Wie kann ich Änderungen an den AWS-Einstellungen verfolgen?


10

Gibt es eine Möglichkeit, Änderungen am AWS-System nachzuverfolgen?

Zum Beispiel Änderungen an einer Subnetzeinstellung, von nat bis iwg - diese zeigen eine Meldung an und verschwinden dann.

Gibt es eine Möglichkeit, AWS dazu zu bringen, ein Protokoll zu erstellen, damit nachverfolgt werden kann, welche Änderungen an was und wann vorgenommen wurden?

Das nächste, was wir jetzt haben, sind die ElasticBeanstalk-Ereignisse - aber selbst das sagt Ihnen nur, was AWS getan hat, nicht welche Einstellungen geändert wurden, um die Ereignisse auszulösen.

Antworten:


12

AWS verfügt über den CloudTrail-Dienst, der die meisten API-Aufrufe in Ihrem Konto verfolgt. Speichern Sie diese dann in Dateien in Ihrem angegebenen S3-Bucket.

https://aws.amazon.com/cloudtrail/

Mit CloudTrail können Sie sehen, wer oder welcher Dienst welche Änderung aufgerufen hat - in vielen Fällen auch, welche Argumente verwendet wurden.

Leider werden derzeit nicht ALLE Dienste unterstützt.


4
Diese Antwort sollte wahrscheinlich auch AWS Config erwähnen .
Michael - sqlbot

@ Michael-sqlbot Du hast recht. Bitte fügen Sie es selbst als Antwort hinzu. :)
Dawny33

AWS Config ist kein Überwachungsprotokoll. Es ist ein System, das es ermöglicht, auf Ereignisse zu reagieren, sobald sie eintreten. Es ist also eher eine Firewall als ein Firewall-Überwachungsprotokoll. Und es ist tatsächlich sehr teuer im Vergleich zu dem fast kostenlosen CloudTrail.
Evgeny

5

Es gibt mehrere AWS-Services, die Ihnen dabei helfen können, und es hängt wirklich von Ihren genauen Anforderungen ab, welche für Sie am besten geeignet sind. Für jeden gelten unterschiedliche Funktionen (und Kosten).

CloudTrail wurde erwähnt, aber die erste Option, die mir bei Ihrer Frage in den Sinn kommt (und die in einem Kommentar zur Antwort von @ Evgeny erwähnt wird ), ist der AWS Config Service . Es speichert "Snapshots" Ihrer AWS-Konfiguration zu bestimmten Zeitpunkten (in einem S3-Bucket), sendet jedoch hilfreich auch alle Änderungen an ein SNS-Thema. Sie können dann damit umgehen, wie Sie möchten. Zum Beispiel habe ich auf einem Konto mit wenig Verkehr diese direkt in Slack; Auf einem Konto mit hohem Datenverkehr verfolge ich die NumberOfMessagesPublishedMetrik zu diesem SNS-Thema, um festzustellen, ob eine größere Anzahl von Änderungen als üblich vorgenommen wird.

AWS Config bietet auch einen Regelservice an. Diese sind etwas teurer als ich erwarten würde, aber je nach Ihren Bedürfnissen könnten sie nützlich sein. Aktiviere sie einfach nicht alle auf einmal, wie ich es getan habe, als ich herumgespielt habe ... die monatliche Gebühr für jede Regel gilt sofort. ;) (Aber Sie können Config verwenden, ohne die Regeln zu verwenden - das ist, was ich gerade mache).

Es gibt auch Trusted Advisor , der nicht genau das tut, wonach Sie gefragt haben, aber möglicherweise hilfreich ist, um bestimmte Überprüfungen der Konfiguration Ihrer Infrastruktur durch Ingenieure durchzuführen, z. B. ob noch S3-Buckets offen sind. Dies ist am nützlichsten bei einem Support-Plan auf Unternehmensebene oder höher, da viele seiner Überprüfungen ansonsten blockiert sind.

Darüber hinaus gibt es Tools von Drittanbietern wie CloudCheckr , die Aspekte von AWS Cost Explorer, Trusted Advisor, Config, CloudTrail, CloudWatch, Inspector und GuardDuty kombinieren. Nützlich, wenn Sie wirklich tief eintauchen möchten, aber Zeit sparen möchten, indem Sie alles selbst konfigurieren.

Alternativ können Sie Ihre Infrastruktur mit einem Tool wie Terraform oder CloudFormation verwalten und festlegen , dass alle Änderungen über diese Tools vorgenommen werden müssen. Sie können dann Ihre Konfigurationsdateien / -vorlagen für die Quellcodeverwaltung festlegen und sie sogar anhand der Live-Infrastruktur in CI testen und den Build fehlschlagen, wenn jemand nicht nachverfolgte Änderungen vorgenommen hat. Auf diese Weise wird Ihr Commit-Verlauf zu Ihrem Audit-Protokoll - Ihre Ingenieure müssen jedoch diszipliniert sein!

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.