O AWS CloudTrail é um serviço da web que registra as chamadas de APIs da AWS para a sua conta e fornece os arquivos de log para você. As informações registradas incluem a identidade do chamador da API, a hora da chamada da API, o endereço IP de origem do chamador da API, os parâmetros da solicitação e os elementos de resposta retornados pelo serviço da AWS.
Com o CloudTrail, você pode obter um histórico das chamadas de APIs da AWS para a sua conta, incluindo as chamadas de APIs efetuadas pelo AWS Management Console, pelos AWS SDKs, pelas ferramentas de linha de comando e pelos serviços da AWS de nível mais alto (como o AWS CloudFormation). O histórico de chamadas de APIs da AWS gerado pelo CloudTrail possibilita análises de segurança, rastreamento de alteração de recursos e auditoria de conformidade.
Comece a usar a AWS gratuitamente
Crie uma conta gratuitaOu faça login no console
Receba doze meses de acesso ao nível de uso gratuito da AWS e aproveite os recursos do AWS Basic Support, como atendimento ao cliente 24x7x365 e fóruns de suporte, entre outros recursos.
O CloudTrail oferece maior visibilidade das atividades de usuário registrando as chamadas de APIs da AWS. Você pode responder perguntas como, quais ações foram executadas por um determinado usuário em um determinado período? Para um determinado recurso, qual usuário executou ações em um determinado período? Qual é o endereço IP de origem de uma determinada atividade? Quais atividades falharam por permissões inadequadas?
O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de log, que são armazenados de forma durável e econômica. Você pode usar as regras de configuração de ciclo de vida do Amazon S3 para reduzir ainda mais o custo do armazenamento. Por exemplo, você pode definir regras para excluir automaticamente arquivos de log antigos ou arquivá-los no Amazon Glacier para reduzir custos ainda mais.
O CloudTrail pode ser configurado para publicar uma notificação para cada arquivo de log entregue, permitindo que você execute ações automaticamente no recebimento do arquivo de log. O CloudTrail usa o Amazon Simple Notification Service (SNS) para as notificações.
O CloudTrail oferece visibilidade de todas as chamadas de API no nível de objeto do S3, inclusive ações Get, Put, Delete e alterações em ACLs nos objetos do S3. Você consegue obter detalhes, como usuários do IAM que realizaram a chamada de API, quando ela foi realizada, quais recursos foram afetados, etc., para cada chamada de API.
O CloudTrail pode ser configurado para entregar as atividades de APIs a um grupo de logs do CloudWatch Logs especificado. Com isso, você pode criar alertas do CloudWatch para receber notificações SNS quando ocorrem atividades específicas de APIs. Para obter detalhes, consulte as perguntas frequentes e o guia do usuário na documentação do CloudTrail.
O CloudTrail pode ser configurado para agregar arquivos de log de várias contas e regiões para que os arquivos de log sejam entregues em um único bucket. Para obter instruções detalhadas, consulte a seção Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket do User Guide.
Como padrão, o CloudTrail criptografa todos os arquivos de log entregues para o bucket do Amazon S3 especificado usando o Server Side Encryption (SSE) do Amazon S3. Opcionalmente, você pode adicionar uma camada adicional de segurança aos seus arquivos de log do CloudTrail criptografando os arquivos de log com a sua chave do AWS Key Management Service (KMS). O Amazon S3 descriptografará automaticamente seus arquivos de log, caso você tenha permissões de descriptografia. Para obter mais detalhes, consulte a seção Como criptografar arquivos de log usando a sua chave do KMS.
Você pode resolver problemas operacionais ou executar análises de segurança procurando atividades de API capturadas na sua conta da AWS. Usando o console do AWS CloudTrail, a ILC da AWS ou os AWS SDKs, você pode responder perguntas relacionadas à atividade de APIs para os últimos sete dias e tomar medidas imediatas com rapidez e facilidade. Para obter mais detalhes, consulte esta seção da documentação do CloudTrail sobre como procurar atividade de APIs.
Você pode validar a integridade dos arquivos de log do CloudTrail armazenados no seu bucket do Amazon S3 e detectar se os arquivos de log permaneceram sem alterações, foram modificados ou excluídos desde que o CloudTrail os entregou ao bucket do Amazon S3. Você pode usar a validação da integridade de arquivos de log como um auxílio nos seus processos de segurança e auditoria de TI.
Você pode usar o histórico de chamadas de APIs da AWS gerado pelo CloudTrail como entrada para soluções de gerenciamento e análise de logs para executar análises de segurança e detectar padrões de comportamento de usuários.
Você pode gerar o histórico de chamadas de APIs da AWS gerado pelo CloudTrail para rastrear alterações de recursos da AWS, incluindo a criação, modificação e exclusão de recursos da AWS como instâncias do Amazon EC2, grupos de segurança do Amazon VPC e volumes do Amazon EBS.
O CloudTrail facilita a garantia da conformidade com políticas e padrões regulamentares internos oferecendo o histórico de chamadas de APIs da AWS. Para obter mais detalhes, consulte o whitepaper de conformidade da AWS “Security at Scale: Logging in AWS”.
Você pode gerar o histórico de chamadas de APIs da AWS gerado pelo CloudTrail para solucionar problemas operacionais. Por exemplo, é possível identificar rapidamente as alterações mais recentes efetuadas nos recursos no seu ambiente.
O CloudTrail grava eventos de atividades e serviços de API da maioria dos serviços da AWS. Para ver a lista atual dos serviços compatíveis, consulte o CloudTrail User Guide.
O CloudTrail é compatível com todas as regiões da AWS. Para ver a lista completa de regiões e endpoints compatíveis, consulte o CloudTrail User Guide.