3

AWS マネジメント コンソールを使用して CloudTrail を有効にしました。Amazon S3 バケット ポリシーは、CloudTrail を有効にするときに自動的に作成されるデフォルトのポリシーです。

ログインに関するログと他のすべてのログを見つけることができますが、log-off に関する情報はありません。そのために何かする必要がありますか、それとも単にそこにありませんか? ログオフはイベントとして分類されませんか?

編集 1

私は CloudTrail を初めて使用し、何が可能で何が不可能かを理解しようとしています。1 つのバケットへの読み取り/書き込みアクセスのみを許可し、すべてのバケットを一覧表示する IAM ユーザーがいます。それを使用するとaws ec2 describe-instances、ログに表示されますがerrorCode: "Client.UnauthorizedOperation"aws s3 cpまたはを実行するaws s3 lsと、ログに記録されません。作成されたデフォルトのバケット ポリシーを次に示します。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AWSCloudTrailAclCheck20131101",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws:iam::903692715234:root",
                "arn:aws:iam::859597730677:root",
                "arn:aws:iam::814480443879:root",
                "arn:aws:iam::216624486486:root",
                "arn:aws:iam::086441151436:root",
                "arn:aws:iam::388731089494:root",
                "arn:aws:iam::284668455005:root",
                "arn:aws:iam::113285607260:root"
            ]
        },
        "Action": "s3:GetBucketAcl",
        "Resource": "arn:aws:s3:::MY_BUCKET"
    },
    {
        "Sid": "AWSCloudTrailWrite20131101",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws:iam::903692715234:root",
                "arn:aws:iam::859597730677:root",
                "arn:aws:iam::814480443879:root",
                "arn:aws:iam::216624486486:root",
                "arn:aws:iam::086441151436:root",
                "arn:aws:iam::388731089494:root",
                "arn:aws:iam::284668455005:root",
                "arn:aws:iam::113285607260:root"
            ]
        },
        "Action": "s3:PutObject",
        "Resource": "arn:aws:s3:::MY_BUCKET/MY_PREFIX/AWSLogs/MY_ACCOUNT_ID/*",
        "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control"
            }
        }
    }
]
}

そして、それはどこPrincipalから、なぜそうなったのでしょう - それらは私のアカウントではなく、CloudTrail を有効にしたときに AWS によって作成されたものです。ログをバケットに配信するこれらの AWS アカウントはありますか?

編集 2

typepad の投稿から、S3 のログはまだありません。実際に表示されるログインは、AWS Security Token Service (STS)GetSessionToken呼び出しによるものです。コンソールからログアウトした場合、STS への呼び出しがないように見えるため、結果のログはありません。

4

1 に答える 1

5

AWS は、ユーザーが AWS マネジメント コンソールにサインインしたときの可視性を高めたいというお客様の要望によく耳を傾けており、 AWS CloudTrail が AWS マネジメント コンソールのサインイン イベントをログに記録GetSessionTokenするようになったことを発表しました。明示的でより詳細なイベント:

AWS IAM およびフェデレーション ユーザーの成功および失敗したコンソール サインイン イベントをログに記録すると、コンプライアンスとセキュリティの取り組みに役立ちます。この新機能により、IAM ユーザーとフェデレーション ユーザーの両方に対して次のことが可能になります。

  • 成功したすべてのサインイン。
  • 失敗したすべてのサインイン試行。
  • 多要素認証 (MFA) が適用された時期の検証。
  • すべてのサインイン イベントの IP アドレス。

さらに、root アカウントが正常にサインインするたびに記録を確認できます。最後に、IAM ユーザーが一定期間サインインしていないことを確認でき、その IAM ユーザーを削除できる可能性があることを示唆しています。

残念ながら、ログアウト イベントにはまだ可視性がありません。

于 2014-07-24T22:22:07.580 に答える