CloudTipps

Mit AWS Cloudtrail tiefere Einblicke in Ihre Cloud-Infrastruktur gewinnen

Häufig ist es für Administratoren wichtig, genauere Informationen zu vergangenen Ereignissen in einem AWS-Konto oder einer AWS-Organisation zu gewinnen. Aufgrund von gesetzlichen Vorschriften, internen Richtlinien, unerwarteten Betriebsproblemen oder auch nicht-autorisierten Datentransfers müssen Administratoren mit den richtigen Werkzeugen ausgestattet sein. Zu den gewünschten Informationen gehören etwa genutzte Dienste, Benutzerzugriffe und durchgeführte Aktionen.

Grafik: AWS

Sie können dafür AWS Cloudtrail nutzen, um die in einem Konto durchgeführten Aktivitäten aufzuzeichnen. In jedem Konto sind standardmäßig die Aktivitäten der vergangenen 90 Tage abrufbar. Die Ereignisprotokolle enthalten in den Grundeinstellungen des Dienstes Verwaltungsereignisse, die durch die AWS Management Konsole, AWS SDKs, Befehlszeilentools und andere AWS-Services angestoßen werden. Darunter finden sich beispielsweise Erstell-, Änderungs- und Löschvorgänge von AWS-Ressourcen.

Durch die Erstellung eines Pfades („Trail”) können die auftretenden Ereignisse in einem Amazon S3-Bucket protokolliert und archiviert werden. Zusätzlich ermöglicht eine Integration in CloudWatch Events und Lambda-Funktionen die automatische Durchführung von Sicherheitsmaßnahmen.

Zuerst starten Sie unter CloudTrail in der AWS Management Konsole die Protokollierung mit Create Trail. Dafür öffnen Sie nach der Anmeldung über die AWS Management Console die CloudTrail-Konsole unter https://console.aws.amazon.com/cloudtrail. Wählen Sie anschließend eine Region aus, in der der Pfad erstellt werden soll, und bestätigen Sie den Vorgang mit „Get Started Now“. Anschließend geben Sie dem Pfad einen Namen und wählen unter „Apply trail to all regions“ die Option „Yes“. Dadurch erhalten Sie Protokolldaten aus sämtlichen Regionen. Welche Prozesse ihr Pfad protokollieren soll, geben Sie unter „Management events“ unter „Read/Write events“ an. Dabei haben Sie die Wahl zwischen „All“, „Read-only“, „Write-only“ oder „None“.