AWS CloudTrail ist ein Web-Service, der Aufrufe von AWS-APIs für Ihr Konto aufzeichnet und Protokolldateien an Sie übermittelt. Zu den aufgezeichneten Informationen gehören u. a die aufrufende API-Methode, der Zeitpunkt des API-Aufrufs, die IP-Quelladresse des API-Aufrufers, die Anforderungsparameter und die Antwortelemente, die vom AWS-Service zurückgegeben werden.

Mit CloudTrail erhalten Sie einen Verlauf der AWS-API-Aufrufe für Ihr Konto, einschließlich über die AWS Management Console, AWS SDKs, Befehlszeilen-Tools und allgemeine AWS-Services (z. B. AWS CloudFormation) erfolgte API-Aufrufe. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften.

Kostenlos bei AWS einsteigen

Kostenloses Konto erstellen
Oder bei der Konsole anmelden

Erhalten Sie 12 Monate lang Zugriff auf das kostenlose Nutzungskontingent von AWS sowie AWS Support-Funktionen der Stufe ''Basic'' mit Kundenservice rund um die Uhr, Support-Foren und vielen weiteren Vorteilen.




CloudTrail bietet mehr Transparenz bei Ihrer Benutzeraktivität, indem Aufrufe von AWS-APIs aufgezeichnet werden. Sie können bestimmen, welche Aktionen ein bestimmter Benutzer in einem bestimmten Zeitraum ausgeführt hat. Oder bei einer bestimmten Ressource feststellen, welche Benutzer in einem bestimmten Zeitraum Aktion auf diese angewendet hat. Sie können auch die IP-Quelladresse einer bestimmten Aktivität feststellen. Und Sie können herausfinden, welche Aktivitägen aufgrund unzureichender Berechtigungen fehlgeschlagen sind.

CloudTrail nutzt Amazon S3 für die Speicherung und Übermittlung von Protokolldateien, die beständig und kostengünstig gespeichert werden. Sie können Konfigurationsregeln für den Amazon S3-Lebenszyklus verwenden, um Speicherkosten weiter zu senken. Sie können beispielsweise Regeln für das automatische Löschen alter Protokolldateien definieren oder diese für weitere Einsparungen in Amazon Glacier archivieren.

CloudTrail kann so konfiguriert werden, dass eine Benachrichtigung für jede übermittelte Protokolldatei veröffentlicht wird. Dadurch können Sie nach der Übermittlung der Protokolldatei automatisch Maßnahmen ergreifen. CloudTrail nutzt für Benachrichtigungen den Amazon Simple Notification Service (SNS).

CloudTrail stellt Transparenz für alle S3-API-Aufrufe auf Objektebene bereit, darunter Get, Put, Delete und Änderungen an ACLs von S3-Objekten. Sie können Details für jeden API-Aufruf abrufen, zum Beispiel welcher IAM-Benutzer den API-Aufruf ausgeführt hat, wann er ausgeführt wurde, welche Ressourcen betroffen waren usw.

CloudTrail kann so konfiguriert werden, dass API-Aktivitäten an eine von Ihnen festgelegte CloudWatch Logs-Protokollgruppe übermittelt werden. Sie können dann CloudWatch-Warnungen einrichten, um bei bestimmten API-Aktivitäten SNS-Benachrichtigungen zu erhalten. Details finden Sie in den häufig gestellten Fragen und dem Benutzerhandbuch zu CloudTrail.

 

CloudTrail kann für das Zusammenführen von Protokolldateien aus mehrere Konten und Regionen in einem zentralen Bucket konfiguriert werden. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single Amazon S3 bucket im Benutzerhandbuch.

Standardmäßig verschlüsselt CloudTrail sämtliche Protokolldateien, die an den angegebenen Amazon S3-Bucket geliefert werden, mithilfe von serverseitiger Amazon S3-Verschlüsselung (SSE). Sie können Ihren CloudTrail-Protokolldateien auch eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem AWS KMS-Schlüssel (Key Management Service) verschlüsseln. Amazon S3 entschlüsselt ihre Protokolldateien automatisch, sofern Sie über die Berechtigung zum Entschlüsseln verfügen. Weitere Informationen finden Sie unter Verschlüsseln von Protokolldateien mithilfe Ihres KMS-Schlüssels.


Sie können Betriebsprobleme beheben oder eine Sicherheitsanalyse durchführen, indem Sie die API-Aktivitäten abfragen, die für Ihr AWS-Konto erfasst wurden. Mit der AWS CloudTrail-Konsole, der AWS-Befehlszeilen-Schnittstelle oder AWS SDKs können Sie schnell und einfach Fragen zu den API-Aktivitäten der letzten 7 Tage beantworten und sofort entsprechende Maßnahmen ergreifen. Weitere Informationen finden Sie in diesem Abschnitt der CloudTrail-Dokumentation zum Abfragen von API-Aktivitäten.

 

Sie können die Integrität Ihrer in Ihrem Amazon S3-Bucket gespeicherten CloudTrail-Protokolldateien prüfen und erkennen, ob die Protokolldateien unverändert sind, verändert oder gelöscht wurden, seit CloudTrail sie an Ihren Amazon S3-Bucket geliefert hat. Sie können die Integritätsprüfung für Protokolldateien zur Unterstützung ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.


Sie können den von CloudTrail erstellten AWS-API-Aufrufverlauf als Eingabe in Protokollverwaltungs- und -analyselösungen nutzen, um eine Sicherheitsanalyse durchzuführen und Muster beim Benutzerverhalten auszumachen.

 

Sie können den von CloudTrail erstellten AWS-API-Aufrufverlauf zum Nachverfolgen von Änderungen an AWS-Ressourcen nutzen und prüfen, welche AWS-Ressourcen wie Amazon EC2-Instances, Amazon VPC-Sicherheitsgruppen und Amazon EBS-Volumes erstellt, geändert oder gelöscht wurden.

CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften durch das Bereitstellen eines AWS-API-Aufrufverlaufs. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Security at Scale: Logging in AWS.

Sie können mithilfe des von CloudTrail erstellten AWS-API-Aufrufverlaufs Betriebsprobleme beheben. Sie können beispielsweise rasch die Änderungen bestimmen, die an Ressourcen in Ihrer Umgebung zuletzt erfolgt sind.


CloudTrail zeichnet die API-Aktivität und servicerelevante Ereignisse der meisten AWS-Services auf. Die aktuelle Übersicht überstützter Services finden Sie im CloudTrail Benutzerhandbuch.


CloudTrail wird in allen AWS-Regionen unterstützt. Die vollständige Übersicht aller unterstützten Regionen und Endpunkte finden Sie im CloudTrail Benutzerhandbuch