Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einen Trail mit der CloudTrail Konsole aktualisieren
In diesem Abschnitt wird beschrieben, wie Sie die Trail-Einstellungen ändern.
Um einen Trail mit einer Region zu aktualisieren, sodass alle Ereignisse protokolliert werden AWS-Regionen in der AWS Sie müssen die Partition verwenden, in der Sie arbeiten oder einen regionsübergreifenden Trail aktualisieren, um Ereignisse nur in einer einzigen Region zu protokollieren AWS CLI. Weitere Informationen darüber, wie Sie einen Trail für eine einzelne Region aktualisieren können, um Ereignisse in allen Regionen zu protokollieren, finden Sie unterUmwandeln eines Trails, der für eine Region gilt, zu einem Trail für alle Regionen. Weitere Informationen zum Aktualisieren eines multiregionalen Trails, um Ereignisse in einer einzigen Region zu protokollieren, finden Sie unter Umwandeln eines multiregionalen Trails in einen Trail für eine einzelne Region.
Wenn Sie CloudTrail Verwaltungsereignisse in Amazon Security Lake aktiviert haben, müssen Sie mindestens einen organisatorischen Pfad verwalten, der mehrere Regionen umfasst read
und sowohl Verwaltungsereignisse als auch write
Verwaltungsereignisse protokolliert. Sie können einen relevanten Trail nicht so aktualisieren, dass er gegen die Security-Lake-Anforderungen verstößt, beispielsweise, indem Sie den Trail zu einem Trail für einzelne Regionen ändern oder indem Sie die Protokollierung von read
- oder write
-Verwaltungsereignissen deaktivieren.
Anmerkung
CloudTrail aktualisiert die Organisationspfade in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt. Zu den Beispielen für fehlgeschlagene Überprüfungen gehören:
-
eine falsche Amazon S3 S3-Bucket-Richtlinie
-
eine falsche SNS Amazon-Themenrichtlinie
-
Unfähigkeit, an eine CloudWatch Logs-Protokollgruppe zu liefern
-
unzureichende Rechte zum Verschlüsseln mit einem Schlüssel KMS
Ein Mitgliedskonto mit CloudTrail Berechtigungen kann alle Validierungsfehler für einen Organisationspfad überprüfen, indem es die Detailseite des Trails in der CloudTrail Konsole aufruft oder indem es den AWS CLI get-trail-statusBefehl.
Um einen Trail mit dem zu aktualisieren AWS Management Console
Melde dich an bei AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Wählen Sie im Navigationsbereich die Option Trails und dann den Namen des Pfades aus.
-
Wählen Sie unter Allgemeine Details Bearbeiten aus, um die folgenden Einstellungen zu ändern. Sie können den Namen eines Trails nicht ändern.
-
Trail auf meine Organisation anwenden — Ändern Sie, ob es sich bei diesem Trail um einen AWS Organizations Organisationspfad.
Anmerkung
Nur das Verwaltungskonto der Organisation kann einen Organisations-Trail in einen Nicht-Organisations-Trail und einen Nicht-Organisations-Trail in einen Organisations-Trail umwandeln.
-
Ort des Trail-Protokolls – Ändern Sie den Namen des S3 Buckets oder das Präfix, in dem Sie Protokolle für diesen Trail speichern.
-
Protokolldatei SSE — KMS Verschlüsselung — Wählen Sie, ob Sie die Verschlüsselung von Protokolldateien mit SSE - KMS statt mit SSE -S3 aktivieren oder deaktivieren möchten.
-
Protokolldateivalidierung – Aktivieren oder deaktivieren Sie die Validierung der Integrität von Protokolldateien.
-
SNSVersand von Benachrichtigungen — Wählen Sie, ob Sie Benachrichtigungen von Amazon Simple Notification Service (AmazonSNS) aktivieren oder deaktivieren möchten, dass Protokolldateien an den für den Trail angegebenen Bucket gesendet wurden.
-
Um den Pfad in einen zu ändern AWS Organizations Organisationspfad: Sie können wählen, ob Sie den Trail für alle Konten in Ihrer Organisation aktivieren möchten. Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation.
-
Um den angegebenen Bucket im Speicherort zu ändern, wählen Sie Neuen S3 Bucket erstellen, um einen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet. Wenn Sie sich dafür entscheiden, einen neuen S3-Bucket zu erstellen, muss Ihre IAM Richtlinie die Genehmigung für die
s3:PutEncryptionConfiguration
Aktion enthalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist.Anmerkung
Wenn Sie Vorhandenen S3 Bucket verwenden ausgewählt haben, geben Sie einen Bucket im Namen des Trail-Protokoll-Buckets an oder wählen Sie Durchsuchen, um einen Bucket auszuwählen. Die Bucket-Richtlinie muss die CloudTrail Schreibberechtigung für den Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt Amazon S3 S3-Bucket-Richtlinie für CloudTrail.
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als Präfix bezeichnet), um Ihre CloudTrail Logs zu speichern. Geben Sie das Präfix in Präfix ein.
-
Wählen Sie für SSEKMSProtokolldateiverschlüsselung die Option Aktiviert aus, wenn Sie Ihre Protokolldateien mit SSE - KMS Verschlüsselung statt mit SSE -S3-Verschlüsselung verschlüsseln möchten. Der Standard ist aktiviert. Wenn Sie die SSE KMS --Verschlüsselung nicht aktivieren, werden Ihre Logs mit der SSE -S3-Verschlüsselung verschlüsselt. Weitere Informationen SSE zur KMS Verschlüsselung finden Sie unter Serverseitige Verschlüsselung verwenden mit AWS Key Management Service (SSE-KMS). Weitere Informationen zur SSE -S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (-S3) verwenden. SSE
Wenn Sie die KMS Verschlüsselung aktivieren, wählen Sie „SSENeu“ oder „Bestehend“ AWS KMS key. In AWS KMS Alias, geben Sie einen Alias im Format an
alias/
MyAliasName
. Weitere Informationen finden Sie unterEine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden. CloudTrail unterstützt auch AWS KMS Schlüssel für mehrere Regionen. Weitere Informationen zu Schlüsseln für mehrere Regionen finden Sie unter Verwenden von Schlüsseln für mehrere Regionen in der AWS Key Management Service Entwicklerhandbuch.Anmerkung
Sie können auch einen Schlüssel ARN aus einem anderen Konto eingeben. Weitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden. Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien ermöglichen und den von Ihnen angegebenen Benutzern das Lesen von Protokolldateien in unverschlüsselter Form ermöglichen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
-
Wähen Sie für Protokolldateivalidierung Aktiviert, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach CloudTrail der Übermittlung nicht geändert haben. Weitere Informationen finden Sie unter Überprüfen der Integrität der CloudTrail Protokolldatei.
-
Wählen Sie für die Zustellung von SNS Benachrichtigungen die Option Aktiviert aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket gesendet wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNSBenachrichtigungen werden für jede Protokolldatei gesendet, nicht für jedes Ereignis. Weitere Informationen finden Sie unter Konfiguration von SNS Amazon-Benachrichtigungen für CloudTrail.
Wenn Sie SNS Benachrichtigungen aktivieren, wählen Sie unter Neues SNS Thema erstellen die Option Neu aus, um ein Thema zu erstellen, oder wählen Sie Bestehend, um ein vorhandenes Thema zu verwenden. Wenn Sie einen Trail erstellen, der für alle Regionen gilt, werden SNS Benachrichtigungen für Protokolldateizustellungen aus allen Regionen an das einzelne SNS Thema gesendet, das Sie erstellen.
Wenn Sie „Neu“ wählen CloudTrail , geben Sie einen Namen für das neue Thema an, oder Sie können einen Namen eingeben. Wenn Sie „Bestehend“ wählen, wählen Sie ein SNS Thema aus der Dropdownliste aus. Sie können auch ein Thema ARN aus einer anderen Region oder von einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter SNSAmazon-Themenrichtlinie für CloudTrail.
Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können über die SNS Amazon-Konsole abonnieren. Aufgrund der Häufigkeit von Benachrichtigungen empfehlen wir Ihnen, das Abonnement so zu konfigurieren, dass eine SQS Amazon-Warteschlange verwendet wird, um Benachrichtigungen programmgesteuert zu verarbeiten. Weitere Informationen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide.
-
-
Wählen Sie unter CloudWatch Logs die Option Bearbeiten, um die Einstellungen für das Senden von CloudTrail Logdateien an CloudWatch Logs zu ändern. Wählen Sie unter CloudWatch Logs die Option Aktiviert aus, um das Senden von Protokolldateien zu aktivieren. Weitere Informationen finden Sie unter Ereignisse an CloudWatch Logs senden.
-
Wenn Sie die Integration mit CloudWatch Logs aktivieren, wählen Sie Neu, um eine neue Protokollgruppe zu erstellen, oder Existierend, um eine bestehende zu verwenden. Wenn Sie „Neu“ wählen CloudTrail , geben Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben.
-
Wenn Sie Vorhanden wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.
-
Wählen Sie Neu, um eine neue IAM Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie Existiert, um eine bestehende IAM Rolle aus der Drop-down-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das Richtliniendokument erweitern. Weitere Informationen über diese Rolle finden Sie unter Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung.
Anmerkung
-
Wenn Sie einen Trail konfigurieren, können Sie einen S3-Bucket und ein SNS Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.
-
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Logs-Protokollgruppe für einen Organisations-Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der AWS CLI oder CloudTrail
CreateTrail
oderUpdateTrail
API Operationen.
-
-
-
Wählen Sie unter Tags Bearbeiten aus, um Tags auf dem Trail zu ändern, hinzuzufügen oder zu löschen. Sie können bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie sowohl Ihre CloudTrail Trails als auch die Amazon S3 S3-Buckets identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail Ressourcen verwenden. Weitere Informationen finden Sie unter AWS Resource Groups und Tags.
-
Wählen Sie unter Verwaltungsereignisse die Option Bearbeiten aus, um die Protokollierungseinstellungen für Verwaltungsereignisse zu ändern.
-
Wählen Sie für APIAktivitäten aus, ob Ihr Trail Leseereignisse, Schreibereignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter Verwaltungsereignisse.
-
Wähle Ausschließen AWS KMS Ereignisse, die gefiltert werden sollen AWS Key Management Service (AWS KMS) Ereignisse außerhalb deiner Spur. Die Standardeinstellung ist, alle einzubeziehen AWS KMS Ereignisse.
Die Option zum Protokollieren oder Ausschließen AWS KMS Ereignisse sind nur verfügbar, wenn Sie Verwaltungsereignisse protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, AWS KMS Ereignisse werden nicht protokolliert, und Sie können sie nicht ändern AWS KMS Einstellungen für die Ereignisprotokollierung.
AWS KMS Aktionen wie
Encrypt
Decrypt
, und erzeugenGenerateDataKey
in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als Leseereignisse protokolliert. Geringe Lautstärke, relevant AWS KMS Aktionen wieDisable
Delete
, undScheduleKey
(auf die in der Regel weniger als 0,5% von AWS KMS Event Volume) werden als Write-Ereignisse protokolliert.Um Ereignisse mit hohem Volumen wie
Encrypt
, und auszuschließenDecrypt
GenerateDataKey
, aber trotzdem relevante Ereignisse wie,Delete
und zu protokollierenDisable
ScheduleKey
, wählen Sie die Option Schreibverwaltungsereignisse zu protokollieren und deaktivieren Sie das Kontrollkästchen für Ausschließen AWS KMS Ereignisse. -
Wählen Sie RDSAPIAmazon-Datenereignisse ausschließen, um API Datenereignisse von Amazon Relational Database Service aus Ihrem Trail herauszufiltern. Die Standardeinstellung umfasst alle Amazon RDS API Data-Ereignisse. Weitere Informationen zu Amazon RDS API Data-Ereignissen finden Sie unter Protokollieren von API Datenaufrufen mit AWS CloudTrailim RDSAmazon-Benutzerhandbuch für Aurora.
-
-
Wichtig
Die Schritte 7 bis 11 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlen. Mithilfe erweiterter Ereignisauswahlen können Sie mehr Datenereignistypen konfigurieren und genau steuern, welche Datenereignisse in Ihrem Trail erfasst werden. Wenn Sie bereits erweiterte Ereignisauswahlen verwenden, lesen Sie Aktualisieren von Datenereigniseinstellungen mit grundlegenden Ereignisauswahlen und machen Sie dann bei Schritt 12 dieses Verfahrens weiter.
Wählen Sie unter Datenereignisse Bearbeiten aus, um die Einstellungen für die Datenereignisprotokollierung zu ändern. Standardmäßig werden Datenereignisse nicht von den Trails protokolliert. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrailDie Preise finden Sie unter AWS CloudTrail Preisgestaltung
. Wählen Sie für Datenereignistyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu den verfügbaren Datenereignistypen finden Sie unter Datenereignisse.
Anmerkung
Um Datenereignisse zu protokollieren für AWS Glue von Lake Formation erstellte Tabellen, wählen Sie Lake Formation.
-
Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.
Anmerkung
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto und alle Buckets, die Sie erstellen, nachdem Sie die Erstellung des Trails abgeschlossen haben. Es ermöglicht auch die Protokollierung der Aktivitäten von Datenereignissen, die von einem beliebigen Benutzer oder einer beliebigen Rolle in Ihrem AWS Konto, auch wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen gehört AWS Konto.
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto.
Wenn Sie einen Trail für alle Regionen erstellen, ermöglicht die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Protokollierung von Datenereignissen für alle Funktionen, die sich derzeit in Ihrem AWS Konto und alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mit dem AWS CLI), aktiviert diese Auswahl die Protokollierung von Datenereignissen für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto und alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Die Protokollierung von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer beliebigen Rolle in Ihrem AWS Konto, auch wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einer anderen gehört AWS Konto.
-
(Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie
Name
in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern. -
Erstellen Sie in den erweiterten Ereignisselektoren einen Ausdruck für die spezifischen Ressourcen, für die Sie Datenereignisse protokollieren möchten. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
-
Wählen Sie aus den folgenden Feldern.
-
readOnly
-readOnly
kann so eingestellt werden, dass er einem Wert von oder entspricht.true
false
Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B.Get*
- oderDescribe*
-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B.Put*
-,Delete*
- oderWrite*
-Ereignisse. Um sowohlread
- als auchwrite
-Ereignisse zu protokollieren, fügen Sie keinenreadOnly
-Selektor hinzu. -
eventName
–eventName
kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B.PutBucket
GetItem
, oderGetSnapshotBlock
. -
resources.ARN
- Sie können jeden beliebigen Operator mit verwendenresources.ARN
, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben.resources.type
Die folgende Tabelle zeigt das jeweils
resources.type
gültige ARN Format.Anmerkung
Sie können das
resources.ARN
Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall istARNs.resources.type Ressourcen. ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
Das ARN muss in einem der folgenden Formate vorliegen:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
Das ARN muss in einem der folgenden Formate vorliegen:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Bei Tabellen mit aktivierten Streams enthält das
resources
-Feld im Datenereignis sowohlAWS::DynamoDB::Stream
als auchAWS::DynamoDB::Table
. Wenn SieAWS::DynamoDB::Table
alsresources.type
angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie demeventName
Feld einen Filter hinzu.2 Um alle Datenereignisse für alle Objekte in einem bestimmten S3-Bucket zu protokollieren, verwenden Sie den
StartsWith
Operator und geben Sie nur den Bucket ARN als passenden Wert an. Der abschließende Schrägstrich ist beabsichtigt; schließen Sie ihn nicht aus.3 Um Ereignisse für alle Objekte in einem S3-Zugriffspunkt zu protokollieren, empfehlen wir, nur den Access Point zu verwendenARN, den Objektpfad nicht einzubeziehen und die
NotStartsWith
OperatorenStartsWith
oder zu verwenden. -
Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel im AWS Identity and Access Management Benutzerleitfaden.
-
-
Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator nicht mit beginnt, und fügen Sie ihn dann entweder in einen S3-Bucket ARN ein oder suchen Sie nach den S3-Buckets, für die Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet
Anmerkung
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie
eventName
ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen. -
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht ARN in einem Selektor an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.
-
-
Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 3 bis zu diesem Schritt, um erweiterte Ereignisselektoren für den Datenereignistyp zu konfigurieren.
-
Wählen Sie unter Insights-Ereignisse die Option Bearbeiten aus, wenn Ihr Trail CloudTrail Insights-Ereignisse protokollieren soll.
Wählen Sie unter Ereignistyp Insights-Ereignisse aus.
Wählen Sie unter Insights-Ereignisse die APIAnrufrate, die APIFehlerrate oder beides aus. Sie müssen Write-Management-Ereignisse protokollieren, um Insights-Ereignisse für die APIAnrufrate protokollieren zu können. Sie müssen Verwaltungsereignisse vom Typ Lesen oder Schreiben protokollieren, um Insights-Ereignisse im Hinblick auf die APIFehlerquote protokollieren zu können.
CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien festgestellt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter Protokollieren von Insights-Ereignissen. Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. Die CloudTrail Preise finden Sie unter AWS CloudTrail Preisgestaltung
. Insights-Ereignisse werden in einen anderen Ordner übertragen,
/CloudTrail-Insight
der nach demselben S3-Bucket benannt ist, der auf der Seite mit den Trail-Details im Bereich Speicherort angegeben ist. CloudTrailerstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namenamzn-s3-demo-bucket/AWSLogs/CloudTrail/
hat, lautet der Name mit dem Präfix als Zusatzamzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/
. -
Wenn Sie mit dem Ändern der Einstellungen für Ihren Trail fertig sind, wählen Sie Trail aktualisieren.
Aktualisieren von Datenereigniseinstellungen mit grundlegenden Ereignisauswahlen
Sie können erweiterte Event-Selektoren verwenden, um alle Datenereignistypen zu konfigurieren. Mit erweiterten Ereignisselektoren können Sie detaillierte Selektoren erstellen, um nur die Ereignisse zu protokollieren, die für Sie von Interesse sind.
Wenn Sie grundlegende Event-Selektoren verwenden, um Datenereignisse zu protokollieren, sind Sie darauf beschränkt, Datenereignisse für Amazon S3 S3-Buckets zu protokollieren. AWS Lambda Funktionen und Amazon DynamoDB-Tabellen. Sie können das eventName
Feld nicht mit einfachen Event-Selektoren filtern.
Führen Sie die folgenden Schritte aus, um Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen zu konfigurieren.
-
Wählen Sie unter Datenereignisse Bearbeiten aus, um die Einstellungen für die Datenereignisprotokollierung zu ändern. Mit grundlegenden Event-Selektoren können Sie die Protokollierung von Datenereignissen für Amazon S3 S3-Buckets angeben. AWS Lambda FunktionenynamoDBtables, D oder eine Kombination dieser Ressourcen. Zusätzliche Datenereignistypen werden mit erweiterten Ereignisselektoren unterstützt. Standardmäßig werden Datenereignisse nicht von den Trails protokolliert. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Datenereignisse. CloudTrailPreisinformationen finden Sie unter AWS CloudTrail Preisgestaltung
. Für Amazon-S3-Buckets:
-
Wählen Sie für Daten-Ereignissquelle S3 aus.
-
Sie können wählen, ob Sie alle aktuellen und zukünftigen S3 Buckets protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.
Anmerkung
Wenn Sie die Standardoption Alle aktuellen und future S3-Buckets beibehalten, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto und alle Buckets, die Sie erstellen, nachdem Sie die Erstellung des Trails abgeschlossen haben. Es ermöglicht auch die Protokollierung der Aktivitäten von Datenereignissen, die von einem beliebigen Benutzer oder einer beliebigen Rolle in Ihrem AWS Konto, auch wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen gehört AWS Konto.
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl von Alle aktuellen und zukünftigen S3 Buckets die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto.
-
Wenn Sie die Standardeinstellung Alle aktuellen und zukünftigen S3 Buckets beibehalten, können Sie Leseereignisse, Schreibereignisse oder beides protokollieren.
-
Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen Lesen und Schreiben für Alle aktuellen und zukünftigen S3 Buckets. Suchen Sie unter Individuelle Bucket-Auswahl nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Um bestimmte Buckets zu suchen, geben Sie ein Bucket-Präfix für den gewünschten Bucket ein. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie Bucket hinzufügen, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie Read (Lesen)-Ereignisse wie
GetObject
, Write (Schreiben)-Ereignisse wiePutObject
oder Ereignisse beider Typen protokolliert werden sollen.Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von Lese-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits Lesen ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für Write (Schreiben) konfigurieren.
Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie X aus.
-
-
Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.
-
Für Lambda-Funktionen:
-
Wählen Sie für Daten-Ereignissquelle Lambda aus.
-
Wählen Sie unter Lambda-Funktion die Option Alle Regionen aus, um alle Lambda-Funktionen zu protokollieren, oder Eingabefunktion, ARN um Datenereignisse für eine bestimmte Funktion zu protokollieren.
Um Datenereignisse für alle Lambda-Funktionen in Ihrem zu protokollieren AWS Konto, wählen Sie Alle aktuellen und future Funktionen protokollieren. Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.
Anmerkung
Wenn Sie einen Trail für alle Regionen erstellen, aktiviert diese Auswahl die Protokollierung von Datenereignissen für alle Funktionen, die derzeit in Ihrem AWS Konto und alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mit dem AWS CLI), aktiviert diese Auswahl die Protokollierung von Datenereignissen für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto und alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Die Protokollierung von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer beliebigen Rolle in Ihrem AWS Konto, auch wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einer anderen gehört AWS Konto.
-
Wenn Sie Eingabefunktion als wählenARN, geben Sie die ARN einer Lambda-Funktion ein.
Anmerkung
Wenn Sie mehr als 15.000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, sofern Sie sie kennen. ARN Sie können die Erstellung des Trails auch in der Konsole abschließen und dann den AWS CLI und der put-event-selectors Befehl zum Konfigurieren der Datenereignisprotokollierung für bestimmte Lambda-Funktionen. Weitere Informationen finden Sie unter Verwaltung von Wanderwegen mit dem AWS CLI.
-
-
Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.
-
Für DynamoDB-Tabellen:
-
Wählen Sie für Daten-Ereignissquelle DynamoDB aus.
-
Wählen Sie DynamoDB DynamoDB-Tabellenauswahl die Option Durchsuchen, um eine Tabelle auszuwählen, oder fügen Sie sie in eine DynamoDB-Tabelle ein, auf die Sie Zugriff haben. ARN Eine DynamoDB-Tabelle ARN hat das folgende Format:
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Um eine weitere Tabelle hinzuzufügen, wählen Sie Zeile hinzufügen und suchen Sie nach einer Tabelle, oder fügen Sie sie in eine Tabelle ein, auf die Sie Zugriff haben. ARN
-
-
Um Insights-Ereignisse und andere Einstellungen für Ihren Trail zu konfigurieren, kehren Sie zum vorherigen Verfahren in diesem Thema zurück, Einen Trail mit der CloudTrail Konsole aktualisieren.