Observability
D1 · Secure
D2 · Resilient
~1 phút đọc

CloudTrail & AWS Config — Audit & Compliance

CloudTrail ghi lại mọi API call (ai làm gì, khi nào). AWS Config theo dõi cấu hình resource theo thời gian và đánh giá compliance.

cloudtrail
config
audit
compliance
governance

Sơ đồ tổng quan

Đang tải sơ đồ…

Tổng quan

CloudTrail trả lời 'AI đã làm GÌ, KHI NÀO?' — ghi lại API call. AWS Config trả lời 'Resource đang cấu hình THẾ NÀO, có ĐÚNG chuẩn không?' — theo dõi configuration changes và compliance.

CloudTrail

  • Management Events: mặc định bật, ghi API control plane (CreateBucket, RunInstances...).
  • Data Events: phải bật riêng, ghi data plane (S3 GetObject, Lambda Invoke). Có phí.
  • Insights Events: phát hiện bất thường (spike API call).
  • Organization Trail: gom log tất cả account trong Org về 1 S3.
  • File Integrity Validation: SHA-256 digest file, chống tamper.
  • Retention: 90 ngày trong console, lưu S3 vĩnh viễn. Query bằng Athena.

AWS Config

  • Configuration Recorder: ghi snapshot cấu hình mỗi resource khi thay đổi.
  • Config Rules: managed (AWS cung cấp 300+) hoặc custom (Lambda).
  • Ví dụ rules: s3-bucket-public-read-prohibited, encrypted-volumes, required-tags.
  • Remediation: tự động fix bằng SSM Automation document.
  • Aggregator: gom compliance data từ nhiều account/region.
  • Conformance Pack: bộ rules đóng gói cho compliance framework (PCI-DSS, HIPAA).

So sánh CloudTrail vs Config

  • CloudTrail: WHO did WHAT (API audit trail).
  • Config: WHAT is the current state, HOW did it change (configuration compliance).
  • Dùng cả hai: CloudTrail cho forensic, Config cho continuous compliance.
Info
Câu hỏi 'ai đã xóa S3 bucket?' → CloudTrail. 'S3 bucket nào đang public?' → Config Rule.
Nội dung liên quan
Flashcards liên quan
Giám sát & Observability