AWS CloudTrail集成

AWS CloudTrail是一项持续监控您的AWS帐户活动并记录事件的服务。它可以跟踪用户活动、API使用情况和AWS资源的变化，这样您就可以看到帐户上正在进行的操作。CloudTrail存储信息，如谁发出请求、使用的服务、访问的资源和采取的操作。您可以从CloudTrail控制台查看、搜索和下载这些信息。

为了帮助您存储、跟踪和响应事件，您可以从控制台、AWS CLI或CloudTrail API创建跟踪。其目标是简化事件历史记录，以便您可以监督AWS基础设施，并确保符合公司政策和法规标准。

您可以设置AWS CloudTrail，将您的AWS帐户活动直接流到洞察。通过集成，您可以使用InsightOps搜索您的AWS帐户活动，以查找特定的操作、发起特定操作的用户以及受其影响的资源。

要设置AWS CloudTrail集成，您需要:

1. 启用AWS CloudTrail。
2. 创建一个新的路径。
3. 创建SQS队列并将其订阅到SNS主题。
4. 建立IAM策略和角色的隐私和信任关系。
5. 在insighttops中添加集成。

创建AWS帐户时，自动启用AWS CloudTrail。所有活动都被记录为一个事件，并存档90天。为了帮助您存储、分析和管理对AWS资源的更改，并将事件记录扩展到90天以上，您可以创建CloudTrail trail。

跟踪是您的AWS帐户活动的长期记录。它允许您过滤并持续地将跟踪的日志文件发送到Amazon S3桶，该桶将被发送到insighttops。

为了建立AWS CloudTrail与InsightOps的集成，您需要创建一个新的路径。

创建路径:

1. 使用配置为CloudTrail管理的IAM用户登录AWS管理控制台。您需要指定创建路径的区域。
2. 从导航窗格中，转到CloudTrail > Trails >创建新路径．
3. 在路的名字字段，输入一个描述性名称，以帮助您轻松识别路径的目的。
4. 在Storage Location部分中，选择是创建新的Amazon S3桶还是使用现有的桶，然后按照说明操作。S3桶将用于存储CloudTrail日志。
5. 指定S3桶后，单击先进的链接以展开菜单。
6. 找到为每个日志文件发送SNS通知选择和选择是的．
7. 要创建一个新的SNS话题，请选择是的为创建一个新的社交网络话题选择。否则，要使用现有的SNS主题，请选择没有并在下拉框中选择你想要使用的社交网站主题。
8. 创建记录。

在你创建一个路径后，你需要:

1. 创建一个SQS队列。
2. 订阅你的社交网站主题的队列。

步骤1:创建Amazon SQS队列

1. 登录到AWS管理控制台。
2. 转到简单队列服务控制台并单击创建新的队列按钮。
3. 在创建新的队列页，检查是否选择了正确的区域，并在队列名称字段。
4. 选择要创建的队列类型，这将决定消息的顺序和传递:标准或先进先出(FIFO)。
5. 点击Quick-Create使用默认参数创建队列。

您的新队列将从队列列表中可用，您可以订阅指定的SNS主题，以便跟踪该主题。

步骤2:向SNS主题订阅Amazon SQS队列

1. 登录AWS管理控制台并转到简单队列服务控制台。
2. 从队列列表中，选择要订阅SNS主题的队列。
3. 单击队列操作下拉选择订阅队列到SNS主题从菜单中。
4. 从订阅一个主题窗口中,单击选择一个主题下拉并选择6。你想订阅的社交媒体话题。确保你选择了你指定的主题。
5. 将队列订阅到主题。

通过附加到IAM身份或AWS资源的IAM策略来管理对AWS的访问。IAM policy定义了一个身份(如角色、用户或AWS资源)的权限。这些策略用于评估请求是被允许还是被拒绝。

要给一个帐户访问SNS主题和SQS队列的权限，你需要:

1. 创建IAM policy。
2. 创建IAM角色。

步骤1:创建IAM policy

1. 登录您的AWS管理控制台，并进入我控制台。
2. 从左边的菜单中选择政策并选择创建政策．
3. 设置一个策略，向之前设置的SQS队列和创建用于存储CloudTrail日志的Amazon S3桶授予权限。
4. 将S3权限配置为列表和读．
5. 将SQS队列权限配置为列表，读,写．
6. 创建政策。

现在，您已经准备好创建一个IAM角色并将此策略附加到它。

步骤2:创建IAM角色

1. 登录您的AWS管理控制台，并进入我控制台。
2. 从左边的菜单中选择角色并选择创建角色．
3. 当创建角色页面出现时，选择另一种AWS帐户角色类型选项作为受信任实体类型。
4. 输入您想要授予资源访问权限的帐户ID。
5. 点击下一个:权限．在权限节中，附加前面创建的IAM策略。
6. 点击下一个:审查．在审查段，输入角色的名称和描述。您还将看到附加到角色的策略。
7. 创建角色。它将在角色表中列出。
8. 从角色表中，找到并单击刚才创建的角色以打开总结页面。
9. 去信任关系选项卡并单击编辑信任关系．
10. 在信任关系策略文档中，您需要更新Principal元素中的AWS帐户，以包含以下Rapid7 ID:336818582268．您的政策文件可能如下所示:

         

          

           
          
         

          

           

            1
           ｛
          
          

           

            2
           “版本”:“2012-10-17”,
          
          

           

            3.
           “声明”:{
          
          

           

            4
           “效应”:“允许”,
          
          

           

            5
           “主要”:{“AWS”:(
          
          

           

            6
           “攻击:aws:我::336818582268:根”,
          
          

           

            7
           )},
          
          

           

            8
           “行动”:“sts: AssumeRole”
          
          

           

            9
           ｝
          
          

           

            10
           ｝
          

11. 从信任关系选项卡，您还需要设置一个外部ID，作为额外的身份验证层。选择需要外部ID选择。外部ID可以是任何单词或数字。您只需要在从insighttops设置集成时记住它。
12. 应用您的更改。

您将需要在设置CloudTrail与insighttops集成时创建的IAM角色的名称。

1. 1 .登录insight tops。
2. 从左边的菜单中选择数据收集．
3. 当添加数据来源页面出现时,单击CloudTrail集成．
4. 单击添加新的集成按钮。
5. 当AWS CloudTrail面板出现时，输入集成的名称和描述。点击下一个继续。
6. 下日志部分，选择要用于查看CloudTrail日志的目标日志和日志集。点击下一个继续。
7. 在AWS部分下，输入以下信息:
   • AWS帐户ID—登录AWS管理控制台，进入IAM控制台，找到您的帐户ID。
   • SQS队列URL-要找到您的SQS队列URL，请登录AWS管理控制台，然后进入简单队列服务控制台。你可以在细节选项卡。
   • 我的角色名称—可使用的IAM角色列表，请登录AWS管理控制台，进入IAM控制台。从左边的菜单中选择角色．生成的表将显示所有可用的角色。
   • IAM角色外部ID—external ID指定insight tops可以担任的角色。您可以在信任关系策略文档中找到外部ID。格式为:" sts ": " ExternalID "。
8. 创建集成。

成功添加集成后，您将看到它列在添加数据来源页面。您将能够选择它作为发送数据的源。