Bagaimana cara melacak perubahan pada pengaturan AWS?

Apakah ada cara untuk melacak perubahan yang kami buat pada sistem AWS?

Misalnya, perubahan ke pengaturan subnet, dari menggunakan nat ke iwg - ini menampilkan pesan, dan kemudian menghilang.

Apakah ada cara untuk membuat AWS membuat log sehingga orang dapat melacak perubahan yang dibuat untuk apa dan kapan?

Hal terdekat yang kami miliki sekarang adalah acara ElasticBeanstalk - tetapi bahkan itu hanya memberi tahu Anda apa yang AWS lakukan, bukan pengaturan mana yang diubah untuk menyebabkan acara tersebut.

AWS memiliki layanan CloudTrail yang melacak sebagian besar panggilan API yang dilakukan di akun Anda. Kemudian simpan ini dalam file dalam ember S3 yang Anda tentukan.

https://aws.amazon.com/cloudtrail/

Menggunakan CloudTrail Anda dapat melihat siapa, atau layanan mana, yang disebut perubahan - dalam banyak kasus juga termasuk argumen yang digunakan.

Sayangnya itu tidak mendukung SEMUA layanan saat ini.

Ada beberapa layanan AWS yang dapat membantu dengan ini, dan itu sangat tergantung pada kebutuhan Anda yang tepat yang paling cocok untuk Anda. Fitur yang berbeda (dan biaya) berlaku untuk masing-masing.

CloudTrail telah disebutkan, tetapi opsi pertama yang muncul di benak saya adalah pertanyaan Anda (dan itu disebutkan dalam komentar pada jawaban @ Evgeny ) adalah Layanan Konfigurasi AWS . Ini menyimpan 'snapshots' dari konfigurasi AWS Anda pada titik waktu (dalam bucket S3), tetapi sangat membantu juga mengirimkan perubahan apa pun ke topik SNS. Anda kemudian dapat menangani ini sesuka Anda. Sebagai contoh, pada akun lalu lintas rendah saya memiliki ini langsung ke Slack; pada akun lalu lintas tinggi saya melacak NumberOfMessagesPublishedmetrik pada topik SNS untuk melihat apakah ada lebih banyak perubahan yang dibuat dari biasanya.

AWS Config juga menawarkan layanan 'aturan'; ini sedikit lebih mahal daripada yang saya harapkan tetapi tergantung pada kebutuhan Anda, mereka bisa berguna. Hanya saja, jangan aktifkan semuanya sekaligus seperti yang saya lakukan ketika saya bermain-main ... biaya bulan untuk setiap aturan berlaku segera. ;) (Tetapi Anda dapat menggunakan Config tanpa menggunakan aturan - itulah yang saya lakukan saat ini).

Ada juga Penasihat Tepercaya , yang tidak melakukan persis apa yang Anda minta, tetapi mungkin berguna untuk melakukan pemeriksaan tertentu terhadap cara insinyur mengkonfigurasi infrastruktur Anda, seperti apakah ada ember S3 yang dibiarkan terbuka. Ini paling berguna dengan rencana Dukungan tingkat Bisnis atau lebih tinggi, karena banyak ceknya diblokir sebaliknya.

Lalu ada alat pihak ketiga seperti CloudCheckr , yang menggabungkan aspek-aspek Penjelajah Biaya AWS, Penasihat Tepercaya, Konfigurasi, CloudTrail, CloudWatch, Inspektur, dan GuardDuty. Berguna jika Anda ingin masuk sangat dalam tetapi menghemat waktu mengkonfigurasi semuanya sendiri.

Atau, Anda dapat mengelola infrastruktur Anda menggunakan alat seperti Terraform atau CloudFormation , dan mengamanatkan bahwa semua perubahan harus dilakukan melalui itu. Anda kemudian dapat mengkomit file konfigurasi / templat ke kontrol sumber, dan bahkan mengujinya terhadap infrastruktur langsung di CI dan gagal membangun jika seseorang membuat perubahan yang tidak dilacak. Dengan begitu, riwayat komit Anda menjadi log audit Anda - tetapi hal itu mengharuskan teknisi Anda untuk didisiplinkan!