AWS CloudTrail集成
AWS CloudTrail是一项持续监控您的AWS帐户活动并记录事件的服务。它可以跟踪用户活动、API使用情况和AWS资源的变化,这样您就可以看到帐户上正在进行的操作。CloudTrail存储信息,如谁发出请求、使用的服务、访问的资源和采取的操作。您可以从CloudTrail控制台查看、搜索和下载这些信息。
为了帮助您存储,跟踪和响应事件,您可以从控制台,AWS CLI或CloudTrail API创建Trails。目标是简化您的活动历史记录,以便您可以监督您的AWS基础设施,并确保符合您的公司政策和监管标准。
您可以设置AWS CloudTrail将AWS帐户活动直接传输到Insigrops中。通过集成,您可以使用Insightops搜索您的AWS帐户活动以获取特定操作,启动特定操作的用户以及由其影响的资源。
要设置AWS CloudTrail集成,您需要:
使AWS CloudTrail
创建AWS帐户时,AWS CloudTrail会自动启用。所有活动都被记录为事件并存档90天。为了帮助您存储,分析和管理您的AWS资源的更改,并扩展超过90天的事件记录,可以创建CloudTrail Trail。
创建一个小道
一条路径是您的AWS帐户活动的长期记录。它允许您过滤并连续将路径的日志文件传送到Amazon S3存储桶,这将被发送到Insigrops。
为了建立AWS CloudTrail与InsightOps的集成,您需要创建一个新的路径。
了解有关创建小径的更多信息
为了更深入地了解和更全面地了解CloudTrail trail,阅读AWS文档.
创建一个小道:
- 使用为CloudTrail管理配置的IAM用户登录您的AWS管理控制台。您需要指定要创建步骤的区域。
- 从导航窗格中,去CloudTrail > Trails >创建新路径.
- 在里面径名字段,输入描述性名称,可帮助您轻松识别路径的目的。
- 在存储位置部分中,选择是否要创建新的Amazon S3存储桶或使用现有Amazon S3存储桶,然后按照说明进行操作。S3存储桶将用于存储您的CloudTrail日志。
- 指定S3存储桶后,单击先进的链接以展开菜单。
- 找出为每个日志文件传递发送SNS通知选择和选择是的.
- 要创建一个新的SNS话题,请选择是的为了创建一个新的社交网络话题选择。否则,要使用现有的SNS主题,请选择不并在下拉框中选择你想要使用的社交网站主题。
- 创建小径。
创建Amazon SQS队列并订阅SNS主题
创建路径后,您需要:
第1步:创建Amazon SQS队列
- 登录到AWS管理控制台。
- 转到简单的队列服务控制台,然后单击创建新队列按钮。
- 在这一点创建新队列页,检查是否选择了正确的区域,并在队列名称场地。
- 选择要创建的队列类型,这将确定消息的顺序和传递:标准或先进先出(FIFO)。
- 点击快速创造使用默认参数创建队列。
您的新队列将从队列列表中提供,您可以订阅为您指定的SNS主题。
第2步:将Amazon SQS队列订阅到SNS主题
- 登录您的AWS管理控制台并转到简单的队列服务控制台。
- 从队列列表中,选择要订阅SNS主题的队列。
- 点击队列操作下拉点和选择订阅队列到SNS主题从菜单。
- 来自订阅主题窗口中,单击选择一个主题下拉列表并选择您要订阅的6. SNS主题。确保您选择为您所指定的主题。
- 为主题订阅队列。
创建并配置IAM Policy和角色
通过附加到IAM Identities或AWS资源的IAM策略管理到AWS。IAM策略定义身份的权限,如角色或用户或AWS资源。这些策略用于评估是否允许或拒绝请求。
要为SNS主题和SQS队列提供帐户访问和权限,您需要:
步骤1:创建IAM policy
- 登录您的AWS管理控制台,并进入我是控制台。
- 从左侧菜单中,选择政策并选择创建政策.
- 设置一个策略,向之前设置的SQS队列和创建用于存储CloudTrail日志的Amazon S3桶授予权限。
- 配置S3权限列表和读.
- 配置SQS队列权限列表,读, 和写.
- 创建策略。
现在您已准备好创建IAM角色并将此策略附加到它。
步骤2:创建IAM角色
- 登录您的AWS管理控制台,并进入我是控制台。
- 从左侧菜单中,选择角色并选择创建角色.
- 当。。。的时候创建角色页面出现时,选择另一种AWS帐户角色类型选项为您的可信实体类型。
- 输入要授予对资源的访问的帐户ID。
- 点击下一步:权限.在这一点权限部分,附上您之前创建的IAM策略。
- 点击下一个:审查.在这一点审查部分,输入角色的名称和描述。您还将看到该策略附加到角色。
- 创建角色。它将在角色表中列出。
- 从角色表中,查找并单击您刚刚创建的角色以打开概括页面。
- 去吧信任关系标签并单击编辑信任关系.
- 在信任关系策略文档中,您需要更新主元素中的AWS帐户以包括以下RAPID7 ID:
336818582268
.您的政策文件可能如下所示:
1{2“版本”:“2012-10-17”,3.“声明”:{4“效果”:“允许”,5“校长”:{“AWS”:[6“ARN:AWS:IAM :: 336818582268:root”,7)},8“行动”:“sts: AssumeRole”9}10.}
- 来自信任关系选项卡,您还需要设置作为额外身份验证层的外部ID。选择需要外部ID选择。外部ID可以是任何单词或数字。从Insigrops设置集成时,您只需记住它。
- 应用您的更改。
使用Insigrops设置CloudTrail集成时,您将需要您创建的IAM角色的名称。
在insighttops中添加CloudTrail集成
- 登录Insightops。
- 从左侧菜单中,选择数据收集.
- 当。。。的时候添加数据来源出现页面,单击CloudTrail集成.
- 点击添加新集成按钮。
- 当。。。的时候AWS CloudTrail面板出现时,输入集成的名称和描述。点击下一个接着说。
- 下日志部分,选择要用于查看CloudTrail日志的目标日志和日志集。点击下一个接着说。
- 在AWS部分下,输入以下信息:
- AWS帐户ID- 要找到您的帐户ID,请登录AWS管理控制台并转到IAM控制台。
- SQS队列URL.-要找到您的SQS队列URL,请登录AWS管理控制台,然后进入简单队列服务控制台。你可以在细节标签。
- IAM角色名称- 要查找可用的IAM角色列表,请登录AWS管理控制台并转到IAM控制台。从左侧菜单中,选择角色.生成的表将显示可用的所有角色。
- IAM角色外部ID- 外部ID指定Insightops可以假设的角色。您可以在信任关系策略文档中找到外部ID。格式将是:“STS”:“USERPLEID”。
- 创建集成。
成功添加集成后,您将看到它列在添加数据来源页面。您将能够选择它作为发送数据的源。