通過ActionTrail監控AccessKey的使用

ActionTrail是阿里雲官方提供的審計產品，支援審計超過四十款雲產品，具體情況請檢視文件：支援的雲服務列表。如果有監控AccessKey的需求，那麼ActionTrail會是您的得力助手。本文將介紹如何通過ActionTrail監控AccessKey的使用。

使用歷史事件

首先進入ActionTrail控制檯，開通ActionTrail服務之後，便可以看到最近30天的審計事件。ActionTrail控制檯支援通過AccessKeyId來檢索事件。這裡需要注意的是，要切換到所有可能的region，才能看到AccessKey的全部使用情況，稍顯麻煩。

使用跟蹤

通過將審計事件投遞到日誌服務。ActionTrail還可以實現對AccessKey的監控和報警。下面介紹一下操作過程。

進入跟蹤列表頁面，新建一個跟蹤，並將審計事件投遞到日誌服務中。ActionTrail會將所有region的審計事件都投遞到指定的logstore中，比起歷史事件更容易分析。

配置日誌服務

日誌服務具有非常豐富的功能，包括資料分析、報表和報警。

下面介紹一下如何配置報警。日誌服務告警功能官方文件：設定告警。

首先建立一個查詢，並且將其另存為快速查詢。

event.userIdentity.accessKeyId: "LTAIT04MwpKReB7Z" | select count(1)  as use_ak_LTAIT04MwpKReB7Z

接著基於快速查詢建立報警。每隔5分鐘檢查最近10分鐘的資料。如果LTAIT04MwpKReB7Z在十分鐘內被用過一次，那麼就報警。

收到的報警如下所示。

【阿里雲】日誌服務告警:賬號71887****@qq.com下專案henshao-test-send-sls-600/觸發器use_ak_b7z生效2 > 1,內容AccessKey: LTAIT04MwpKReB7Z 正在被使用, 上下文[use_ak_LTAIT04MwpKReB7Z:2]

建立的快速查詢和報警都可以在專案介面進行檢視和管理。