon CLI

CloudTrail APIs

除了控制台和 CLI 之外,您还可以 CloudTrail 直接使用 CloudTrail RESTful APIs 进行编程。有关更多信息,请参阅 Amazon CloudTrail API 参考CloudTrail-Data API 参考

Amazon SDKs

除了使用 CloudTrail API 之外,您还可以使用其中一个 Amazon SDKs。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。 SDKs 提供了一种创建编程访问权限的便捷方式 CloudTrail。例如,您可以使用对请求 SDKs 进行加密签名、管理错误和自动重试请求。有关更多信息,请参阅用于在 Amazon上进行构建的工具