AWS Config — кто внес изменение

На основе AWS Docs - кажется, Config сообщает вам о внесенных изменениях конфигурации, но не о том, кто их сделал на самом деле. Это правда? Если как мы найдем того, кто сделал изменение — Cloud Trail?

Могу ли я просто использовать Cloud Trail отдельно, без использования Config, поскольку в нем есть Что/Когда/Кто? Или это Config + Cloud Trail — оптимальная комбинация.


amazon-web-services config amazon-cloudtrail
person Sam-T    schedule 12.11.2017    source источник
comment
Я просто хочу отметить, что Сэм спрашивал, можете ли вы увидеть, кто внес изменения в элемент конфигурации внутри Config, а не можете ли вы увидеть, кто внес изменения в саму конфигурацию, как отвечал @helloV. Config будет отслеживать только что и когда, чтобы узнать кто, вам нужно посмотреть в CloudTrail. Ваше резюме по приветственному ответу правильно о том, кто. Вы также можете получить когда и что в CloudTrail, однако, чтобы увидеть, что на самом деле было изменено в элементе конфигурации, для этого вам понадобится Config.   -  person Loaf    schedule 04.06.2018

Ответы (1)


arrow_upward
2
arrow_downward

Да. CloudTrail записывает изменения, внесенные в AWS Config, включая тех, кто внес изменения.

Источник: Информация о конфигурации AWS в CloudTrail

Каждая запись в журнале содержит информацию о том, кто сгенерировал запрос. Идентификационные данные пользователя в журнале помогают определить, был ли запрос сделан с учетными данными пользователя root или IAM, с временными учетными данными безопасности для роли или федеративного пользователя или другим сервисом AWS. Дополнительные сведения см. в поле userIdentity в справочнике по событиям CloudTrail.

person helloV    schedule 12.11.2017
comment
Спасибо - почему-то Документы точно не упоминают об этом. Так что мне нужно использовать Config + Cloud Trail, чтобы получить полную картину — что, кто, когда? Если Конфиг дает мне все (включая S3 push) - тогда мне не нужен Cloud Trail. - person Sam-T; 12.11.2017
comment
В AWS нет службы, которая может дать вам полную картину активности API. В этом вам придется полагаться на CloudTrail. - person helloV; 12.11.2017
comment
После некоторых исследований я нашел «Идентификатор события AWS CloudTrail». в конфигурации - так вот как бы вы сопоставили 2 и получили вызывающего абонента? - person Sam-T; 12.11.2017
comment
Да. На странице, на которую я дал ссылку в своем ответе, достаточно примеров, чтобы ответить на ваш первоначальный вопрос, если у вас есть event ID. - person helloV; 12.11.2017
comment
Подводя итог - будет ли справедливо сказать - в Config есть только What и When, чтобы получить Who - мне нужно соотнести с Cloud Trail. Но с другой стороны у Cloud Trail есть все 3, и если я захочу - я могу использовать только Cloud Trail и игнорировать Config. Я понимаю, что предлагает Config, но если мне все равно нужны оба варианта, используйте только Cloud Trail, по крайней мере, для какого-то конкретного случая использования. - person Sam-T; 12.11.2017