3

我已使用 AWS 管理控制台启用 CloudTrail,Amazon S3 存储桶策略是启用 CloudTrail 时自动创建的默认策略。

我可以找到关于我的登录的日志以及所有其他偶数日志,但没有关于 log-off 的信息。我需要为此做些什么,还是根本不存在?注销不归类为事件吗?

编辑 1

我是 CloudTrail 的新手,并试图了解什么是可能的,什么是不可能的。我有一个 IAM 用户,它只能对一个存储桶进行读写访问并列出所有存储桶。使用它时,我调用了它,aws ec2 describe-instances我可以在日志中看到它errorCode: "Client.UnauthorizedOperation",但是当我执行aws s3 cporaws s3 ls并且它成功时,它没有被记录。这是创建的默认存储桶策略。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AWSCloudTrailAclCheck20131101",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws:iam::903692715234:root",
                "arn:aws:iam::859597730677:root",
                "arn:aws:iam::814480443879:root",
                "arn:aws:iam::216624486486:root",
                "arn:aws:iam::086441151436:root",
                "arn:aws:iam::388731089494:root",
                "arn:aws:iam::284668455005:root",
                "arn:aws:iam::113285607260:root"
            ]
        },
        "Action": "s3:GetBucketAcl",
        "Resource": "arn:aws:s3:::MY_BUCKET"
    },
    {
        "Sid": "AWSCloudTrailWrite20131101",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws:iam::903692715234:root",
                "arn:aws:iam::859597730677:root",
                "arn:aws:iam::814480443879:root",
                "arn:aws:iam::216624486486:root",
                "arn:aws:iam::086441151436:root",
                "arn:aws:iam::388731089494:root",
                "arn:aws:iam::284668455005:root",
                "arn:aws:iam::113285607260:root"
            ]
        },
        "Action": "s3:PutObject",
        "Resource": "arn:aws:s3:::MY_BUCKET/MY_PREFIX/AWSLogs/MY_ACCOUNT_ID/*",
        "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control"
            }
        }
    }
]
}

Principal这可能来自哪里以及为什么会这样——它们不是我的账户,它们是在我启用 CloudTrail 时由 AWS 创建的。这些将日志传送到我的存储桶的 AWS 账户是否应该存在?

编辑 2

typepad 的帖子中,S3 的日志记录还没有出现。我看到的登录实际上是因为 AWS 安全令牌服务 (STS)GetSessionToken调用。如果从控制台注销,似乎没有调用 STS,因此没有生成日志。

4

1 回答 1

5

每隔一段时间,AWS 就会倾听客户的需求,以提高用户登录 AWS 管理控制台时的可见性,并刚刚宣布AWS CloudTrail 现在记录 AWS 管理控制台登录事件,从而淘汰了间接方法,GetSessionToken并将其替换为明确和更详细的事件:

为 AWS IAM 和联合身份用户记录成功和不成功的控制台登录事件可以帮助您进行合规性和安全工作。借助这项新功能,您可以为 IAM 和联合身份用户获得以下信息:

  • 每次成功登录。
  • 每次不成功的登录尝试。
  • 验证何时实施多因素身份验证 (MFA)。
  • 每个登录事件的 IP 地址。

此外,您可以看到根账户每次成功登录的记录。最后,您可以看到 IAM 用户在一段时间内没有登录,这表明您可以删除该 IAM 用户。

不幸的是,注销事件仍然没有可见性。

于 2014-07-24T22:22:07.580 回答