Introducció a AWS CloudTrail
AWS CloudTrail és un servei que permet auditar, monitoritzar i registrar l'activitat de les API d'AWS en el teu compte. Aquest servei proporciona una visibilitat completa de les accions realitzades pels usuaris, rols i serveis dins del teu entorn AWS, ajudant-te a complir amb els requisits de seguretat i conformitat.
Conceptes Clau
- Trails (Rutes): Una ruta és una configuració que permet registrar els esdeveniments d'API en un o més comptes d'AWS.
- Events (Esdeveniments): Són les accions registrades per CloudTrail, com ara crides a les API, canvis en la configuració i accions de gestió.
- Logs (Registres): Els esdeveniments es guarden en fitxers de registre que es poden emmagatzemar a Amazon S3, analitzar amb Amazon CloudWatch Logs o processar amb AWS Lambda.
Configuració de AWS CloudTrail
Pas 1: Crear una Ruta
- Accedeix a la Consola de Gestió d'AWS.
- Navega a CloudTrail.
- Clica a "Create trail".
- Configura els Detalls de la Ruta:
- Nom de la Ruta: Assigna un nom descriptiu.
- Bucket de S3: Selecciona o crea un bucket de S3 per emmagatzemar els registres.
- Prefix de S3: Opcionalment, especifica un prefix per organitzar els registres dins del bucket.
- Configura les Opcions de Registre:
- Management events: Registra esdeveniments de gestió (per defecte).
- Data events: Opcionalment, registra esdeveniments de dades per a buckets de S3 i funcions de Lambda.
- Insights events: Opcionalment, activa CloudTrail Insights per detectar activitats anòmales.
- Configura les Opcions Addicionals:
- CloudWatch Logs: Opcionalment, envia els registres a CloudWatch Logs per a una major anàlisi.
- KMS Encryption: Opcionalment, xifra els registres amb AWS KMS.
- Revisa i Crea la Ruta.
Pas 2: Verificar la Configuració
- Accedeix al Bucket de S3 on s'emmagatzemen els registres.
- Verifica que els fitxers de registre es creen correctament.
Exemple Pràctic
Crear una Ruta amb AWS CLI
aws cloudtrail create-trail \
--name MyTrail \
--s3-bucket-name my-cloudtrail-bucket \
--include-global-service-events \
--is-multi-region-trailActivar el Registre d'Esdeveniments de Gestió
Verificar l'Estat del Registre
Exercicis Pràctics
Exercici 1: Crear una Ruta Bàsica
- Crea una ruta anomenada
BasicTrailque emmagatzemi els registres en un bucket de S3 anomenatbasic-trail-bucket. - Activa el registre d'esdeveniments de gestió.
Solució
aws cloudtrail create-trail \
--name BasicTrail \
--s3-bucket-name basic-trail-bucket \
--include-global-service-events \
--is-multi-region-trail
aws cloudtrail start-logging --name BasicTrailExercici 2: Configurar CloudTrail per Enviar Registres a CloudWatch Logs
- Crea una ruta anomenada
AdvancedTrailque emmagatzemi els registres en un bucket de S3 anomenatadvanced-trail-bucket. - Configura la ruta per enviar els registres a un grup de logs de CloudWatch anomenat
CloudTrailLogs.
Solució
aws cloudtrail create-trail \
--name AdvancedTrail \
--s3-bucket-name advanced-trail-bucket \
--cloud-watch-logs-log-group-arn arn:aws:logs:us-east-1:123456789012:log-group:CloudTrailLogs \
--cloud-watch-logs-role-arn arn:aws:iam::123456789012:role/CloudTrail_CloudWatchLogs_Role
aws cloudtrail start-logging --name AdvancedTrailErrors Comuns i Consells
- Error: "Access Denied": Assegura't que el bucket de S3 té les polítiques d'accés correctes per permetre que CloudTrail escrigui els registres.
- Error: "Trail already exists": Verifica que no hi hagi una ruta amb el mateix nom abans de crear-ne una de nova.
- Consell: Utilitza CloudTrail Insights per detectar activitats anòmales i millorar la seguretat del teu entorn AWS.
Resum
En aquesta secció, hem après què és AWS CloudTrail, com configurar una ruta per registrar esdeveniments d'API i com verificar que els registres es creen correctament. També hem vist exemples pràctics i exercicis per reforçar els conceptes apresos. Amb CloudTrail, pots millorar la seguretat i la conformitat del teu entorn AWS mitjançant una auditoria detallada de les accions realitzades.