Подключиться
Yandex Audit Trails

Загрузка аудитных логов облака в Object Storage

Статья создана

По этой инструкции вы создадите новый трейл, который будет загружать аудитные логи ресурсов облака в бакет Object Storage с включенным шифрованием.

Совет

Для бакета с выключенным шифрованием настройка выгрузки выполняется аналогично. Только не требуется назначать роли сервиса Yandex Key Management Service.

Подготовить окружение

Для сбора аудитных логов отдельного облака:

  1. Создайте новый бакет для загрузки в него аудитных логов.

  2. Создайте ключ шифрования в сервисе KMS.

  3. Включите шифрование бакета, используя созданный ключ шифрования.

  4. Создайте сервисный аккаунт.

  5. Назначьте роли сервисном аккаунту:

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    • Назначьте роль audit-trails.viewer на облако, со всех ресурсов которого будут собираться аудитные логи:

      yc resource-manager cloud add-access-binding \
  --role audit-trails.viewer \
  --id <идентификатор облака> \
  --service-account-id <идентификатор сервисного аккаунта>

      Где:

      • role — назначаемая роль.
      • idидентификатор облака, с которого будут собираться аудитные логи.
      • service-account-id — идентификатор сервисного аккаунта.

    • Назначьте роль storage.uploader на каталог, в котором будет находиться трейл:

      yc resource-manager folder add-access-binding \
  --role storage.uploader \
  --id <идентификатор каталога> \
  --service-account-id <идентификатор сервисного аккаунта>

      Где:

      • role — назначаемая роль.
      • id — идентификатор каталога, в котором будет находиться трейл.
      • service-account-id — идентификатор сервисного аккаунта.

    • Назначьте роль kms.keys.encrypterDecrypter на ключ шифрования:

      yc kms symmetric-key add-access-binding \
  --role kms.keys.encrypterDecrypter \
  --id <идентификатор KMS-ключа> \
  --service-account-id <идентификатор сервисного аккаунта>

      Где:

      • role — назначаемая роль.
      • id — идентификатор KMS-ключа.
      • service-account-id — идентификатор сервисного аккаунта.

  6. На странице Права доступа убедитесь, что у вас есть роли:

    • iam.serviceAccounts.user на сервисный аккаунт;
    • audit-trails.editor на каталог, где будет находиться трейл;
    • audit-trails.viewer на облако, с которого будут собираться аудитные логи;
    • storage.viewer на бакет или каталог.

Создать трейл

Чтобы создать первый трейл в Audit Trails и запустить процесс управления аудитными логами:

  1. В консоли управления выберите каталог, в котором вы хотите разместить трейл.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл и укажите:

    • Имя — имя создаваемого трейла.
    • Описание — описание трейла, необязательный параметр.

  4. В блоке Фильтр задайте параметры области сбора аудитных логов:

    • Ресурс — выберите Облако.
    • Облако — не требует заполнения, содержит имя облака, в котором будет находиться трейл.
    • Каталоги — оставьте значение по умолчанию все каталоги.

  5. В блоке Назначение задайте параметры объекта назначения:

    • НазначениеObject Storage.
    • Бакет — выберите бакет, в который будут загружаться аудитные логи.
    • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

    Примечание

    Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

  6. В блоке Сервисный аккаунт выберите сервисный аккаунт, от имени которого трейл будет загружать файлы аудитного лога в бакет.

  7. Нажмите кнопку Создать.

Трейл создастся и начнет загружать аудитные логи в бакет.

Что дальше

В этой статье: