Cloudtrail
官方介紹:
---------------------------------------------------------
AWS CloudTrail 是可啟用 AWS 帳戶管控、合規、操作稽核和風險稽核的服務。使用 CloudTrail 可以記錄、持續監控和保留 AWS 基礎設施中所有與動作相關的帳戶活動。CloudTrail 可提供 AWS 帳戶活動的事件歷史記錄,包括透過 AWS 管理主控台、AWS 開發套件、命令列工具及其他 AWS 服務所採取的動作。這個事件歷史記錄簡化了安全分析、資源變更追蹤和故障排除的程序。
---------------------------------------------------------
官方介紹:
---------------------------------------------------------
AWS CloudTrail 是可啟用 AWS 帳戶管控、合規、操作稽核和風險稽核的服務。使用 CloudTrail 可以記錄、持續監控和保留 AWS 基礎設施中所有與動作相關的帳戶活動。CloudTrail 可提供 AWS 帳戶活動的事件歷史記錄,包括透過 AWS 管理主控台、AWS 開發套件、命令列工具及其他 AWS 服務所採取的動作。這個事件歷史記錄簡化了安全分析、資源變更追蹤和故障排除的程序。
---------------------------------------------------------
筆記:
Cloudtrail 可紀錄 CLI, SDK 與 API 被呼叫的情況。譬如說監測帳號是否被盜用來建立莫名的 EC2 Instance 或 S3 buckets,又或者用來查看誰對某個 S3 object 做了操作。Cloudtrail 將會紀錄近 90 天的 Event history。Event 又分為 Management Event 和 Data Event,Data Event 僅提供 S3 和 Lambda。
當 Cloudtrail 的設定套用至所有 Regions 時,只要未來 AWS 新增了 Region,這些設定也會自動被套用。
當 Cloudtrail 的設定套用至所有 Regions 時,只要未來 AWS 新增了 Region,這些設定也會自動被套用。
Network Access Control List (ACL)
官方介紹:
---------------------------------------------------------
「網路存取控制清單 (ACL)」是 VPC 中的選用安全 layer,作用就像防火牆,可控制一或多個子網路的傳入和傳出流量。您可以使用與您的安全群組相似的規則來設定網路 ACL,以為您的 VPC 新增額外的安全 layer。如需安全群組與網路 ACL 間差異的詳細資訊,請參閱安全群組和網路 ACL 的比較。
---------------------------------------------------------
筆記:
ACL 基本事項:
- VPC 已自動隨附可修改的預設網路 ACL。根據預設,它會允許所有傳入和傳出 IPv4 流量與 IPv6 流量 (如適用)。
- 可以建立自訂網路 ACL,並將其與子網路建立關聯。根據預設,在新增規則之前,每個自訂網路 ACL 都會拒絕所有傳入和傳出流量。
- VPC 中的每個子網路都必須與一個網路 ACL 建立關聯。如果未明確將子網路與網路 ACL 建立關聯,子網路就會自動與預設網路 ACL 建立關聯。
- 您可以將多個子網路與某個網路 ACL 建立關聯,不過一個子網路一次只能與一個網路 ACL 建立關聯。當您為網路 ACL 與子網路建立關聯時,系統就會移除先前的關聯。
・資料來源:AWS 官方網站
沒有留言:
張貼留言