CloudTrail konsep - AWS CloudTrail
CloudTrail acaraRiwayat acaraJalan setapakJejak organisasiCloudTrail Penyimpanan data danau dan acaraCloudTrail WawasanTandaAWS Security Token Service dan CloudTrailAcara layanan global

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudTrail konsep

Bagian ini merangkum konsep-konsep dasar yang terkait CloudTrail dengan.

CloudTrail acara

Peristiwa di CloudTrail adalah catatan aktivitas dalam AWS akun. Kegiatan ini dapat berupa tindakan yang diambil oleh IAM identitas, atau layanan yang dapat dipantau oleh. CloudTrail CloudTrailperistiwa memberikan riwayat aktivitas baik API dan API non-akun yang dilakukan melalui AWS Management Console, AWS SDKs, alat baris perintah, dan AWS layanan lainnya.

CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari API panggilan publik, sehingga peristiwa tidak muncul dalam urutan tertentu.

CloudTrail mencatat tiga jenis acara:

Semua jenis acara menggunakan format CloudTrail JSON log.

Secara default, jejak dan data peristiwa menyimpan peristiwa manajemen log, tetapi bukan data atau peristiwa Wawasan.

Untuk informasi tentang cara AWS layanan mengintegrasikan dengan CloudTrail, lihatAWS topik layanan untuk CloudTrail.

Acara manajemen

Acara manajemen memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Ini juga dikenal sebagai operasi pesawat kontrol.

Contoh acara manajemen meliputi:

  • Mengkonfigurasi keamanan (misalnya, AWS Identity and Access Management AttachRolePolicy API operasi).

  • Mendaftarkan perangkat (misalnya, EC2 CreateDefaultVpc API operasi Amazon).

  • Mengkonfigurasi aturan untuk merutekan data (misalnya, EC2 CreateSubnet API operasi Amazon).

  • Menyiapkan logging (misalnya, AWS CloudTrail CreateTrail API operasi).

Acara manajemen juga dapat mencakup API non-peristiwa yang terjadi di akun Anda. Misalnya, saat pengguna masuk ke akun Anda, CloudTrail mencatat ConsoleLogin peristiwa tersebut. Untuk informasi selengkapnya, lihat APINon-event yang ditangkap oleh CloudTrail.

Secara default, CloudTrail jejak dan data acara CloudTrail Lake menyimpan peristiwa manajemen log. Untuk informasi selengkapnya tentang peristiwa manajemen logging, lihatAcara manajemen pencatatan.

Peristiwa data

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya. Ini juga dikenal sebagai operasi pesawat data. Peristiwa data seringkali merupakan aktivitas volume tinggi.

Contoh peristiwa data meliputi:

Tabel berikut menunjukkan jenis peristiwa data yang tersedia untuk jejak dan penyimpanan data peristiwa. Kolom tipe peristiwa data (konsol) menunjukkan pilihan yang sesuai di konsol. Kolom nilai resources.type menunjukkan resources.type nilai yang akan Anda tentukan untuk menyertakan peristiwa data dari jenis tersebut di penyimpanan data jejak atau peristiwa Anda menggunakan or. AWS CLI CloudTrail APIs

Untuk jejak, Anda dapat menggunakan pemilih peristiwa dasar atau lanjutan untuk mencatat peristiwa data untuk objek Amazon S3 di bucket tujuan umum, fungsi Lambda, dan tabel DynamoDB (ditampilkan dalam tiga baris pertama tabel). Anda hanya dapat menggunakan pemilih acara lanjutan untuk mencatat jenis peristiwa data yang ditampilkan di baris yang tersisa.

Untuk penyimpanan data acara, Anda hanya dapat menggunakan pemilih acara lanjutan untuk menyertakan peristiwa data.

AWS layanan Deskripsi Jenis peristiwa data (konsol) nilai resources.type
Amazon DynamoDB

Aktivitas APItingkat item Amazon DynamoDB pada tabel (misalnyaPutItem,,, dan operasi). DeleteItem UpdateItem API

catatan

Untuk tabel dengan aliran diaktifkan, resources bidang dalam peristiwa data berisi keduanya AWS::DynamoDB::Stream danAWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table untukresources.type, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di eventName bidang.

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda aktivitas eksekusi fungsi (the InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

APIAktivitas tingkat objek Amazon S3 (misalnya,, GetObjectDeleteObject, dan PutObject API operasi) pada objek dalam bucket tujuan umum.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig APIaktivitas untuk operasi konfigurasi seperti panggilan ke StartConfigurationSession danGetLatestConfiguration.

 AWS AppConfig AWS::AppConfig::Configuration
AWS Pertukaran Data B2B

APIAktivitas Pertukaran Data B2B untuk operasi Transformer seperti panggilan ke dan. GetTransformerJob StartTransformerJob

 Pertukaran Data B2B AWS::B2BI::Transformer
Amazon Bedrock APIAktivitas Amazon Bedrock pada alias agen. Alias agen batuan dasar AWS::Bedrock::AgentAlias
Amazon Bedrock APIAktivitas Amazon Bedrock pada alias aliran. Alias aliran batuan dasar AWS::Bedrock::FlowAlias
Amazon Bedrock APIAktivitas Amazon Bedrock di pagar pembatas. Pagar pembatas batuan dasar AWS::Bedrock::Guardrail
Amazon Bedrock APIAktivitas Amazon Bedrock pada basis pengetahuan. Basis pengetahuan batuan dasar AWS::Bedrock::KnowledgeBase
Amazon CloudFront

CloudFront APIaktivitas di a KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map APIaktivitas pada namespace. AWS Cloud Map namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map APIaktivitas pada suatu layanan. AWS Cloud Map layanan AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsaktivitas di saluran CloudTrail Danau yang digunakan untuk mencatat peristiwa dari luar AWS.

 CloudTrail saluran AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch APIAktivitas Amazon pada metrik.

 CloudWatch metrik AWS::CloudWatch::Metric
Amazon CloudWatch RUM

CloudWatch RUMAPIAktivitas Amazon di monitor aplikasi.

 RUMMonitor aplikasi AWS::RUM::AppMonitor
Amazon CodeWhisperer CodeWhisperer APIAktivitas Amazon pada kustomisasi. CodeWhisperer kustomisasi AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer APIAktivitas Amazon di profil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

APIAktivitas Amazon Cognito di kumpulan identitas Amazon Cognito.

 Kolam Identitas Cognito AWS::Cognito::IdentityPool
Amazon DynamoDB

Aktivitas Amazon API DynamoDB di stream.

 DynamoDB Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) langsungAPIs, sepertiPutSnapshotBlock,GetSnapshotBlock, dan ListChangedBlocks di EBS snapshot Amazon.

 Amazon EBS langsung APIs AWS::EC2::Snapshot
Amazon EMR EMRAPIAktivitas Amazon di ruang kerja log tulis di depan. EMRruang kerja log tulis di depan AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPIaktivitas di lingkungan.

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue APIaktivitas di atas meja yang dibuat oleh Lake Formation.

 Formasi Danau AWS::Glue::Table
Amazon GuardDuty

GuardDuty APIAktivitas Amazon untuk detektor.

 GuardDuty detektor AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging APIaktivitas pada penyimpanan data.

 MedicalImaging penyimpanan data AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT APIaktivitas pada sertifikat.

 Sertifikat IoT AWS::IoT::Certificate
AWS IoT

AWS IoT APIAktivitas pada berbagai hal.

 Hal IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Aktivitas APIGreengrass dari perangkat inti Greengrass pada versi komponen.

catatan

Greengrass tidak mencatat peristiwa yang ditolak akses.

 Versi komponen Greengrass IoT AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Aktivitas APIGreengrass dari perangkat inti Greengrass pada penerapan.

catatan

Greengrass tidak mencatat peristiwa yang ditolak akses.

 Penyebaran Greengrass IoT AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise APIAktivitas IoT pada aset.

 Aset IoT SiteWise AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise APIAktivitas IoT pada deret waktu.

 Rangkaian waktu IoT SiteWise AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

TwinMaker APIAktivitas IoT pada suatu entitas.

 Entitas IoT TwinMaker AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker APIAktivitas IoT di ruang kerja.

 Ruang kerja IoT TwinMaker AWS::IoTTwinMaker::Workspace
Peringkat Cerdas Amazon Kendra

APIAktivitas Amazon Kendra Intelligent Ranking pada rencana eksekusi skor ulang.

 Peringkat Kendra AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (untuk Apache Cassandra) APIAktivitas Amazon Keyspaces di atas meja. Meja Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Aktivitas Kinesis API Data Streams pada stream. Aliran kinesis AWS::Kinesis::Stream
Amazon Kinesis Data Streams Aktivitas Kinesis API Data Streams pada konsumen streaming. Konsumen aliran kinesis AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Aktivitas Kinesis API Video Streams pada aliran video, seperti panggilan ke dan. GetMedia PutMedia Aliran video Kinesis AWS::KinesisVideo::Stream
Amazon Machine Learning APIAktivitas Machine Learning pada model ML. Pembelajaran Maching MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

APIAktivitas Amazon Managed Blockchain di jaringan.

 Jaringan Blockchain yang dikelola AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Managed Blockchain JSON - RPC panggilan pada node Ethereum, seperti eth_getBalance ataueth_getBlockByNumber.

 Blockchain yang Dikelola AWS::ManagedBlockchain::Node
Grafik Amazon Neptunus

APIAktivitas data, misalnya kueri, algoritme, atau pencarian vektor, pada Grafik Neptunus.

 Grafik Neptunus AWS::NeptuneGraph::Graph
Amazon Satu Perusahaan

APIAktivitas Amazon One Enterprise di fileUKey.

 Amazon Satu UKey AWS::One::UKey
Amazon Satu Perusahaan

APIAktivitas Amazon One Enterprise pada pengguna.

 Amazon Satu Pengguna AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography APIaktivitas pada alias. Alias Kriptografi Pembayaran AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography APIaktivitas pada kunci. Kunci Kriptografi Pembayaran AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Konektor untuk API aktivitas Active Directory.

 AWS Private CA Konektor untuk Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Konektor untuk SCEP API aktivitas.

 AWS Private CA Konektor untuk SCEP AWS::PCAConnectorSCEP::Connector
Aplikasi Amazon Q

APIAktivitas data di Amazon Q Apps.

 Aplikasi Amazon Q AWS::QApps:QApp
Amazon Q Bisnis

APIAktivitas Amazon Q Business pada aplikasi.

 Aplikasi Amazon Q Business AWS::QBusiness::Application
Amazon Q Bisnis

APIAktivitas Amazon Q Business pada sumber data.

 Sumber data Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Bisnis

APIAktivitas Amazon Q Bisnis pada indeks.

 Amazon Q Indeks Bisnis AWS::QBusiness::Index
Amazon Q Bisnis

APIAktivitas Amazon Q Bisnis pada pengalaman web.

 Pengalaman web Amazon Q Bisnis AWS::QBusiness::WebExperience
Amazon RDS

RDSAPIAktivitas Amazon di Cluster DB.

 RDSData API - DB Cluster AWS::RDS::DBCluster
Amazon S3

APIAktivitas Amazon S3 pada titik akses.

 Titik Akses S3 AWS::S3::AccessPoint
Amazon S3

APIAktivitas tingkat objek Amazon S3 (misalnya,, GetObjectDeleteObject, dan PutObject API operasi) pada objek dalam bucket direktori.

 S3 Ekspres AWS::S3Express::Object
Amazon S3

APIAktivitas titik akses Lambda Objek Amazon S3, seperti panggilan ke dan. CompleteMultipartUpload GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 di Outposts

Amazon S3 pada aktivitas tingkat objek Outposts. API

 Outposts S3 AWS::S3Outposts::Object
Amazon SageMaker SageMaker InvokeEndpointWithResponseStreamAktivitas Amazon di titik akhir. SageMaker titik akhir AWS::SageMaker::Endpoint
Amazon SageMaker

SageMaker APIAktivitas Amazon di toko fitur.

 SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

SageMaker APIAktivitas Amazon pada komponen percobaan percobaan.

 SageMaker komponen percobaan percobaan metrik AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

SNSPublishAPIOperasi Amazon pada titik akhir platform.

 SNStitik akhir platform AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publishdan PublishBatchAPIoperasi pada topik.

 SNStopik AWS::SNS::Topic
Amazon SQS

SQSAPIAktivitas Amazon pada pesan.

 SQS AWS::SQS::Queue
AWS Step Functions

APIAktivitas Step Functions pada mesin state.

 Mesin status Step Functions AWS::StepFunctions::StateMachine
Rantai Pasokan AWS

Rantai Pasokan AWS APIaktivitas pada sebuah instance.

 Rantai Pasokan AWS::SCN::Instance
Amazon SWF

SWFAPIAktivitas Amazon di domain.

 SWFdomain AWS::SWF::Domain
AWS Systems Manager APIAktivitas Systems Manager pada saluran kontrol. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager APIAktivitas Systems Manager pada node terkelola. Node terkelola Systems Manager AWS::SSM::ManagedNode
Amazon Timestream QueryAPIAktivitas Amazon Timestream pada database. Database Timestream AWS::Timestream::Database
Amazon Timestream QueryAPIAktivitas Amazon Timestream pada tabel. Tabel Timestream AWS::Timestream::Table
Izin Terverifikasi Amazon

APIAktivitas Izin Terverifikasi Amazon di toko kebijakan.

 Izin Terverifikasi Amazon AWS::VerifiedPermissions::PolicyStore
Klien WorkSpaces Tipis Amazon WorkSpaces APIAktivitas Klien Tipis di Perangkat. Perangkat Klien Tipis AWS::ThinClient::Device
Klien WorkSpaces Tipis Amazon WorkSpaces APIAktivitas Klien Tipis di Lingkungan. Lingkungan Klien Tipis AWS::ThinClient::Environment
AWS X-Ray

APIAktivitas X-Ray pada jejak.

 Jejak X-Ray AWS::XRay::Trace

Peristiwa data tidak dicatat secara default saat Anda membuat penyimpanan data jejak atau peristiwa. Untuk merekam peristiwa CloudTrail data, Anda harus secara eksplisit menambahkan sumber daya atau jenis sumber daya yang didukung yang ingin Anda kumpulkan aktivitasnya. Untuk informasi selengkapnya tentang peristiwa data pencatatan, lihatPencatatan peristiwa data.

Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

Insights acara

CloudTrail Peristiwa wawasan menangkap tingkat API panggilan yang tidak biasa atau aktivitas tingkat kesalahan di AWS akun Anda dengan menganalisis aktivitas CloudTrail manajemen. Peristiwa wawasan memberikan informasi yang relevan, seperti kode kesalahan terkaitAPI, waktu kejadian, dan statistik, yang membantu Anda memahami dan bertindak berdasarkan aktivitas yang tidak biasa. Tidak seperti jenis peristiwa lain yang ditangkap dalam penyimpanan data CloudTrail jejak atau peristiwa, peristiwa Insights dicatat hanya ketika CloudTrail mendeteksi perubahan dalam API penggunaan akun Anda atau pencatatan tingkat kesalahan yang berbeda secara signifikan dari pola penggunaan biasa akun.

Contoh aktivitas yang mungkin menghasilkan peristiwa Insights meliputi:

  • Akun Anda biasanya mencatat tidak lebih dari 20 deleteBucket API panggilan Amazon S3 per menit, tetapi akun Anda mulai mencatat rata-rata 100 deleteBucket API panggilan per menit. Peristiwa Insights dicatat pada awal aktivitas yang tidak biasa, dan peristiwa Insights lainnya dicatat untuk menandai akhir dari aktivitas yang tidak biasa.

  • Akun Anda biasanya mencatat 20 panggilan per menit ke Amazon EC2 AuthorizeSecurityGroupIngressAPI, tetapi akun Anda mulai mencatat nol panggilan keAuthorizeSecurityGroupIngress. Peristiwa Insights dicatat pada awal aktivitas yang tidak biasa, dan sepuluh menit kemudian, ketika aktivitas yang tidak biasa berakhir, peristiwa Insights lain dicatat untuk menandai akhir dari aktivitas yang tidak biasa.

  • Akun Anda biasanya mencatat kurang dari satu AccessDeniedException kesalahan dalam periode tujuh hari pada,. AWS Identity and Access Management API DeleteInstanceProfile Akun Anda mulai mencatat rata-rata 12 AccessDeniedException kesalahan per menit pada DeleteInstanceProfile API panggilan. Peristiwa Insights dicatat pada awal aktivitas tingkat kesalahan yang tidak biasa, dan peristiwa Insights lainnya dicatat untuk menandai akhir aktivitas yang tidak biasa.

Contoh-contoh ini disediakan untuk tujuan ilustrasi saja. Hasil Anda dapat bervariasi tergantung pada kasus penggunaan Anda.

Untuk mencatat peristiwa CloudTrail Insights, Anda harus secara eksplisit mengaktifkan peristiwa Insights di penyimpanan data jejak atau peristiwa baru atau yang sudah ada. Untuk informasi selengkapnya tentang membuat jejak, lihatMembuat jejak dengan CloudTrail konsol. Untuk informasi selengkapnya tentang membuat penyimpanan data acara, lihatMembuat penyimpanan data acara untuk acara Insights dengan konsol.

Biaya tambahan berlaku untuk acara Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

Riwayat acara

CloudTrail riwayat acara menyediakan catatan yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir peristiwa manajemen dalam file. CloudTrail Wilayah AWS Anda dapat menggunakan riwayat ini untuk mendapatkan visibilitas ke tindakan yang diambil di AWS akun Anda di AWS Management Console, AWS SDKs, alat baris perintah, dan AWS layanan lainnya. Anda dapat menyesuaikan tampilan riwayat acara di CloudTrail konsol dengan memilih kolom mana yang ditampilkan. Untuk informasi selengkapnya, lihat Bekerja dengan Riwayat CloudTrail Acara.

Jalan setapak

Trail adalah konfigurasi yang memungkinkan pengiriman CloudTrail peristiwa ke bucket S3, dengan pengiriman opsional ke CloudWatch Log dan Amazon EventBridge. Anda dapat menggunakan jejak untuk memilih CloudTrail peristiwa yang ingin dikirim, mengenkripsi file log CloudTrail peristiwa Anda dengan AWS KMS kunci, dan mengatur SNS pemberitahuan Amazon untuk pengiriman file log. Untuk informasi selengkapnya tentang cara membuat dan mengelola jejak, lihatMembuat jejak untuk Anda Akun AWS.

Jalur Multi-Wilayah dan Wilayah Tunggal

Anda dapat membuat jalur Multi-wilayah dan Single-region untuk Anda. Akun AWS

Jalur Multi-Wilayah

Saat Anda membuat jejak Multi-wilayah, CloudTrail merekam peristiwa Wilayah AWS di semua AWS partisi tempat Anda bekerja dan mengirimkan file log CloudTrail peristiwa ke bucket S3 yang Anda tentukan. Jika Wilayah AWS ditambahkan setelah Anda membuat jejak Multi-wilayah, Wilayah baru tersebut secara otomatis disertakan, dan peristiwa di Wilayah tersebut dicatat. Membuat jejak Multi-wilayah adalah praktik terbaik yang disarankan karena Anda menangkap aktivitas di semua Wilayah di akun Anda. Semua jalur yang Anda buat menggunakan CloudTrail konsol adalah Multi-wilayah. Anda dapat mengonversi jejak wilayah Tunggal menjadi jejak Multi-wilayah dengan menggunakan. AWS CLI Untuk informasi selengkapnya, lihat Membuat jejak di konsol dan Mengonversi jejak yang berlaku untuk satu Wilayah untuk diterapkan ke semua Wilayah.

Jalur Wilayah Tunggal

Saat Anda membuat jejak wilayah Tunggal, hanya CloudTrail mencatat peristiwa di Wilayah tersebut. Kemudian mengirimkan file log CloudTrail peristiwa ke bucket Amazon S3 yang Anda tentukan. Anda hanya dapat membuat jejak wilayah Tunggal dengan menggunakan. AWS CLI Jika Anda membuat jalur tunggal tambahan, Anda dapat meminta jejak tersebut mengirimkan file log CloudTrail peristiwa ke bucket S3 yang sama atau ke bucket terpisah. Ini adalah opsi default saat Anda membuat jejak menggunakan AWS CLI atau CloudTrail API. Untuk informasi selengkapnya, lihat Membuat, memperbarui, dan mengelola jalur dengan AWS CLI.

catatan

Untuk kedua jenis jalur, Anda dapat menentukan bucket Amazon S3 dari Wilayah mana pun.

Jejak multi-wilayah memiliki keuntungan sebagai berikut:

  • Pengaturan konfigurasi untuk jejak berlaku secara konsisten di semua Wilayah AWS.

  • Anda menerima CloudTrail peristiwa dari semua Wilayah AWS dalam satu bucket Amazon S3 dan, secara opsional, dalam grup CloudWatch log Log.

  • Anda mengelola konfigurasi jejak untuk semua Wilayah AWS dari satu lokasi.

Saat Anda menerapkan jejak ke semua AWS Wilayah, CloudTrail gunakan jejak yang Anda buat di Wilayah tertentu untuk membuat jalur dengan konfigurasi identik di semua Wilayah lain di AWS partisi tempat Anda bekerja.

Ini memiliki efek sebagai berikut:

  • CloudTrail mengirimkan file log untuk aktivitas akun dari semua AWS Wilayah ke bucket Amazon S3 tunggal yang Anda tentukan, dan, secara opsional, ke CloudWatch grup log Log.

  • Jika Anda mengonfigurasi SNS topik Amazon untuk jejak, SNS pemberitahuan tentang pengiriman file log di semua AWS Wilayah akan dikirim ke satu SNS topik tersebut.

Terlepas dari apakah jejak itu Multi-wilayah atau Single-region, acara yang dikirim ke Amazon EventBridge diterima di bus acara masing-masing Wilayah, bukan dalam satu bus acara tunggal.

Beberapa jalur per Wilayah

Jika Anda memiliki grup pengguna yang berbeda namun terkait, seperti pengembang, petugas keamanan, dan auditor TI, Anda dapat membuat beberapa jejak per Wilayah. Hal ini memungkinkan setiap grup untuk menerima salinan sendiri dari file log.

CloudTrail mendukung lima jalur per Wilayah. Jejak multi-wilayah dihitung sebagai satu jalur per Wilayah.

Berikut ini adalah contoh Wilayah dengan lima jalur:

  • Anda membuat dua jalur di Wilayah AS Barat (California Utara) yang hanya berlaku untuk Wilayah ini.

  • Anda membuat dua jalur Multi-wilayah lagi di Wilayah AS Barat (California Utara).

  • Anda membuat jalur Multi-wilayah lainnya di Wilayah Asia Pasifik (Sydney). Jejak ini juga ada sebagai jejak di Wilayah AS Barat (California N.).

Anda dapat melihat daftar jejak di halaman Trails konsol. Wilayah AWS CloudTrail Untuk informasi selengkapnya, lihat Memperbarui jejak dengan CloudTrail konsol. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

Jejak organisasi

Jejak organisasi adalah konfigurasi yang memungkinkan pengiriman CloudTrail peristiwa di akun manajemen dan semua akun anggota dalam AWS Organizations organisasi ke bucket Amazon S3, CloudWatch Log, dan Amazon yang sama. EventBridge Membuat jejak organisasi membantu Anda menentukan strategi pencatatan peristiwa yang seragam untuk organisasi Anda.

Semua jejak organisasi yang dibuat menggunakan konsol adalah jejak organisasi multi-wilayah yang mencatat peristiwa dari diaktifkan di setiap akun anggota Wilayah AWS di organisasi. Untuk mencatat peristiwa di semua AWS partisi di organisasi Anda, buat jejak organisasi Multi-region di setiap partisi. Anda dapat membuat jejak organisasi Single-region atau Multi-region dengan menggunakan. AWS CLI Jika Anda membuat jejak wilayah Tunggal, Anda mencatat aktivitas hanya di jalur Wilayah AWS (juga disebut sebagai Wilayah Asal).

Meskipun sebagian besar Wilayah AWS diaktifkan secara default untuk Anda Akun AWS, Anda harus mengaktifkan Wilayah tertentu secara manual (juga disebut sebagai Wilayah keikutsertaan). Untuk informasi tentang Wilayah mana yang diaktifkan secara default, lihat Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah di Panduan Referensi.AWS Account Management Untuk daftar CloudTrail dukungan Wilayah, lihatCloudTrail Daerah yang didukung.

Saat Anda membuat jejak organisasi, salinan jejak dengan nama yang Anda berikan dibuat di akun anggota milik organisasi Anda.

  • Jika jejak organisasi adalah untuk Wilayah Tunggal dan Wilayah asal jejak bukan wilayah OPT, salinan jejak dibuat di Wilayah asal jejak organisasi di setiap akun anggota.

  • Jika jejak organisasi adalah untuk Wilayah Tunggal dan Wilayah asal jejak adalah wilayah OPT, salinan jejak dibuat di Wilayah asal jejak organisasi di akun anggota yang telah mengaktifkan Wilayah tersebut.

  • Jika jejak organisasi adalah Multi-wilayah dan Wilayah asal jejak bukan merupakan Wilayah keikutsertaan, salinan jejak dibuat di setiap akun yang diaktifkan Wilayah AWS di setiap akun anggota. Ketika akun anggota mengaktifkan Wilayah keikutsertaan, salinan jejak Multi-wilayah dibuat di Wilayah yang baru dipilih untuk akun anggota setelah aktivasi Wilayah tersebut selesai.

  • Jika jejak organisasi adalah Multi-wilayah dan Wilayah asal adalah Wilayah keikutsertaan, akun anggota tidak akan mengirim aktivitas ke jejak organisasi kecuali mereka memilih Wilayah AWS tempat jejak Multi-wilayah dibuat. Misalnya, jika Anda membuat jejak Multi-wilayah dan memilih Wilayah Eropa (Spanyol) sebagai Wilayah asal untuk jejak tersebut, hanya akun anggota yang mengaktifkan Wilayah Eropa (Spanyol) untuk akun mereka yang akan mengirimkan aktivitas akun mereka ke jejak organisasi.

catatan

CloudTrail membuat jejak organisasi di akun anggota meskipun validasi sumber daya gagal. Contoh kegagalan validasi meliputi:

  • kebijakan bucket Amazon S3 yang salah

  • kebijakan SNS topik Amazon yang salah

  • ketidakmampuan untuk mengirimkan ke grup CloudWatch log Log

  • izin yang tidak memadai untuk mengenkripsi menggunakan kunci KMS

Akun anggota dengan CloudTrail izin dapat melihat kegagalan validasi untuk jejak organisasi dengan melihat halaman detail jejak di CloudTrail konsol, atau dengan menjalankan perintah. AWS CLI get-trail-status

Pengguna dengan CloudTrail izin di akun anggota akan dapat melihat jejak organisasi (termasuk jejakARN) saat mereka masuk ke AWS CloudTrail konsol dari AWS akun mereka, atau ketika mereka menjalankan AWS CLI perintah seperti describe-trails (meskipun akun anggota harus menggunakan jejak ARN untuk organisasi, dan bukan nama, saat menggunakan). AWS CLI Namun, pengguna di akun anggota tidak akan memiliki izin yang cukup untuk menghapus jejak organisasi, mengaktifkan atau menonaktifkan log, mengubah jenis peristiwa apa yang dicatat, atau mengubah jejak organisasi dengan cara apa pun. Untuk informasi selengkapnya AWS Organizations, lihat Organizations Terminology and Concepts. Untuk informasi selengkapnya tentang membuat dan bekerja dengan jalur organisasi, lihatMembuat jejak untuk organisasi.

CloudTrail Penyimpanan data danau dan acara

CloudTrail Lake memungkinkan Anda menjalankan kueri SQL berbasis halus pada acara Anda, dan mencatat peristiwa dari sumber di luar AWS, termasuk dari aplikasi Anda sendiri, dan dari mitra yang terintegrasi dengannya. CloudTrail Anda tidak perlu memiliki jejak yang dikonfigurasi di akun Anda untuk menggunakan CloudTrail Lake.

Peristiwa digabungkan ke dalam penyimpanan data peristiwa, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara tingkat lanjut. Anda dapat menyimpan data acara di penyimpanan data acara hingga 3.653 hari (sekitar 10 tahun) jika Anda memilih opsi harga retensi yang dapat diperpanjang satu tahun, atau hingga 2.557 hari (sekitar 7 tahun) jika Anda memilih opsi harga retensi tujuh tahun. Anda dapat menyimpan kueri Lake untuk penggunaan di masa mendatang, dan melihat hasil kueri hingga tujuh hari. Anda juga dapat menyimpan hasil kueri ke bucket S3. CloudTrail Danau juga dapat menyimpan acara dari organisasi di AWS Organizations dalam penyimpanan data acara, atau acara dari beberapa Wilayah dan akun. CloudTrail Lake adalah bagian dari solusi audit yang membantu Anda melakukan investigasi keamanan dan pemecahan masalah. Untuk informasi selengkapnya, lihat Bekerja dengan AWS CloudTrail Danau dan CloudTrail Konsep dan terminologi danau.

CloudTrail Wawasan

CloudTrail Wawasan membantu AWS pengguna mengidentifikasi dan menanggapi volume API panggilan atau kesalahan yang tidak biasa yang dicatat pada API panggilan dengan terus menganalisis peristiwa CloudTrail manajemen. Peristiwa Insights adalah catatan tingkat API aktivitas write manajemen yang tidak biasa, atau tingkat kesalahan yang tidak biasa yang dikembalikan pada API aktivitas manajemen. Secara default, jejak dan penyimpanan data acara tidak mencatat peristiwa CloudTrail Wawasan. Di konsol, Anda dapat memilih untuk mencatat peristiwa Wawasan saat membuat atau memperbarui penyimpanan data jejak atau peristiwa. Saat Anda menggunakan CloudTrail API, Anda dapat mencatat peristiwa Wawasan dengan mengedit pengaturan penyimpanan data jejak atau peristiwa yang ada dengan. PutInsightSelectorsAPI Biaya tambahan berlaku untuk acara logging CloudTrail Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, lihat Acara Logging Insights dan Harga AWS CloudTrail.

Tanda

Tag adalah kunci yang ditentukan pelanggan dan nilai opsional yang dapat ditetapkan ke AWS sumber daya, seperti CloudTrail jejak, penyimpanan data peristiwa, dan saluran, bucket S3 yang digunakan untuk menyimpan file CloudTrail log, organisasi dan unit AWS Organizations organisasi, dan banyak lagi. Dengan menambahkan tag yang sama ke jejak dan ke bucket S3 yang Anda gunakan untuk menyimpan file log untuk jejak, Anda dapat mempermudah pengelolaan, pencarian, dan memfilter sumber daya ini. AWS Resource Groups Anda dapat menerapkan strategi penandaan untuk membantu Anda secara konsisten, efektif, dan mudah menemukan dan mengelola sumber daya Anda. Untuk informasi selengkapnya, lihat Praktik Terbaik untuk Menandai AWS Sumber Daya.

AWS Security Token Service dan CloudTrail

AWS Security Token Service (AWS STS) adalah layanan yang memiliki titik akhir global dan juga mendukung titik akhir khusus Wilayah. Endpoint URL adalah titik masuk untuk permintaan layanan web. Misalnya, https://cloudtrail.us-west-2.amazonaws.com adalah titik masuk regional AS Barat (Oregon) untuk AWS CloudTrail layanan ini. Titik akhir regional membantu mengurangi latensi dalam aplikasi Anda.

Saat Anda menggunakan titik akhir AWS STS khusus Wilayah, jejak di Wilayah tersebut hanya mengirimkan AWS STS peristiwa yang terjadi di Wilayah tersebut. Misalnya, jika Anda menggunakan titik akhirsts.us-west-2.amazonaws.com, jejak di us-west-2 hanya memberikan peristiwa yang berasal dari us-west-2. AWS STS Untuk informasi selengkapnya tentang titik akhir AWS STS regional, lihat Mengaktifkan dan Menonaktifkan AWS STS di AWS Wilayah di Panduan Pengguna. IAM

Untuk daftar lengkap titik akhir AWS regional, lihat AWS Wilayah dan Titik Akhir di. Referensi Umum AWS Untuk detail tentang peristiwa dari AWS STS titik akhir global, lihatAcara layanan global.

Acara layanan global

penting

Per 22 November 2021, AWS CloudTrail mengubah cara jejak menangkap peristiwa layanan global. Sekarang, peristiwa yang dibuat oleh Amazon CloudFront AWS Identity and Access Management,, dan AWS STS dicatat di Wilayah di mana mereka diciptakan, Wilayah AS Timur (Virginia N.), us-east-1. Hal ini membuat bagaimana CloudTrail memperlakukan layanan ini konsisten dengan layanan AWS global lainnya. Untuk terus menerima acara layanan global di luar US East (Virginia N.), pastikan untuk mengubah jalur Single-region menggunakan acara layanan global di luar US East (Virginia N.) menjadi jalur Multi-wilayah. Untuk informasi selengkapnya tentang menangkap peristiwa layanan global, lihat Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global nanti di bagian ini.

Sebaliknya, Riwayat acara di CloudTrail konsol dan aws cloudtrail lookup-events perintah akan menampilkan peristiwa ini di Wilayah AWS tempat kejadian.

Untuk sebagian besar layanan, peristiwa dicatat di Wilayah tempat terjadinya tindakan. Untuk layanan global seperti AWS Identity and Access Management (IAM), dan Amazon AWS STS CloudFront, acara dikirimkan ke jalur apa pun yang mencakup layanan global.

Untuk sebagian besar layanan global, peristiwa dicatat sebagai terjadi di Wilayah AS Timur (Virginia N.), tetapi beberapa peristiwa layanan global dicatat sebagai terjadi di Wilayah lain, seperti Wilayah AS Timur (Ohio) atau Wilayah AS Barat (Oregon).

Untuk menghindari menerima duplikat acara layanan global, ingat hal berikut:

  • Acara layanan global dikirimkan secara default ke jejak yang dibuat menggunakan CloudTrail konsol. Acara dikirim ke ember untuk jalan setapak.

  • Jika Anda memiliki beberapa jalur Wilayah tunggal, pertimbangkan untuk mengonfigurasi jalur Anda sehingga acara layanan global dikirimkan hanya di salah satu jalur. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global.

  • Jika Anda mengubah konfigurasi jejak dari mencatat semua Wilayah menjadi mencatat satu Wilayah, pencatatan peristiwa layanan global akan dimatikan secara otomatis untuk jejak tersebut. Demikian pula, jika Anda mengubah konfigurasi jejak dari mencatat satu Wilayah menjadi mencatat semua Wilayah, pencatatan peristiwa layanan global diaktifkan secara otomatis untuk jejak tersebut.

    Untuk informasi selengkapnya tentang mengubah pencatatan peristiwa layanan global untuk jejak, lihatMengaktifkan dan menonaktifkan pencatatan peristiwa layanan global.

Contoh:

  1. Anda membuat jejak di CloudTrail konsol. Secara default, jejak ini mencatat peristiwa layanan global.

  2. Anda memiliki beberapa jalur Wilayah tunggal.

  3. Anda tidak perlu menyertakan layanan global untuk jalur Wilayah tunggal. Acara layanan global dikirimkan untuk jalur pertama. Untuk informasi selengkapnya, lihat Membuat, memperbarui, dan mengelola jalur dengan AWS CLI.

catatan

Saat membuat atau memperbarui jejak dengan AWS CLI,, atau AWS SDKs CloudTrail API, Anda dapat menentukan apakah akan menyertakan atau mengecualikan acara layanan global untuk jalur. Anda tidak dapat mengonfigurasi pencatatan peristiwa layanan global dari CloudTrail konsol.