AWS CloudTrail 和 AWS Config
AWS CloudTrail 和 AWS Config
AWS CloudTrail 和 AWS Config 是两个可以帮助您监控 Serverless 应用的服务。
它们提供集中式报告。
它们使您能够自动响应潜在的安全风险。
AWS CloudTrail 可以告诉您是谁更改了资源的配置状态。
AWS Config 可以告诉您这些更改是否符合您的策略。
如果出现问题,两者都可以让您自动采取行动。
当您创建 AWS 账户时,CloudTrail 会自动激活。
AWS CloudTrail 和 AWS Config 视频
W3schools.com 与 Amazon Web Services 合作,为我们的学生提供数字培训内容。
AWS CloudTrail
CloudTrail 跟踪您账户中的用户 API 活动。
它还为您提供详细的报告。
请求参数和 AWS 服务响应部分都有详细说明。
CloudTrail 跟踪 IAM 用户、IAM 角色、AWS 服务操作、AWS SDK、控制台、CLI 和 API 操作。
所有这些都被记录下来。
例如,一个跟踪可能收集 API Gateway API 的更改。
AWS Config
AWS Config 允许您检查资源的配置快照。
它还设置规则以强制执行合规性。
AWS Config 规则定义单个 AWS 服务或整个 AWS 账户的配置设置。
如果资源违反了某个规则,AWS Config 会通过 SNS 通知您。
AWS Config 附带预定义的规则,您可以编辑它们。
您还可能需要 AWS Config 规则来帮助开发人员构建 Lambda 函数。
AWS Config 的另一个功能是自动修复问题的能力。
CloudTrail 事件
您 AWS 账户中的每个操作都会生成一个 CloudTrail 事件。
您可以在事件历史记录中查看最近的事件。
CloudTrail 事件历史记录允许您浏览、搜索和下载历史 CloudTrail 事件。
CloudTrail 跟踪
跟踪是启用 CloudTrail 事件传递的配置。
它支持传递到 Amazon S3 存储桶、CloudWatch Logs 和 CloudWatch Events。
如果您需要跟踪更多事件,可以创建自己的跟踪。
跟踪会记录 AWS 服务内部或其上的事件,并将它们发布到您指定的 S3 存储桶。
跟踪可以捕获对您的 API Gateway API 的更改。
您账户中的 Lambda 函数可以选择添加数据事件来跟踪 S3 对象级别的 API 活动。
CloudTrail Insights 可以帮助您发现和响应意外的写入 API 活动。
相关阅读
CloudTrail 概念将 CloudTrail 事件发送到 CloudWatch Logs
AWS Config 概念
