DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS CloudTrail

Anotações sobre o AWS CloudTrail para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description

Definição do fornecedor

O AWS CloudTrail monitora e registra a atividade da conta por toda a infraestrutura da AWS, oferecendo controle sobre o armazenamento, análise e ações de remediação. Rastreie atividades dos usuários e uso de APIs.

Anotações gerais

  • Auditoria de API (Logs API call details)
  • Salva log´s em Bucket S3 ou Cloudwatch Logs
  • No Bucket é configurado a retenção
  • É habilitado por default (por 7 dias)
  • Notificações por SNS
  • Pode agregar Regiões e Contas
  • Logs a cada 5 minutos (pode chegar a 15 minutos)
  • Use SSE-S3 ou SSE-KMS p/ criptografar logs no Bucket
  • SSE-KMS Encryption é habilitado por padrão, mas pode ser desativado
  • Por padrão, os arquivos de log do CloudTrail são criptografados usando SSE-S3 e colocados no seu bucket do S3
  • Nem todos os eventos são logados 
  • Eventos de até 90 dias, após esse tempo pode jogar para S3 e ser consultado pelo AWS Athena
  • Na conta root, pode-se habilitar em todas as contas da organização no AWS Organizations
  • CloudWatch Logs é opcional, vem desabilitado por padrão
  • Opção de escolher entre a atividade da API (Read e/ou Write)
  • Não precisa do Trail criado para analisar os logs
  • You cannot delete events from event history
  • Pode configurar multiplos Trails em Buckets separados
    • Ao configurar uma trilha para registrar eventos de gerenciamento, você pode especificar read-only, write-only ou ambos.

O que é "logado"

  • Metadata
  • Identidade
  • Time
  • Source IP
  • Parameters
  • Elementos do serviço

Validar a integridade dos arquivos de log do CloudTrail

Link documentação oficial

  • Para determinar se um arquivo de log foi modificado, excluído permaneceu ou inalterado depois que o CloudTrail o forneceu, você pode usar a validação de integridade dos arquivos de log do CloudTrail. 
  • Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais.
  • Vem habilitado por padrão, mas pode ser desativado.

Comandos

  • aws cloudtrail describe-trails
  • aws cloudtrail validate-logs --trail-arn [ARN-HERE] --start-time 20190101T19:00:00Z

Habilitar a validação da integridade dos arquivos de log para o CloudTrail

Link documentação oficial


Eventos salvos por 90 dias - Event History

Link documentação oficial

  • Até 90 dias (Event History)
  • Após esse período pode enviar para S3 e depois Athena

Prevenir que os logs sejam deletados

  • Restrição de acesso c/ IAM e Bucket Policies
  • Configuração S3 MFA Delete

Serviços não suportados pelo CloudTrail

Link da documentação oficial

  • AWS Import/Export
  • AWS Deep Learning AMI
  • Amazon WorkSpaces Application Manager
  • AWS Artifact
  • AWS DeepComposer
  • AWS DeepLens
  • AWS DeepRacer
  • AWS Snowmobile
  • Amazon Sumerian

CloudTrails Events Types

Link documentação oficial

Management Events
Link documentação oficial

  • Capture as operações de gerenciamento realizadas em seus recursos da AWS.
  • Separa Read Events de Write Events
  • Habilitado por padrão

Data Events
Link documentação oficial

  • Registre as operações de recursos executadas em um recurso ou dentro dele.
  • AWS Lambda

Insight Events
Link documentação oficial

  • Identifique atividades incomuns, erros ou comportamento do usuário em sua conta.
  • Envia para S3
  • Retenção é no S3
  • Entrega a cada 5 min c/ 15 min de delay
  • 2 tipos- API Call rate// API error rate

Criar um Trail para sua organização no console

Documentação oficial

  • Pode criar um Trail para toda a Organizations pela Console
  • *Enable for all accounts in my organization. *

Image of Timescale

🚀 pgai Vectorizer: SQLAlchemy and LiteLLM Make Vector Search Simple

We built pgai Vectorizer to simplify embedding management for AI applications—without needing a separate database or complex infrastructure. Since launch, developers have created over 3,000 vectorizers on Timescale Cloud, with many more self-hosted.

Read more

Top comments (0)

Image of Docusign

🛠️ Bring your solution into Docusign. Reach over 1.6M customers.

Docusign is now extensible. Overcome challenges with disconnected products and inaccessible data by bringing your solutions into Docusign and publishing to 1.6M customers in the App Center.

Learn more