AWS CloudTrail

คืออะไร

AWS CloudTrail บันทึก API calls และกิจกรรมทั้งหมดที่เกิดขึ้นใน AWS account ของคุณ ไม่ว่าจะมาจาก AWS Console, CLI, SDK หรือ service อื่นๆ ช่วยให้ตรวจสอบได้ว่าใครทำอะไร เมื่อไร จาก IP ไหน เป็นเครื่องมือสำคัญสำหรับ security audit และ compliance

ราคา

• Trail แรกต่อ region: ฟรี (management events)
• Trail เพิ่มเติม: $2.00/100,000 management events
• Data events (S3, Lambda): $0.10/100,000 events
• Insights events: $0.35/100,000 events ที่วิเคราะห์
• S3 storage สำหรับ log files: คิดตาม S3 standard pricing

เหมาะสำหรับ

• Security audit และ compliance (PCI-DSS, HIPAA, SOC)
• ตรวจสอบการเปลี่ยนแปลงใน AWS resources
• Incident response และ forensic investigation
• ตรวจจับ unauthorized access หรือพฤติกรรมผิดปกติ

Use Case ตัวอย่าง

หลังจากพบว่า S3 bucket ถูก misconfigure ให้เป็น public โดยไม่ทราบสาเหตุ ทีม security ใช้ CloudTrail ตรวจสอบ event history ย้อนหลัง 90 วัน และพบว่ามี IAM user หนึ่งรายเรียก PutBucketAcl API เมื่อ 3 สัปดาห์ก่อนจาก IP address ที่ไม่คุ้นเคย จึงสามารถระบุต้นเหตุ ปิดช่องโหว่ และรายงาน compliance ได้ทันที