如何为 AWS 组织账户实施集中日志记录
How to implement centralized Logging for an AWS Organization Account
我正在从事一个集中我们的 AWS 安全日志的项目。我们 运行 遇到的问题是我们刚刚启用了组织级别的日志记录。以前,我们对每个单独的 aws 帐户进行安全地形改造。现在我们正在关注这个practice。这种情况的问题是我们有多个帐户,有多个 s3 存储桶、多个 cloudwatch 日志、多个 cloudwatch 警报。将所有这些集中到一个“安全”/“组织”帐户中会更容易。
创建一个仅用于日志记录的 aws 帐户是否有意义?如果是这样,创建安全组 (Security Admin) 和安全角色 (ops-sec-role) 是否有意义。例如,我们可以将安全用户 (sec-op-1) 添加到组中,以便他们可以承担安全帐户中的角色。原因是遵循角色分离的哲学。
我正在研究 CloudFormation 的潜力 solutions,但最好使用 terraform 来实现它。
以前有人做过吗?
是的,拥有一个集中式日志记录帐户绝对有意义。如果您要在整个组织中推广此功能,我建议这实际上是使用 CloudFormation Stack Sets.
的最佳时机
- 在主组织帐户中定义一个堆栈集,它将为每个帐户创建您的日志记录基础设施以及它如何转发到中央帐户(IAM 角色、Cloudtrail 日志、存储桶复制等)
- 将此堆栈集应用于您的整个组织。这将在每个子账户中自动创建一个堆栈实例。以后添加的任何新帐户也会自动创建此堆栈。
- 使用组织 Service Control Policies 阻止任何人修改子帐户中的日志记录基础设施。
您可以在 Terraform 中做同样的事情,但您必须编写自己的自动化程序以将其应用于许多帐户,并且还必须记住或自动化新组织帐户的 运行。对于 IaC,我通常更喜欢 Terraform,但这是 CloudFormation 真正发挥作用的少数几个案例之一。混合方法也可以工作,将 CloudFormation 用于 CloudTrail 和 IAM 等标准事物,并为具有自己特定要求的帐户使用自定义 Terraform。
您可能还想看看 AWS Control Tower 服务,它可以为您自动执行其中的一些操作,同时应用一些其他安全最佳做法。
资料来源:我是经过认证的 AWS 解决方案架构师专家和 DevOps 工程师专家。
我正在从事一个集中我们的 AWS 安全日志的项目。我们 运行 遇到的问题是我们刚刚启用了组织级别的日志记录。以前,我们对每个单独的 aws 帐户进行安全地形改造。现在我们正在关注这个practice。这种情况的问题是我们有多个帐户,有多个 s3 存储桶、多个 cloudwatch 日志、多个 cloudwatch 警报。将所有这些集中到一个“安全”/“组织”帐户中会更容易。
创建一个仅用于日志记录的 aws 帐户是否有意义?如果是这样,创建安全组 (Security Admin) 和安全角色 (ops-sec-role) 是否有意义。例如,我们可以将安全用户 (sec-op-1) 添加到组中,以便他们可以承担安全帐户中的角色。原因是遵循角色分离的哲学。
我正在研究 CloudFormation 的潜力 solutions,但最好使用 terraform 来实现它。
以前有人做过吗?
是的,拥有一个集中式日志记录帐户绝对有意义。如果您要在整个组织中推广此功能,我建议这实际上是使用 CloudFormation Stack Sets.
的最佳时机- 在主组织帐户中定义一个堆栈集,它将为每个帐户创建您的日志记录基础设施以及它如何转发到中央帐户(IAM 角色、Cloudtrail 日志、存储桶复制等)
- 将此堆栈集应用于您的整个组织。这将在每个子账户中自动创建一个堆栈实例。以后添加的任何新帐户也会自动创建此堆栈。
- 使用组织 Service Control Policies 阻止任何人修改子帐户中的日志记录基础设施。
您可以在 Terraform 中做同样的事情,但您必须编写自己的自动化程序以将其应用于许多帐户,并且还必须记住或自动化新组织帐户的 运行。对于 IaC,我通常更喜欢 Terraform,但这是 CloudFormation 真正发挥作用的少数几个案例之一。混合方法也可以工作,将 CloudFormation 用于 CloudTrail 和 IAM 等标准事物,并为具有自己特定要求的帐户使用自定义 Terraform。
您可能还想看看 AWS Control Tower 服务,它可以为您自动执行其中的一些操作,同时应用一些其他安全最佳做法。
资料来源:我是经过认证的 AWS 解决方案架构师专家和 DevOps 工程师专家。