AWS Control Tower am Beispiel: Teil 3

Blog

AWS Control Tower am Beispiel: Teil 3

AWS CloudTrail-Nutzung im AWS Control Tower

AWS CloudTrail ist ein AWS-Service, der Ihnen hilft, Governance, Compliance sowie Betriebs- und Risikoprüfung Ihres AWS-Kontos zu ermöglichen. Aktionen eines Benutzers, einer Rolle oder eines AWS-Service werden als Ereignisse in CloudTrail aufgezeichnet. Ereignisse umfassen Aktionen, die in der AWS Management Console, AWS Command Line Interface und AWS SDKs und APIs ausgeführt werden.

_— AWS - _ Was ist AWS CloudTrail?

was ist ein ubtc

Wenn man sich jedes der vier Konten ansieht, einschließlich des Entwickler-Sandbox-Kontos, das wir im vorherigen Artikel erstellt haben, hat jedes einen multiregionalen Trail, der in derselben Region konfiguriert ist, in der wir AWS Control Tower zum Erstellen unserer Landezone verwendet haben. in meinem Fall us-west-2 .

Bild für Beitrag

Hinweis : Es ist interessant zu beobachten, dass AWS Control Tower keine Konfiguration Organisationspfad im Hauptkonto; Stattdessen werden in jedem Konto individuelle Trails erstellt.

Jeder Trail ist so konfiguriert, dass Ereignisse in einer Amazon CloudWatch Log-Gruppe (gleiches Konto und Region) und in einem gemeinsamen Amazon S3-Bucket im _Log Archive _Account gespeichert werden (gleiche Region, in der wir AWS Control Tower zum Erstellen unserer Landezone verwendet haben).

Um AWS CloudTrail in Aktion zu veranschaulichen, erstellen wir eine AWS EC2-Instance in der beliebigen Region im Sandbox-Entwicklerkonto.

Wir sehen uns das AWS CloudTrail-Dashboard an (in demselben Konto und derselben Region, in der die AWS EC2-Instance erstellt wurde) und beobachten die RunInstances Vorfall.

Bild für Beitrag

Wir sehen uns die Amazon CloudWatch Log-Gruppe an (im selben Konto und in der gleichen Region, in der der Trail konfiguriert ist) und beobachten die RunInstances Vorfall.

#aws #aws-kontrollturm

codeburst.io

AWS Control Tower am Beispiel: Teil 3

Wir bauen weiterhin eine AWS-Umgebung mit mehreren Konten auf, die sich auf Governance/Compliance mit AWS CloudTrail und dann auf praktische Bedenken im Zusammenhang mit den Entwickler-Sandbox-Konten konzentriert. Wenn man sich jedes der vier Konten ansieht, einschließlich des Entwickler-Sandbox-Kontos, das wir im vorherigen Artikel erstellt haben, hat jedes einen multiregionalen Trail, der in derselben Region konfiguriert ist, in der wir AWS Control Tower zum Erstellen unserer Landezone verwendet haben. in meinem Fall us-west-2.