- 최신
- 최다 투표
- 가장 많은 댓글
【以下的回答经过翻译处理】 可能有几种方法可以实现这一目标,但这里有一种常见的模式。使用 Control Tower,它会设置集中式日志桶,但也会在每个账户中为本地 Cloudtrail 日志配置 Cloudwatch 日志组。您可以针对特定操作在该日志组上创建度量过滤器。例如,IAM 策略更改或登录失败。文档在这里:https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html 和 https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html。
日志过滤器可将警报发送到Control Tower创建的 SNS 主题 aws-controltower-SecurityNotifications。该主题通过 Lambda 函数将警报转发到审计帐户中的主题。该主题可以订阅电子邮件、PagerDuty 等。请注意,中央 SNS 主题可能会有点嘈杂,因此可能需要创建新的主题。您也可以在每个账户中以不同方式订阅 SNS 话题。这样就可以灵活处理谁/什么会收到特定账户的警报。
在部署方面,如果您正在使用cloudformation,并为Metric Filters创建模板,则Control Tower解决方案的自定义https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/或Organizations StackSetshttps://aws.amazon.com/blogs/aws/new-use-aws-cloudformation-stacksets-for-multiple-accounts-in-an-aws-organization/可以帮助您快速轻松地将相同的模板部署到许多账户中。从中心位置管理部署和更新。