我们使用机器学习技术将英文博客翻译为简体中文。您可以点击导航栏中的“中文(简体)”切换到英文版本。
VPC 终端节点的 Amazon CloudTrail 网络活动事件现已正式发布
今天,我很高兴地宣布,Amazon CloudTrail中亚马逊虚拟私有云(亚马逊 VPC)终端节点的网络活动活动已正式上线。此功能可帮助您记录和监控遍历您的 VPC 终端节点的亚马逊云科技API 活动,帮助您加强数据边界并实施更好的检测控制。
以前,很难检测到潜在的数据泄露企图以及通过 VPC 终端节点对网络内资源的未经授权的访问。虽然 VPC 终端节点策略可以配置为阻止来自外部账户的访问,但没有内置机制来记录被拒绝的操作或检测何时在 VPC 终端节点上使用外部证书。这通常需要您构建自定义解决方案来检查和分析 TLS 流量,这可能会造成运营成本高昂并抵消加密通信的好处。
有了这项新功能,您现在可以选择记录通过您的 VPC 终端节点传递的所有亚马逊云科技API 活动。CloudTrail 将这些事件记录为一种称为网络活动事件的新事件类型,它捕获通过 VPC 终端节点的控制平面和数据平面操作。
CloudTrail 中的网络活动事件提供了几个关键好处:
- 全面的可见性 — 记录遍历 VPC 终端节点的所有 API 活动,无论是哪个亚马逊云科技账户启动操作。
- 外部凭证检测-识别组织外部的证书何时访问您的 VPC 终端节点。
- 防止数据泄露-检测和调查潜在的未经授权的数据移动企图。
- 增强安全监控 — 无需解密 TLS 流量,即可深入了解 VPC 终端节点上的所有亚马逊云科技API 活动。
- 监管合规的可见性 — 通过跟踪所有通过的 API 活动,提高您满足监管要求的能力。
用于 VPC 终端节点记录的网络活动事件入门
要启用网络活动事件,我需要前往 Amazon CloudTrail 控制台并在导航窗格中选择跟踪。我选择 “创建跟踪” 来创建新跟踪。我在 Trail name 字段中输入一个名称,然后选择一个 Amazon Simple Storage Service (Amazon S3) 存储桶来存储事件日志。当我在 CloudTrail 中创建跟踪时,我可以指定现有的 Amazon S3 存储桶或创建一个新的存储桶来存储我的跟踪的事件日志。
如果您将日志文件 SSE-KMS 加密设置为启用,则有两个选项:选择 “新建” 以创建新的 Amazon Key Management Service (Amazon KMS) 密钥,或选择 “现有” 以选择现有 KMS 密钥。如果您选择 “新建”,则需要在 Amazon KMS 别名字段中键入别名。CloudTrail 使用此 KMS 密钥加密您的日志文件并为您添加策略。KMS 密钥和 Amazon S3 必须位于同一亚马逊云科技区域中。在本示例中,我使用现有的 KMS 密钥。我在 Amazon KMS 别名字段中输入别名,将其余部分保留为本演示的默认值。我选择 “下一步” 作为下一步。
在 “选择日志事件” 步骤中,我在 “事件” 下选择 “网络活动事件”。我从亚马逊云科技服务列表中选择事件源,例如cloudtrail.amazonaws.com、ec2.amazonaws.com、kms.amazonaws.coms3.amazonaws.com、和secretsmanager.amazonaws.com。我为这个演示添加了两个网络活动事件源。对于第一个来源,我选择ec2.amazonaws.com选项。对于日志选择器模板,我可以将模板用于常见用例,也可以为特定场景创建细粒度的过滤器。例如,要记录遍历 VPC 终端节点的所有 API 活动,我可以选择 “记录所有事件” 模板。我选择记录网络活动访问被拒绝事件模板来仅记录访问被拒绝的事件。或者,我可以在选择器名称字段中输入名称来识别日志选择器模板,例如包括 Amazon EC2 的网络活动事件。
再举第二个例子,我选择 “自定义” 在多个字段上创建自定义过滤器,例如 eventName 和 vpcendPointI d。我可以指定特定的 VPC 终端节点 ID 或筛选结果以仅包括符合特定条件的 VPC 终端节点。对于高级事件选择器,我从 “字段” 下拉列表中选择 vpcendPointId,选择 “等于操作员”,然后输入 VPC 终端节点 ID。当我展开 JSON 视图时,我可以将我的事件选择器视为 JSON 块。我选择 “下一步”,在查看选项后,我选择创建跟踪。
配置完成后,CloudTrail 将开始记录我的 VPC 终端节点的网络活动事件,帮助我分析这些数据并根据这些数据采取行动。要分析 Amazon CloudTrail 网络活动事件,您可以使用 CloudTrail 控制台、亚马逊云科技命令行接口 (亚马逊云科技CLI) 和亚马逊云科技开发工具包来检索相关日志。您还可以使用 CloudTrail Lake 来捕获、存储和分析您的网络活动事件。如果您使用的是 Trails,则可以使用 Amazon Athena 根据特定标准查询和筛选这些事件。定期分析这些事件可以帮助您维护安全性、遵守法规并优化亚马逊云科技中的网络基础设施。
现在可用于 VPC 终端节点日志记录的
CloudTrail 网络活动事件为您提供了一个强大的工具,可以增强安全状态、检测潜在威胁并更深入地了解您的 VPC 网络流量。此功能可满足您对亚马逊云科技环境的全面可见性和控制的关键需求。
VPC 终端节点的网络活动事件适用于所有商业亚马逊云科技区域。
有关定价信息,请访问 Amazon CloudTrail 定价。
要开始了解 CloudTrail 网络活动活动,请访问 Amazon CloudTrail。有关 CloudTrail 及其功能的更多信息,请参阅 Amazon CloudTrail 文档。
— 埃斯拉
埃斯拉·卡亚巴利
Esra Kayabali 是亚马逊云科技的高级解决方案架构师,专门从事分析,包括数据仓库、数据湖、大数据分析、批量和实时数据流以及数据集成。她拥有十多年的软件开发和解决方案架构经验。她热衷于协作学习、知识共享和指导社区的云技术之旅。
*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。