Wie kann ich Änderungen an den AWS-Einstellungen verfolgen?

Gibt es eine Möglichkeit, Änderungen am AWS-System nachzuverfolgen?

Zum Beispiel Änderungen an einer Subnetzeinstellung, von nat bis iwg - diese zeigen eine Meldung an und verschwinden dann.

Gibt es eine Möglichkeit, AWS dazu zu bringen, ein Protokoll zu erstellen, damit nachverfolgt werden kann, welche Änderungen an was und wann vorgenommen wurden?

Das nächste, was wir jetzt haben, sind die ElasticBeanstalk-Ereignisse - aber selbst das sagt Ihnen nur, was AWS getan hat, nicht welche Einstellungen geändert wurden, um die Ereignisse auszulösen.

AWS verfügt über den CloudTrail-Dienst, der die meisten API-Aufrufe in Ihrem Konto verfolgt. Speichern Sie diese dann in Dateien in Ihrem angegebenen S3-Bucket.

https://aws.amazon.com/cloudtrail/

Mit CloudTrail können Sie sehen, wer oder welcher Dienst welche Änderung aufgerufen hat - in vielen Fällen auch, welche Argumente verwendet wurden.

Leider werden derzeit nicht ALLE Dienste unterstützt.

Es gibt mehrere AWS-Services, die Ihnen dabei helfen können, und es hängt wirklich von Ihren genauen Anforderungen ab, welche für Sie am besten geeignet sind. Für jeden gelten unterschiedliche Funktionen (und Kosten).

CloudTrail wurde erwähnt, aber die erste Option, die mir bei Ihrer Frage in den Sinn kommt (und die in einem Kommentar zur Antwort von @ Evgeny erwähnt wird ), ist der AWS Config Service . Es speichert "Snapshots" Ihrer AWS-Konfiguration zu bestimmten Zeitpunkten (in einem S3-Bucket), sendet jedoch hilfreich auch alle Änderungen an ein SNS-Thema. Sie können dann damit umgehen, wie Sie möchten. Zum Beispiel habe ich auf einem Konto mit wenig Verkehr diese direkt in Slack; Auf einem Konto mit hohem Datenverkehr verfolge ich die NumberOfMessagesPublishedMetrik zu diesem SNS-Thema, um festzustellen, ob eine größere Anzahl von Änderungen als üblich vorgenommen wird.

AWS Config bietet auch einen Regelservice an. Diese sind etwas teurer als ich erwarten würde, aber je nach Ihren Bedürfnissen könnten sie nützlich sein. Aktiviere sie einfach nicht alle auf einmal, wie ich es getan habe, als ich herumgespielt habe ... die monatliche Gebühr für jede Regel gilt sofort. ;) (Aber Sie können Config verwenden, ohne die Regeln zu verwenden - das ist, was ich gerade mache).

Es gibt auch Trusted Advisor , der nicht genau das tut, wonach Sie gefragt haben, aber möglicherweise hilfreich ist, um bestimmte Überprüfungen der Konfiguration Ihrer Infrastruktur durch Ingenieure durchzuführen, z. B. ob noch S3-Buckets offen sind. Dies ist am nützlichsten bei einem Support-Plan auf Unternehmensebene oder höher, da viele seiner Überprüfungen ansonsten blockiert sind.

Darüber hinaus gibt es Tools von Drittanbietern wie CloudCheckr , die Aspekte von AWS Cost Explorer, Trusted Advisor, Config, CloudTrail, CloudWatch, Inspector und GuardDuty kombinieren. Nützlich, wenn Sie wirklich tief eintauchen möchten, aber Zeit sparen möchten, indem Sie alles selbst konfigurieren.

Alternativ können Sie Ihre Infrastruktur mit einem Tool wie Terraform oder CloudFormation verwalten und festlegen , dass alle Änderungen über diese Tools vorgenommen werden müssen. Sie können dann Ihre Konfigurationsdateien / -vorlagen für die Quellcodeverwaltung festlegen und sie sogar anhand der Live-Infrastruktur in CI testen und den Build fehlschlagen, wenn jemand nicht nachverfolgte Änderungen vorgenommen hat. Auf diese Weise wird Ihr Commit-Verlauf zu Ihrem Audit-Protokoll - Ihre Ingenieure müssen jedoch diszipliniert sein!