آیا از قبض CloudTrail خود راضی هستید؟ من در مقاله قبلی خود در مورد CloudWatch همان سؤال را پرسیدم ، و اکنون زمان آن رسیده است که در مورد AWS CloudTrail تأمل کنیم.
در این مقاله ، دلایل احتمالی شما را در CloudTrail کشف می کنم و در مورد روشهای کنترل هزینه های CloudTrail به خوبی کنترل می کنید.
مقدمه
AWS CloudTrail یکی از آن دسته از خدماتی است که در عین حال هزینه های زیادی را به اکوسیستم AWS ارائه می دهد. این امر با ردیابی فعالیت کاربر و تماس های API ، حسابرسی ، نظارت بر امنیت و عیب یابی عملیاتی را امکان پذیر می کند.
با این حال ، این همچنین یکی از آن سرویس هایی است که می تواند بسیار به راحتی گران شود – به خصوص به این دلیل که تمام فعالیت ها را در یک حساب/سازمان AWS ردیابی می کند و تولید می کند سیاهههای مربوط به حسابرسیبشر
درک چگونگی اتهام AWS شما یک گام اساسی برای جلوگیری از تنظیم غلط و حفظ انطباق در کمترین قیمت قیمتبشر
الگوی بدون سرور
بله ، AWS CloudTrail یک است بدون سرور خدمات و دلیل این امر این است که این یک سرویس کاملاً مدیریت شده است که به طور خودکار فعالیت API AWS را ضبط می کند و آن را در سیاهههای Amazon S3 یا CloudWatch ذخیره می کند. شما نیازی به تهیه یا مدیریت سرورها ندارید – AWS همه چیز را در پشت صحنه قرار می دهد.
بدون سرور فقط مربوط به تحت اللفظی معنی “سرور کمتر” بلکه همچنین اصول موجود در آن ، به عنوان مثال ، هیچ مدیریت زیرساختی و قیمت هر کاربردیبشر با این حال ، قسمت ترفند در آخرین مورد نهفته است: اولین نسخه از Trails رایگان است ، اما نسخه دوم هزینه های inccur inccur ، و این جایی است که شما ممکن است هزینه زیادی را هزینه کنید.
قیمت گذاری CloudTrail
بیایید درک کنیم که مشتریان AWS چگونه برای CloudTrail پرداخت می کنند. من می خواهم روی آن تمرکز کنم پیاده روی، که موضوع این مقاله است. در صفحه قیمت گذاری CloudTrail ، جزئیات مربوط به آن نیز وجود دارد دریاچه وت بینش، که فعلاً اینجا را پوشش نمی دهم.
آیا می خواهید من برای مقاله آینده بینش و بینش در مورد دریاچه یا بینش را بررسی کنم و به اشتراک بگذارم؟ در نظرات به من اطلاع دهید!
- برای رویدادهای مدیریت تحویل S3 ، شما 2.00 دلار در هر 100000 رویداد تحویل داده شده پرداخت می کنید (پس از اولین نسخه رایگان)
- برای رویدادهای داده تحویل به S3 ، شما 0.10 دلار در هر 100000 رویداد تحویل پرداخت می کنید
- برای رویدادهای فعالیت شبکه تحویل به S3 ، شما 0.10 دلار در هر 100000 رویداد تحویل پرداخت می کنید
توجه: هزینه های آمازون S3 اعمال می شود و در این تجزیه و تحلیل گنجانده نشده است.
اگر نگاهی دقیق به قیمت گذاری بیندازید و آن را با مسیرهای پیاده روی در حساب AWS ما مقایسه کنید ، می توانید بلافاصله ببینید که هزینه های بالای نهایی از کجا حاصل می شود ، بنابراین اکنون ، درک این موضوع مهم است.
مسیرهای کپی شده
جمله ای که من می خواهم از قیمت آن تأمل کنید “بعد از اولین نسخه رایگان“. این به چه معنی است؟
بیایید تصور کنیم که شما راه اندازی کرده اید مسیرهای پیاده روی سازمان در تمام حساب های عضو به عنوان مثال ، این مسیرها در یک حساب ورود به سیستم متمرکز به یک سطل S3 می روند. برای ارائه همان رویدادها به سایر مقصد ها برای اجازه دادن به گروه های مختلف (به عنوان مثال ، توسعه دهندگان ، امنیت ، حسابرسان و غیره) برای دریافت نسخه خود از این گزارش های حسابرسی ، شما همچنین دنباله هایی را در آن ایجاد کردید حساب های فردیبشر اگرچه این یک مورد استفاده معتبر است ، این می تواند پرهزینه باشد – اولین نسخه از این رویدادها رایگان است و شما هزینه های دیگر را پرداخت می کنید – و به همین دلیل من این مسیرهای تکراری را می نامم. آنها یک متریک به نام تولید می کنند دارای مجاهد، و اینگونه است که AWS شما را شارژ می کند.
هنوز هم در حساب فرضی AWS ، بیایید بگوییم این محیط ایجاد می کند 5 میلیون رویداد مدیریتی تحویل به S3 در هر ماه:
- اولین دنباله ، که به یک سطل S3 تحویل داده می شود که توسعه دهندگان می توانند به آن دسترسی پیدا کنند ، رایگان است.
- دنباله دوم ، که به یک سطل S3 تحویل داده می شود که تیم امنیتی می تواند به آن دسترسی پیدا کند ، 100 دلار هزینه خواهد داشت (5،000،000 / 100،000 * 2.00 $ = 100 دلار)
- دنباله سوم ، که به یک سطل S3 تحویل داده می شود که تیم حسابرسان می توانند به آن دسترسی پیدا کنند ، 100 دلار هزینه خواهد داشت (5،000،000 / 100،000 * 2.00 $ = 100 دلار)
در کل ، این مسیرهای کپی شده 200 دلار برای شما هزینه دارد. اما آیا کاری وجود دارد که ما می توانیم در این سناریو انجام دهیم در حالی که هنوز هم رعایت و کمترین امتیاز را حفظ می کنیم؟
برای جلوگیری از هزینه های غیر ضروری از دارای مجاهد متریک ، می توانید مسیرهای ایجاد شده در حساب های خاص را حذف کرده و دنباله سازمان را حفظ کنید. با انجام این کار ، تمام سیاهههای مربوط به رویدادهای مدیریتی هنوز به یک سطل S3 متمرکز تحویل داده می شوند ، اما اکنون می توانید دسترسی را با هر حساب کنترل کنید در حال حاضر نقش هابشر
به عنوان مثال ، برای دسترسی به توسعه دهندگان در حساب های خاص خود در سازمان ، می توانید نقش IAM ایجاد کنید تا توسط توسعه دهندگان از یک حساب خاص فرض شود اما فقط به آنها اجازه می دهد تا به آنها دسترسی پیدا کنند پیشوند سطل مسیرهای پیاده روی از حساب آنها. سیاست شما کم و بیش به این شکل به نظر می رسد:
{
"Effect": "Allow"
"Resource": "arn:aws:s3:::organization-trail-bucket/AWSLogs/OU_ID/ACCOUNT_ID/*",
"Action": [
"s3:Get*",
"s3:HeadObject",
"s3:List*",
"s3:RestoreObject"
],
},
{
"Effect": "Allow"
"Resource": "arn:aws:s3:::organization-trail-bucket",
"Action": "s3:ListBucket",
"Condition": {
"StringLike": {
"s3:prefix": [
"AWSLogs/OU_ID/ACCOUNT_ID/*"
]
}
},
}
با نگه داشتن دنباله سازمان ، سیاهههای مربوط به یک سطل S3 متمرکز و کنترل دسترسی از طریق نقش های IAM ، می توانید هزینه های داشتن مسیرهای تکراری را از بین ببرید.
رویدادهای داده
کمی پیچیده تر از رویدادهای مدیریتی ، شما همچنین هزینه های داده های تحویل شده به S3 را پرداخت می کنید. از آنجا که هیچ نسخه رایگان وجود ندارد (آنها همیشه از نسخه اول هزینه های خود را متحمل می شوند) و رویدادهای داده می توانند سیاهههای حسابرسی بیشتری ایجاد کنند ، کاهش هزینه ها دشوارتر است. آنها یک متریک به نام تولید می کنند dataEventSrecored، و اینگونه است که AWS شما را شارژ می کند.
با این وجود ، رویدادهای داده برای اهداف حسابرسی و انطباق مهم هستند. البته ، شما همیشه می توانید در صورت لزوم مطابق با سیاست های تعریف شده توسط سازمان ، با تیم حسابرسی یا تیم مسئول آن سیاههها مذاکره کنید.
توصیه AWS این است که “با انتخاب رویدادهای AWS KMS” AWS KMS یا Amazon RDS Data API رویدادها را فیلتر کنید یا رویدادهای API داده Amazon RDS را در صفحات ایجاد دنباله یا به روزرسانی حذف کنید “. این می تواند به شما در کاهش تعداد سیاهههای مربوط به رویدادهای داده کمک کند.
نظارت بر هزینه های CloudTrail
با استفاده از کاوشگر هزینه کنسول ، می توانید یک مرور کلی از دارای مجاهد وت dataEventSrecored معیارها و چگونگی افزایش و کاهش هزینه های آنها با گذشت زمان.
می توانید معیارها را در زیر فیلتر “نوع استفاده” انتخاب کنید:
پایان
در نتیجه ، مدیریت هزینه های AWS CloudTrail به طور مؤثر نیاز به درک ساختار قیمت گذاری و شناسایی مناطقی دارد که می توان هزینه ها را کاهش داد.
با جلوگیری از مسیرهای تکراری و استفاده از نقشهای IAM برای کنترل دسترسی به یک سطل S3 متمرکز ، می توانید هزینه های غیر ضروری را از چندین نسخه از رویدادهای مدیریتی حذف کنید.
برای وقایع داده ، برای کاهش هزینه ها ، از ثبت سیاهههای مربوطه کمتری استفاده کنید.
به طور منظم نظارت بر این هزینه ها با استفاده از ابزارهایی مانند Cost Explorer می تواند به شما در پیگیری و مدیریت هزینه های CloudTrail خود در کارآمدتر کمک کند و از انطباق بدون هزینه بیش از حد اطمینان حاصل کنید.
من دوست دارم افکار شما را بشنوم! در نظرات به من اطلاع دهید که تجربه شما با هزینه های CloudTrail Trails چگونه بود.
