CloudTrail concetti - AWS CloudTrail
CloudTrail eventiCronologia degli eventiTrailPercorsi organizzativiCloudTrail Archivi di dati su laghi ed eventiCloudTrail ApprofondimentiTagAWS Security Token Service e CloudTrailEventi dei servizi globali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail concetti

Questa sezione riassume i concetti di base relativi a CloudTrail.

CloudTrail eventi

Un evento in CloudTrail è la registrazione di un'attività in un AWS account. Questa attività può essere un'azione intrapresa da un'IAMidentità o da un servizio monitorabile da CloudTrail. CloudTrailgli eventi forniscono una cronologia delle attività svolte API sia all'esterno dell'APIaccount tramite AWS Management Console gli AWS SDKs strumenti a riga di comando e altri AWS servizi.

CloudTrail i file di registro non sono una traccia ordinata dello stack delle API chiamate pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.

CloudTrail registra tre tipi di eventi:

Tutti i tipi di eventi utilizzano un formato di CloudTrail JSON registro.

Per impostazione predefinita, i percorsi e i datastore di eventi registrano gli eventi di gestione, ma non gli eventi di dati o gli eventi Insights.

Per informazioni su come effettuare l' AWS servizi integrazione con CloudTrail, vedereAWS argomenti di servizio per CloudTrail.

Eventi di gestione

Gli eventi di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse AWS dell'account. Queste operazioni sono definite anche operazioni del piano di controllo.

Gli eventi di gestione di esempio includono:

  • Configurazione della sicurezza (ad esempio, AWS Identity and Access Management AttachRolePolicy API operazioni).

  • Registrazione di dispositivi (ad esempio, EC2 CreateDefaultVpc API operazioni Amazon).

  • Configurazione delle regole per il routing dei dati (ad esempio, EC2 CreateSubnet API le operazioni di Amazon).

  • Configurazione della registrazione (ad esempio, AWS CloudTrail CreateTrail API operazioni).

Gli eventi di gestione possono includere anche API eventi diversi che si verificano nell'account. Ad esempio, quando un utente accede al tuo account, CloudTrail registra l'ConsoleLoginevento. Per ulteriori informazioni, consulta APIEventi non acquisiti da CloudTrail.

Per impostazione predefinita, CloudTrail trails and CloudTrail Lake Event Data archivia gli eventi di gestione dei registri. Per ulteriori informazioni sulla gestione della registrazione degli eventi, vedereRegistrazione degli eventi di gestione.

Eventi di dati

Gli eventi di dati forniscono informazioni sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati.

Gli eventi di dati di esempio includono:

La tabella seguente mostra i tipi di eventi di dati disponibili per i percorsi e i datastore di eventi. La colonna Tipo di evento di dati (console) mostra la selezione appropriata nella console. La colonna del valore resources.type mostra il resources.type valore da specificare per includere eventi di dati di quel tipo nel tuo trail o event data store utilizzando o. AWS CLI CloudTrail APIs

Per i trail, puoi utilizzare selettori di eventi di base o avanzati per registrare gli eventi di dati per oggetti Amazon S3 in bucket generici, funzioni Lambda e tabelle DynamoDB (mostrate nelle prime tre righe della tabella). Per registrare i tipi di eventi relativi ai dati mostrati nelle righe rimanenti, puoi utilizzare solo selettori di eventi avanzati.

Per i datastore di eventi, per includere gli eventi di dati è possibile utilizzare solo i selettori di eventi avanzati.

AWS servizio Descrizione Tipo di evento di dati (console) valore resources.type
Amazon DynamoDB

Attività a APIlivello di elemento di Amazon DynamoDB sulle tabelle (ad esempioPutItem, e operazioni). DeleteItem UpdateItem API

Nota

Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul campo. eventName

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda attività di esecuzione della funzione (la InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

APIAttività a livello di oggetto di Amazon S3 (ad esempio GetObjectDeleteObject, e PutObject API operazioni) su oggetti in bucket generici.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig APIattività per operazioni di configurazione come chiamate a e. StartConfigurationSession GetLatestConfiguration

 AWS AppConfig AWS::AppConfig::Configuration
AWS Scambio di dati B2B

APIAttività di scambio di dati B2B per operazioni Transformer come chiamate verso e. GetTransformerJob StartTransformerJob

 Scambio di dati B2B AWS::B2BI::Transformer
Amazon Bedrock APIAttività di Amazon Bedrock su un alias di agente. Alias dell'agente Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock APIAttività di Amazon Bedrock su un alias di flusso. Alias di Bedrock Flow AWS::Bedrock::FlowAlias
Amazon Bedrock APIAttività di Amazon Bedrock su un guardrail. Parapetto Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock APIAttività di Amazon Bedrock su una knowledge base. Knowledge base Bedrock AWS::Bedrock::KnowledgeBase
Amazon CloudFront

CloudFront APIattività su un KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map APIattività su un namespace. AWS Cloud Map spazio dei nomi AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map APIattività su un servizio. AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsattività su un canale CloudTrail lacustre utilizzata per registrare eventi dall'esterno AWS.

 CloudTrail canale AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch APIAttività di Amazon sulle metriche.

 CloudWatch metrica AWS::CloudWatch::Metric
Amazon CloudWatch RUM

CloudWatch RUMAPIAttività di Amazon sui monitor delle app.

 RUMmonitor delle app AWS::RUM::AppMonitor
Amazon CodeWhisperer CodeWhisperer APIAttività di Amazon su una personalizzazione. CodeWhisperer personalizzazione AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer APIAttività di Amazon su un profilo. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

APIAttività di Amazon Cognito sui pool di identità di Amazon Cognito.

 Pool di identità di Cognito AWS::Cognito::IdentityPool
Amazon DynamoDB

Attività di Amazon API DynamoDB sugli stream.

 DynamoDB Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) diretto APIs PutSnapshotBlockGetSnapshotBlock, ad esempio e ListChangedBlocks su Amazon EBS snapshot.

 Amazon EBS diretto APIs AWS::EC2::Snapshot
Amazon EMR EMRAPIAttività di Amazon su un'area di lavoro di registrazione con scrittura anticipata. EMRarea di lavoro con log write-ahead AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPIattività sugli ambienti.

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue APIattività su tavoli creati da Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

GuardDuty APIAttività su Amazon per un rilevatore.

 GuardDuty rilevatore AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging APIattività sugli archivi dati.

 MedicalImaging archivio dati AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT APIattività sui certificati.

 Certificato IoT AWS::IoT::Certificate
AWS IoT

AWS IoT APIattività sulle cose.

 Cosa IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

APIAttività Greengrass da un dispositivo centrale Greengrass su una versione componente.

Nota

Greengrass non registra gli eventi di accesso negato.

 Versione componente IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

APIAttività Greengrass da un dispositivo centrale Greengrass durante una distribuzione.

Nota

Greengrass non registra gli eventi di accesso negato.

 Implementazione di IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise APIAttività IoT sugli asset.

 SiteWise Risorsa IoT AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise APIAttività IoT su serie temporali.

 Serie SiteWise temporali IoT AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

TwinMaker APIAttività IoT su un'entità.

 TwinMaker Entità IoT AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker APIAttività IoT su uno spazio di lavoro.

 Spazio di TwinMaker lavoro IoT AWS::IoTTwinMaker::Workspace
Classificazione intelligente di Amazon Kendra

Attività di Amazon Kendra Intelligent API Ranking sui piani di esecuzione di rescore.

 Classificazione Kendra AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (per Apache Cassandra) APIAttività di Amazon Keyspaces su una tabella. Tavolo Cassandra AWS::Cassandra::Table
Flusso di dati Amazon Kinesis Attività di Kinesis API Data Streams sugli stream. Stream Kinesis AWS::Kinesis::Stream
Flusso di dati Amazon Kinesis Attività di Kinesis API Data Streams sui consumatori di streaming. Kinesis Stream Consumer AWS::Kinesis::StreamConsumer
Flusso di video Amazon Kinesis Attività di Kinesis API Video Streams sui flussi video, come le chiamate verso e. GetMedia PutMedia Flusso video Kinesis AWS::KinesisVideo::Stream
Amazon Machine Learning APIAttività di Machine Learning su modelli ML. Apprendimento automatico MlModel AWS::MachineLearning::MlModel
Blockchain gestita da Amazon

APIAttività di Amazon Managed Blockchain su una rete.

 Rete Blockchain gestita AWS::ManagedBlockchain::Network
Blockchain gestita da Amazon

Amazon Managed BlockchainJSON: RPC chiama nodi Ethereum, come eth_getBalance oeth_getBlockByNumber.

 Blockchain gestita AWS::ManagedBlockchain::Node
Grafo Amazon Neptune

APIAttività relative ai dati, ad esempio interrogazioni, algoritmi o ricerche vettoriali, su un grafo di Neptune.

 Grafo Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

APIAttività di Amazon One Enterprise su unUKey.

 Amazon Uno UKey AWS::One::UKey
Amazon One Enterprise

APIAttività di Amazon One Enterprise sugli utenti.

 Utente Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography APIattività sugli alias. Alias di crittografia dei pagamenti AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography APIattività sulle chiavi. Chiave di crittografia dei pagamenti AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Connettore per l'APIattività di Active Directory.

 AWS Private CA Connettore per Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Connettore per SCEP API attività.

 AWS Private CA Connettore per SCEP AWS::PCAConnectorSCEP::Connector
App Amazon Q

APIAttività dei dati su Amazon Q Apps.

 App Amazon Q AWS::QApps:QApp
Amazon Q Business

APIAttività di Amazon Q Business su un'applicazione.

 Applicazione Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

APIAttività di Amazon Q Business su una fonte di dati.

 Origine dati Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

APIAttività di Amazon Q Business su un indice.

 Indice Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

APIAttività di Amazon Q Business su un'esperienza web.

 Esperienza Web Amazon Q Business AWS::QBusiness::WebExperience
Amazon RDS

RDSAPIAttività di Amazon su un cluster DB.

 RDSDatiAPI: cluster DB AWS::RDS::DBCluster
Amazon S3

APIAttività di Amazon S3 sui punti di accesso.

 Punto di accesso S3 AWS::S3::AccessPoint
Amazon S3

APIAttività a livello di oggetto di Amazon S3 (ad esempio GetObjectDeleteObject, e PutObject API operazioni) sugli oggetti nei bucket di directory.

 S3 Express AWS::S3Express::Object
Amazon S3

APIAttività dei punti di accesso Amazon S3 Object Lambda, ad esempio chiamate verso e. CompleteMultipartUpload GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 su Outposts

Amazon S3 on Outposts: attività a livello di oggetto. API

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker SageMaker InvokeEndpointWithResponseStreamAttività di Amazon sugli endpoint. SageMaker endpoint AWS::SageMaker::Endpoint
Amazon SageMaker

SageMaker APIAttività di Amazon sui feature store.

 SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

SageMaker APIAttività di Amazon sui componenti di prova sperimentali.

 SageMaker metrics, esperimento, componente di prova AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

SNSPublishAPIOperazioni Amazon sugli endpoint della piattaforma.

 SNSendpoint della piattaforma AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publishe PublishBatchAPIle operazioni su argomenti.

 SNSargomento AWS::SNS::Topic
Amazon SQS

SQSAPIAttività di Amazon sui messaggi.

 SQS AWS::SQS::Queue
AWS Step Functions

APIAttività di Step Functions su una macchina a stati.

 Macchina a stati di Step Functions AWS::StepFunctions::StateMachine
Catena di approvvigionamento di AWS

Catena di approvvigionamento di AWS APIattività su un'istanza.

 Catena di fornitura AWS::SCN::Instance
Amazon SWF

SWFAPIAttività di Amazon sui domini.

 SWFdominio AWS::SWF::Domain
AWS Systems Manager APIAttività di Systems Manager sui canali di controllo. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager APIAttività di Systems Manager sui nodi gestiti. Nodo gestito da Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Attività di Amazon QueryAPITimestream sui database. Database Timestream AWS::Timestream::Database
Amazon Timestream Attività di Amazon QueryAPITimestream sui tavoli. Tabella Timestream AWS::Timestream::Table
Autorizzazioni verificate da Amazon

APIAttività di Amazon Verified Permissions su un Policy Store.

 Autorizzazioni verificate da Amazon AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces APIAttività di Thin Client su un dispositivo. Dispositivo Thin client AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces APIAttività dei Thin Client in un ambiente. Ambiente Thin client AWS::ThinClient::Environment
AWS X-Ray

APIAttività a raggi X sulle tracce.

 Traccia a raggi X AWS::XRay::Trace

Quando si crea un percorso o un datastore di eventi, gli eventi di dati non vengono registrati per impostazione predefinita. Per registrare gli eventi CloudTrail relativi ai dati, è necessario aggiungere in modo esplicito le risorse o i tipi di risorse supportati per i quali si desidera raccogliere attività. Per ulteriori informazioni sulla registrazione degli eventi di dati, consulta Registrazione degli eventi di dati.

Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Eventi Insights

CloudTrail Gli eventi Insights rilevano attività insolite relative alla frequenza delle API chiamate o al tasso di errore nel tuo AWS account analizzando l'attività di CloudTrail gestione. Gli eventi Insights forniscono informazioni pertinenti, come il codice di errore associatoAPI, l'ora dell'incidente e le statistiche, che ti aiutano a comprendere le attività insolite e ad agire di conseguenza. A differenza di altri tipi di eventi acquisiti in un archivio dati di CloudTrail trail o event, gli eventi di Insights vengono registrati solo quando CloudTrail rilevano cambiamenti nell'APIutilizzo dell'account o nella registrazione del tasso di errore che differiscono significativamente dai modelli di utilizzo tipici dell'account.

Alcuni esempi di attività che potrebbero generare eventi Insights:

  • Il tuo account in genere non registra più di 20 chiamate Amazon deleteBucket API S3 al minuto, ma inizia a registrare una media di deleteBucket API 100 chiamate al minuto. Un evento Insights viene registrato all'inizio dell'attività insolita e un altro evento Insights viene registrato per contrassegnare la fine dell'attività insolita.

  • Il tuo account registra in genere 20 chiamate al minuto verso Amazon EC2 AuthorizeSecurityGroupIngressAPI, ma inizia a registrare zero chiamate versoAuthorizeSecurityGroupIngress. Un evento Insights viene registrato all'inizio dell'attività insolita; dieci minuti dopo, al termine dell'attività insolita, viene registrato un altro evento Insights per contrassegnare la fine dell'attività insolita.

  • Il tuo account in genere registra meno di un AccessDeniedException errore in un periodo di sette giorni su,. AWS Identity and Access Management API DeleteInstanceProfile Il tuo account inizia a registrare una media di 12 AccessDeniedException errori al minuto durante la chiamata. DeleteInstanceProfile API Un evento Insights viene registrato all'inizio dell'attività di tasso di errore insolita e un altro evento Insights viene registrato per contrassegnare la fine dell'attività insolita.

Questi esempi sono solo a scopo illustrativo. I risultati potrebbero variare a seconda del caso d'uso.

Per registrare gli eventi di CloudTrail Insights, è necessario abilitare esplicitamente gli eventi Insights su un trail o un data store di eventi nuovo o esistente. Per ulteriori informazioni sulla creazione di un trail, consulta Creazione di un percorso con la CloudTrail console. Per ulteriori informazioni sulla creazione di un datastore di eventi, consulta Crea un archivio dati di eventi per gli eventi Insights con la console.

Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.

Cronologia degli eventi

CloudTrail la cronologia degli eventi fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione in un. CloudTrail Regione AWS Puoi utilizzare questa cronologia per ottenere visibilità sulle azioni intraprese nel tuo AWS account negli strumenti da riga di comando e in AWS SDKs altri servizi. AWS Management Console AWS Puoi personalizzare la visualizzazione della cronologia degli eventi nella CloudTrail console selezionando le colonne da visualizzare. Per ulteriori informazioni, consulta Utilizzo della cronologia CloudTrail degli eventi.

Trail

Un trail è una configurazione che consente l'invio di CloudTrail eventi a un bucket S3, con consegna opzionale a CloudWatch Logs e Amazon. EventBridge Puoi utilizzare un percorso per scegliere gli CloudTrail eventi che desideri vengano consegnati, crittografare i file di registro CloudTrail degli eventi con una AWS KMS chiave e configurare SNS le notifiche Amazon per la consegna dei file di registro. Per ulteriori informazioni su come creare e gestire un trail, consulta Creare un percorso per il tuo Account AWS.

Percorsi multiregione e regione singola

Puoi creare percorsi multiregione e a regione singola per i tuoi. Account AWS

Percorsi multiregionali

Quando crei un percorso multiregionale, CloudTrail registra tutti gli eventi nella AWS partizione Regioni AWS in cui stai lavorando e invia i file di registro degli CloudTrail eventi a un bucket S3 da te specificato. Se Regione AWS viene aggiunto un percorso multiregionale, quella nuova regione viene inclusa automaticamente e gli eventi in quella regione vengono registrati. La creazione di un percorso multi-regionale è una best practice consigliata in quanto in questo modo è possibile registrare l'attività in tutte Regioni del proprio account. Tutti i percorsi creati utilizzando la CloudTrail console sono multiregionali. È possibile convertire un percorso a regione singola in un percorso multiregionale utilizzando. AWS CLI Per ulteriori informazioni, consulta Creazione di un percorso nella console e Conversione di un trail valido per una regione in un trail valido per tutte le regioni.

Percorsi a regione singola

Quando crei un percorso a regione singola, CloudTrail registra solo gli eventi in quella regione. Quindi invia i file di registro CloudTrail degli eventi a un bucket Amazon S3 specificato dall'utente. Puoi creare un percorso basato su una singola Regione solo utilizzando la AWS CLI. Se crei percorsi singoli aggiuntivi, puoi fare in modo che questi percorsi consegnino i file di registro CloudTrail degli eventi nello stesso bucket S3 o in bucket separati. Questa è l'opzione predefinita quando si crea un percorso utilizzando o il AWS CLI . CloudTrail API Per ulteriori informazioni, consulta Creazione, aggiornamento e gestione di percorsi con AWS CLI.

Nota

Per entrambi i tipi di percorsi, puoi specificare un bucket Amazon S3 di qualsiasi Regione.

Un percorso multiregionale presenta i seguenti vantaggi:

  • Le impostazioni di configurazione per il percorso si applicano in modo coerente a tutti Regioni AWS.

  • Puoi ricevere CloudTrail eventi da tutti Regioni AWS in un unico bucket Amazon S3 e, facoltativamente, in un CloudWatch gruppo di log Logs.

  • Puoi gestire la configurazione dei trail per tutti Regioni AWS da un'unica posizione.

Quando si applica un itinerario a tutte le AWS regioni, CloudTrail utilizza il percorso creato in una particolare regione per creare percorsi con configurazioni identiche in tutte le altre regioni della AWS partizione in cui si sta lavorando.

Ne consegue che:

  • CloudTrail distribuisce i file di log per l'attività dell'account da tutte le AWS regioni al singolo bucket Amazon S3 specificato e, facoltativamente, a un CloudWatch gruppo di log Logs.

  • Se hai configurato un SNS argomento Amazon per il percorso, SNS le notifiche sulle consegne di file di registro in tutte le AWS regioni vengono inviate a quel singolo SNS argomento.

Indipendentemente dal fatto che un percorso sia multiregionale o monoregionale, gli eventi inviati ad Amazon EventBridge vengono ricevuti nel bus eventi di ciascuna regione, anziché in un unico bus di eventi.

Più percorsi per regione

In presenza di gruppi di utenti diversi ma correlati tra loro, ad esempio sviluppatori, personale della sicurezza e revisori IT, puoi creare più trail per regione. Ciò consente a ciascun gruppo di ricevere la propria copia dei file di log.

CloudTrail supporta cinque percorsi per regione. Un percorso multiregionale conta come un percorso per regione.

Di seguito è riportato un esempio di regione con cinque sentieri:

  • Crei due percorsi nella regione Stati Uniti occidentali (California settentrionale), ciascuno dei quali è valido solo per questa regione.

  • Si creano altri due percorsi multiregione nella regione Stati Uniti occidentali (California settentrionale).

  • Si crea un altro percorso multiregionale nella regione Asia Pacifico (Sydney). Questo percorso esiste anche come percorso nella regione Stati Uniti occidentali (California settentrionale).

È possibile visualizzare un elenco di percorsi Regione AWS in una pagina Percorsi della CloudTrail console. Per ulteriori informazioni, consulta Aggiornamento di un percorso con la CloudTrail console. Per CloudTrail i prezzi, consulta la sezione AWS CloudTrail Prezzi.

Percorsi organizzativi

Un percorso organizzativo è una configurazione che consente la distribuzione di CloudTrail eventi nell'account di gestione e in tutti gli account dei membri di un' AWS Organizations organizzazione nello stesso bucket Amazon S3 CloudWatch , Logs e Amazon. EventBridge La creazione di un percorso dell'organizzazione ti consente di definire una strategia di registrazione degli eventi coerente per la tua organizzazione.

Tutti gli itinerari organizzativi creati utilizzando la console sono percorsi organizzativi multiregionali che registrano gli eventi dagli account abilitati Regioni AWS in ogni account membro dell'organizzazione. Per registrare gli eventi in tutte le AWS partizioni dell'organizzazione, crea un itinerario organizzativo multiregionale in ogni partizione. È possibile creare un itinerario organizzativo a regione singola o multiarea utilizzando. AWS CLI Se si crea un itinerario a regione singola, si registra l'attività solo nel percorso Regione AWS (noto anche come regione principale).

Sebbene la Regioni AWS maggior parte sia abilitata di default per la tua Account AWS, devi abilitare manualmente alcune regioni (chiamate anche regioni opzionali). Per informazioni su quali regioni sono abilitate per impostazione predefinita, consulta Considerazioni prima di abilitare e disabilitare le regioni nella AWS Account Management Guida di riferimento. Per l'elenco delle regioni CloudTrail supportate, vedere. CloudTrail Regioni supportate

Quando crei un percorso organizzativo, una copia del percorso con il nome che gli hai assegnato viene creata negli account dei membri che appartengono alla tua organizzazione.

  • Se l'organigramma riguarda una singola regione e la regione di origine del percorso non è una regione Opt, viene creata una copia del percorso nella regione di origine dell'organigramma in ogni account membro.

  • Se il percorso organizzativo è per una regione singola e la regione di origine del percorso è una regione OPT, una copia del percorso viene creata nella regione di origine dell'organizzazione negli account dei membri che hanno abilitato tale regione.

  • Se il percorso organizzativo è multiregionale e la regione di origine del percorso non è una regione che accetta l'iscrizione, viene creata una copia del percorso in ogni account membro abilitato Regione AWS . Quando un account membro abilita una regione con iscrizione, una volta completata l'attivazione di tale regione, viene creata una copia del percorso multiregionale nella regione appena attivata per l'account membro.

  • Se il percorso organizzativo è multiregionale e la regione di origine è una regione con attivazione, gli account dei membri non invieranno attività al percorso organizzativo a meno che non scelgano il luogo in Regione AWS cui è stato creato il percorso multiregionale. Ad esempio, se crei un percorso multiregionale e scegli la regione Europa (Spagna) come regione di origine del percorso, solo gli account membri che hanno abilitato la regione Europa (Spagna) per il proprio account invieranno l'attività dell'account all'organizzazione del percorso.

Nota

CloudTrail crea gli itinerari organizzativi negli account dei membri anche se la convalida di una risorsa fallisce. Alcuni esempi di errori di convalida includono:

  • una policy sui bucket Amazon S3 errata

  • una politica SNS tematica Amazon errata

  • impossibilità di effettuare consegne a un gruppo di log di CloudWatch Logs

  • autorizzazione insufficiente per crittografare utilizzando una chiave KMS

Un account membro con CloudTrail autorizzazioni può visualizzare eventuali errori di convalida di un percorso organizzativo visualizzando la pagina dei dettagli del percorso sulla CloudTrail console o eseguendo il comando. AWS CLI get-trail-status

Gli utenti con CloudTrail autorizzazioni negli account dei membri saranno in grado di visualizzare gli itinerari organizzativi (incluso il percorsoARN) quando accedono alla AWS CloudTrail console dai propri AWS account o quando eseguono AWS CLI comandi come describe-trails (sebbene gli account dei membri debbano utilizzare l'indirizzo ARN per l'organizzazione e non il nome, quando utilizzano il). AWS CLI Tuttavia, gli utenti degli account membro non disporranno delle autorizzazioni sufficienti per eliminare gli itinerari organizzativi, attivare o disattivare la connessione, modificare i tipi di eventi registrati o modificare in altro modo gli itinerari organizzativi. Per ulteriori informazioni su AWS Organizations, consulta Concetti e terminologia di Organizations. Per ulteriori informazioni sulla creazione e sull'utilizzo di trail dell'organizzazione, consulta Creazione di un percorso per un'organizzazione.

CloudTrail Archivi di dati su laghi ed eventi

CloudTrail Lake ti consente di eseguire query SQL granulari sui tuoi eventi e di registrare gli eventi da fonti esterne AWS, incluse le tue applicazioni, e dai partner con cui sono integrate. CloudTrail Non è necessario che nel tuo account sia configurato un percorso per utilizzare Lake. CloudTrail

Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili in base ai criteri selezionati applicando i selettori di eventi avanzati. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione Prezzo per la conservazione estendibile di un anno o di 2.557 giorni (circa 7 anni) se scegli l'opzione Prezzo per la conservazione di sette anni. Puoi salvare le query Lake per l'utilizzo futuro e visualizzarne i risultati per un massimo di sette giorni. Puoi anche salvare i risultati delle query in un bucket S3. CloudTrail Lake può anche archiviare gli eventi di un'organizzazione AWS Organizations in un data store di eventi o gli eventi di più regioni e account. CloudTrail Lake fa parte di una soluzione di controllo che consente di eseguire indagini di sicurezza e risoluzione dei problemi. Per ulteriori informazioni, consulta Lavorare con AWS CloudTrail Lake e CloudTrail Concetti e terminologia del lago.

CloudTrail Approfondimenti

CloudTrail Gli approfondimenti aiutano AWS gli utenti a identificare e rispondere a volumi insoliti di API chiamate o errori registrati durante API le chiamate analizzando continuamente gli eventi di CloudTrail gestione. Un evento Insights è una registrazione di livelli insoliti di API attività di write gestione o di livelli insoliti di errori restituiti nell'attività di gestioneAPI. Per impostazione predefinita, i percorsi e gli archivi dati degli eventi non registrano gli eventi di CloudTrail Insights. Nella console puoi scegliere di registrare gli eventi Insights quando crei o aggiorni un percorso o un datastore di eventi. Quando si utilizza il CloudTrail API, è possibile registrare gli eventi di Insights modificando le impostazioni di un trail o di un data store di eventi esistente con PutInsightSelectorsAPI. Si applicano costi aggiuntivi per la registrazione degli eventi di CloudTrail Insights. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta Registrazione degli eventi Insights e Prezzi di AWS CloudTrail.

Tag

Un tag è una chiave definita dal cliente e un valore opzionale che può essere assegnato a AWS risorse, come CloudTrail percorsi, archivi dati di eventi e canali, bucket S3 utilizzati per archiviare file di CloudTrail registro, AWS Organizations organizzazioni e unità organizzative e molto altro. Aggiungendo gli stessi tag ai percorsi e ai bucket S3 utilizzati per archiviare i file di registro dei percorsi, puoi semplificare la gestione, la ricerca e il filtraggio di queste risorse. AWS Resource Groups È possibile implementare strategie di utilizzo dei tag per aiutarti in maniera regolare, efficace e semplice a trovare e gestire le risorse. Per ulteriori informazioni, consulta Best Practices for AWS Tagging Resources.

AWS Security Token Service e CloudTrail

AWS Security Token Service (AWS STS) è un servizio che dispone di un endpoint globale e supporta anche endpoint specifici della regione. Un endpoint è un punto di ingresso per URL le richieste di servizi Web. Ad esempio, https://cloudtrail.us-west-2.amazonaws.com è il punto di ingresso regionale del servizio negli Stati Uniti occidentali (Oregon). AWS CloudTrail Gli endpoint regionali consentono di ridurre la latenza nelle applicazioni.

Quando si utilizza un endpoint AWS STS specifico di una regione, il percorso in quella regione riporta solo gli AWS STS eventi che si verificano in quella regione. Ad esempio, se utilizzi l'endpoint sts.us-west-2.amazonaws.com, il trail nella regione us-west-2 distribuisce solo gli eventi AWS STS che hanno origine nella regione us-west-2. Per ulteriori informazioni sugli endpoint AWS STS regionali, consulta Attivazione e disattivazione AWS STS in una regione nella Guida per l'utente. AWS IAM

Per un elenco completo degli endpoint AWS regionali, consulta AWS Regioni ed endpoint nel. Riferimenti generali di AWS Per ulteriori informazioni sugli eventi che hanno origine dall'endpoint AWS STS globale, consulta Eventi dei servizi globali.

Eventi dei servizi globali

Importante

A partire dal 22 novembre 2021, è AWS CloudTrail cambiato il modo in cui i trail registrano gli eventi di servizio globale. Ora, gli eventi creati da Amazon CloudFront AWS STS vengono registrati nella regione in cui sono stati creati, la regione Stati Uniti orientali (Virginia settentrionale), us-east-1. AWS Identity and Access Management In questo modo il modo in cui vengono CloudTrail trattati questi servizi è coerente con quello di altri servizi globali. AWS Per continuare a ricevere eventi di assistenza globale al di fuori della regione Stati Uniti orientali (Virginia settentrionale), assicurati di convertire i percorsi a Regione singola che utilizzano eventi di assistenza globale al di fuori di Stati Uniti orientali (Virginia settentrionale) in percorsi multi-regione. Per ulteriori informazioni sull'acquisizione di eventi di assistenza globale, consulta Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale più avanti in questa sezione.

Al contrario, la cronologia degli eventi nella CloudTrail console e il aws cloudtrail lookup-events comando mostreranno questi eventi nel luogo in Regione AWS cui si sono verificati.

Per la maggior parte dei servizi, gli eventi vengono registrati nella regione in cui si è verificata l'operazione. Per i servizi globali come AWS Identity and Access Management (IAM) e Amazon AWS STS CloudFront, gli eventi vengono distribuiti su qualsiasi percorso che includa servizi globali.

Per la maggior parte dei servizi globali, gli eventi sono registrati come se si verificassero nella Regione Stati Uniti orientali (Virginia settentrionale), ma alcuni eventi dei servizi globali sono registrati come se si verificassero in altre Regioni, come Stati Uniti orientali (Ohio) o Stati Uniti occidentali (Oregon).

Per evitare la ricezione di eventi di servizi globali duplicati, considerare quanto segue:

  • Gli eventi di servizio globali vengono forniti per impostazione predefinita ai percorsi creati utilizzando la CloudTrail console. Gli eventi vengono distribuiti nel bucket associato al trail.

  • In presenza di più percorsi validi per una singola Regione, valuta l'ipotesi di configurare i percorsi in modo che gli eventi di servizi globali vengano distribuiti solo in uno dei percorsi. Per ulteriori informazioni, consulta Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale.

  • Se modifichi la configurazione di un percorso dalla registrazione di tutte le Regioni alla registrazione di un'unica Regione, la registrazione degli eventi dei servizi globali viene disattivata automaticamente per tale percorso. In modo analogo, se modifichi la configurazione di un percorso dalla registrazione di una singola Regione alla registrazione di tutte le Regioni, la registrazione degli eventi dei servizi globali viene attivata automaticamente per tale percorso.

    Per ulteriori informazioni sulla modifica della registrazione degli eventi dei servizi globali per un trail, consulta Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale.

Esempio:

  1. Si crea un percorso nella CloudTrail console. Per impostazione di default, questo trail registra gli eventi dei servizi globali.

  2. Disponi di più percorsi validi per una singola Regione.

  3. Non è necessario includere i servizi globali per i percorsi di una singola Regione. Gli eventi dei servizi globali vengono distribuiti al primo trail. Per ulteriori informazioni, consulta Creazione, aggiornamento e gestione di percorsi con AWS CLI.

Nota

Quando si crea o si aggiorna un itinerario con AWS CLI AWS SDKs, o CloudTrail API, è possibile specificare se includere o escludere gli eventi di servizio globale per i percorsi. Non è possibile configurare la registrazione degli eventi del servizio globale dalla CloudTrail console.