CloudTrail là gì?

AWS CloudTrail là dịch vụ giúp bạn theo dõi và ghi lại mọi hoạt động API hay việc sử dụng dịch vụ diễn ra trong tài khoản AWS. Điều này bao gồm:

• AWS Management Console
• AWS CLI
• AWS SDKs
• Dịch vụ AWS khác gọi lẫn nhau

CloudTrail cung cấp lịch sử hành động (event history) giúp bạn:

• Đáp ứng yêu cầu bảo mật & compliance (PCI-DSS, HIPAA, ISO…).
• Thực hiện Auditing (ai làm gì, lúc nào, từ đâu).
• Hỗ trợ troubleshooting & investigation khi có sự cố.

CloudTrail hoạt động như thế nào?

1. Mọi hành động API gọi đến dịch vụ AWS sẽ được CloudTrail ghi lại dưới dạng sự kiện (event).
2. Các bản ghi sự kiện chứa thông tin:
   • Ai thực hiện (IAM user, role, service…).
   • Hành động gì (API gọi).
   • Thời gian thực hiện.
   • Nguồn IP, region, resource liên quan.
3. CloudTrail lưu trữ:
   • Event history: 90 ngày gần nhất (miễn phí).
   • Trails: gửi log đến S3, CloudWatch Logs, hoặc CloudWatch Events để phân tích dài hạn.

Thành phần chính

• Event History: Xem lại lịch sử 90 ngày gần nhất.
• Trail: Cấu hình để ghi log lâu dài vào S3 hoặc CloudWatch.
• Insights: Phát hiện hoạt động bất thường (ví dụ: số lượng API gọi tăng đột biến).
• EventBridge Integration: Kích hoạt hành động tự động khi có sự kiện (vd: gọi Lambda khi có IAM CreateUser).

CloudTrail Events

• Management Events: Theo dõi hoạt động quản trị (tạo/sửa/xoá tài nguyên).
• Data Events: Theo dõi hành động chi tiết trên dữ liệu (vd: GetObject trong S3, Invoke trong Lambda).
• Insight Events: Phát hiện bất thường (vd: API error tăng đột biến).

Ứng dụng thực tế

• Security & Compliance: Audit toàn bộ thay đổi trong tài khoản AWS.
• Forensics: Điều tra khi có sự cố bảo mật.
• Monitoring: Kích hoạt cảnh báo khi có hành động nhạy cảm (vd: xóa bucket S3).
• Automation: Dùng EventBridge để tự động phản ứng (vd: Rollback khi có thay đổi IAM trái phép).

Pricing

• Event History 90 ngày: miễn phí.
• Trails: trả phí dựa trên số lượng events được ghi lại.
• Insights: trả thêm phí theo số lượng events phân tích.