CloudTrail 就是 AWS 的操作紀錄器。
誰在什麼時間、用什麼方式、對哪個 AWS 資源做了什麼事, CloudTrail 都可以幫你記錄下來。
1. CloudTrail 是什麼?
AWS CloudTrail 是用來追蹤 AWS 帳號操作紀錄的服務。 它可以記錄 API 呼叫與事件歷史,常用在資安追查、稽核、合規與問題排查。
簡單講,只要有人操作 AWS,不管是透過 Console、CLI 還是程式呼叫 API, CloudTrail 都可以留下紀錄。
2. CloudTrail 核心重點
| 項目 | 說明 |
|---|---|
| 主要用途 | 記錄 AWS 帳號內的操作行為 |
| 核心功能 | 追蹤 API Call 與事件紀錄 |
| 適合用途 | 稽核、資安追查、合規檢查、問題排查 |
| 預設狀態 | AWS 帳號建立後,CloudTrail Event History 預設可用 |
| 長期保存 | 可以把 Logs 送到 Amazon S3 或 CloudWatch Logs |
3. CloudTrail 會記錄哪些操作?
| 操作來源 | 是否會記錄 |
|---|---|
| AWS Console 操作 | 會記錄 |
| AWS CLI 指令 | 會記錄 |
| AWS SDK 呼叫 | 會記錄 |
| IAM User 操作 | 會記錄 |
| IAM Role 操作 | 會記錄 |
| AWS 服務活動 | 會記錄 |
4. 常見使用情境
| 你想知道的問題 | 使用 CloudTrail 查什麼 |
|---|---|
| 誰刪了 EC2? | 查刪除 EC2 的 API Call |
| 誰改了 Security Group? | 查 Security Group 修改紀錄 |
| 誰建立了 IAM User? | 查 IAM 建立使用者事件 |
| 誰改了 S3 Bucket Policy? | 查 S3 Bucket Policy 修改紀錄 |
| 誰用 root user 登入? | 查 root user 登入事件 |
| 某個 API 是誰呼叫的? | 查 API 呼叫來源、時間與身份 |
5. CloudTrail 流程圖
6. CloudTrail Logs 可以送去哪?
| 目的地 | 用途 |
|---|---|
| CloudTrail Console | 查詢近期事件紀錄 |
| CloudWatch Logs | 做監控、查詢、告警與分析 |
| Amazon S3 | 長期保存,方便稽核與備查 |
7. Multi-Region Trail
建立 Trail 時,可以選擇套用到所有 Region。 這樣可以集中記錄整個 AWS 帳號在不同區域發生的操作事件。
如果只針對單一 Region 建立 Trail,就只能追蹤該 Region 的事件。 實務上通常會建議使用 Multi-Region Trail,避免漏掉其他區域的操作紀錄。
8. CloudTrail 實務價值
CloudTrail 最重要的價值是事後追查。
當 AWS 裡面發生異常,例如資源被刪除、權限被修改、 Security Group 被打開,你可以用 CloudTrail 查出:
- 誰做的
- 什麼時候做的
- 從哪個來源做的
- 呼叫了哪個 API
- 操作結果是成功還是失敗
9. 關鍵字整理
CloudTrail API Call Event History Audit Compliance Governance CloudWatch Logs Amazon S3 IAM User IAM Role
10. 最後總結
AWS CloudTrail 是 AWS 的操作追蹤服務。 它會記錄 Console、CLI、SDK、IAM User、IAM Role 與 AWS 服務產生的 API 呼叫紀錄。
當你想知道「誰動了 AWS 資源」、「誰刪了東西」、「誰改了權限」, 第一個要看的服務就是 CloudTrail。
沒有留言:
張貼留言