Concetti di CloudTrail

In questa sezione sono riepilogati i concetti di base relativi a CloudTrail.

Indice

• Che cosa sono gli eventi di CloudTrail?
  • Che cosa sono gli eventi di gestione?
  • Che cosa sono gli eventi di dati?
  • Che cosa sono gli eventi Insights?
• Che cos'è la cronologia degli eventi di CloudTrail?
• Che cosa sono i percorsi?
• Che cosa sono i percorsi dell'organizzazione?
• Modalità di gestione di CloudTrail
  • Console CloudTrail
  • CLI di CloudTrail
  • API CloudTrail
  • SDK AWS
  • Perché utilizzare i tag per i percorsi?
• Procedura di controllo dell'accesso a CloudTrail
• Modalità di registrazione degli eventi di gestione e degli eventi di dati
• Registrazione degli eventi CloudTrail Insights
• Come si eseguono query complesse sugli eventi registrati da CloudTrail?
• Modalità di esecuzione del monitoraggio con CloudTrail
  • CloudWatch Logs, CloudWatch Events e CloudTrail
• Funzionamento di CloudTrail a livello regionale e globale
  • Vantaggi di un percorso valido per tutte le regioni
  • Conseguenze dell'applicazione di un percorso a tutte le regioni
  • Più percorsi per regione
  • AWS Security Token Service e CloudTrail
• Eventi dei servizi globali
• Relazione tra CloudTrail e gli altri servizi di monitoraggio AWS
• Soluzioni dei partner

Che cosa sono gli eventi di CloudTrail?

Un evento in CloudTrail corrisponde al record di un'attività in un account AWS. Questa attività può essere un'operazione eseguita da un utente, un ruolo o un servizio, che può essere monitorata da CloudTrail. Gli eventi di CloudTrail forniscono una cronologia dell'attività dell'account sia API e che non API svolta mediante la AWS Management Console, gli SDK AWS, gli strumenti a riga di comando e altri servizi AWS. Sono disponibili tre tipi di eventi che possono essere registrati in CloudTrail: eventi di gestione, eventi di dati ed eventi di CloudTrail Insights. Per impostazione predefinita, i percorsi registrano gli eventi di gestione, ma non gli eventi di dati o gli eventi Insights.

Tutti i tipi di eventi utilizzano il formato di registro CloudTrail JSON.

Nota

CloudTrail non registra tutti i servizi AWS e tutti gli eventi. Per ulteriori informazioni sulle API registrate per un servizio specifico, consulta la documentazione del servizio interessato in Servizi e integrazioni CloudTrail supportati.

Che cosa sono gli eventi di gestione?

Gli eventi di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse nel tuo account AWS. Queste operazioni sono definite anche operazioni del piano di controllo. Gli eventi di gestione di esempio includono:

• Configurazione della sicurezza (ad esempio, operazioni API AttachRolePolicy di AWS Identity and Access Management).

• Registrazione di dispositivi (ad esempio, operazioni API Amazon EC2 CreateDefaultVpc)

• Configurazione di regole per il routing dei dati (ad esempio, operazioni API Amazon EC2 CreateSubnet)

• Configurazione della registrazione (ad esempio, operazioni API CreateTrail di AWS CloudTrail).

Gli eventi di gestione possono includere anche eventi non API che si verificano nel tuo account. Ad esempio, quando un utente accede al tuo account, CloudTrail registra l'evento ConsoleLogin. Per ulteriori informazioni, consulta Eventi non API acquisiti da CloudTrail. Per un elenco degli eventi di gestione che CloudTrail registra per i servizi AWS, consulta Servizi e integrazioni CloudTrail supportati.

Che cosa sono gli eventi di dati?

Gli eventi di dati forniscono informazioni sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Sono registrati i seguenti tipi di dati:

• Attività API a livello di oggetti di Amazon S3 (ad esempio, le operazioni API GetObject, DeleteObject e PutObject) su bucket e oggetti nei bucket

• Attività di esecuzione delle funzioni di AWS Lambda (API Invoke)

• Attività API a livello di oggetto di Amazon DynamoDB (ad esempio, le operazioni API PutItem, DeleteItem e UpdateItem).

• Attività PutAuditEvents di CloudTrail su un canale CloudTrail Lake utilizzato per registrare eventi dall'esterno di AWS

• Attività API a livello di oggetto di Amazon S3 su Outposts.

• Chiamate JSON-RPC di Blockchain gestita da Amazon sui nodi Ethereum, come eth_getBalance o eth_getBlockByNumber

• Attività API sui punti di accesso Amazon S3 Object Lambda, ad esempio le chiamate a CompleteMultipartUpload e GetObject.

• API dirette di Amazon Elastic Block Store (EBS), come PutSnapshotBlock, GetSnapshotBlock e ListChangedBlocks su snapshot Amazon EBS.

• Attività dell'API di Amazon S3 sui punti di accesso

• Attività dell'API Amazon DynamoDB sui flussi

• Attività dell'API AWS Glue sulle tabelle create da Lake Formation

• Attività dell'API Amazon FinSpace sugli ambienti

• Attività dell'API Amazon SageMaker sui componenti di prova degli esperimenti

• Attività dell'API Amazon SageMaker negli archivi di funzioni

Gli eventi di dati sono non registrati per impostazione predefinita quando si crea un trail. Per registrare gli eventi di dati di CloudTrail, devi aggiungere in modo esplicito a un percorso le risorse supportate o i tipi di risorse per le quali desideri raccogliere le attività. Per ulteriori informazioni, consulta Creazione di un percorso e Eventi di dati.

Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Che cosa sono gli eventi Insights?

Gli eventi CloudTrail Insights acquisiscono una frequenza di chiamata API insolita o l'attività della frequenza di errore nel tuo account AWS. Se hai abilitato gli eventi Insights e CloudTrail rileva un'attività insolita, gli eventi Insights vengono registrati in una cartella diversa, o prefisso, nel bucket S3 di destinazione del tuo percorso. Puoi anche visualizzare il tipo di informazioni dettagliate e il periodo di tempo dell'incidente quando visualizzi gli eventi Insights nella console CloudTrail. Gli eventi Insights forniscono informazioni importanti, come l'API associata, codice di errore, l'ora dell'incidente e le statistiche, che ti permettono di comprendere l'attività insolita e intervenire. A differenza di altri tipi di eventi acquisiti in un percorso CloudTrail, gli eventi Insights vengono registrati solo quando CloudTrail rileva modifiche all'utilizzo dell'account API o registrazioni tasso di errore che differiscono significativamente dai modelli di utilizzo tipici dell'account. Alcuni esempi di attività che potrebbero generare eventi Insights:

• L'account in genere registra non più di 20 chiamate API deleteBucket Amazon S3 al minuto, ma l'account inizia a registrare una media di 100 chiamate API deleteBucket al minuto. Un evento Insights viene registrato all'inizio dell'attività insolita e un altro evento Insights viene registrato per contrassegnare la fine dell'attività insolita.

• L'account in genere registra 20 chiamate al minuto all'API AuthorizeSecurityGroupIngress Amazon EC2, ma l'account inizia a registrare zero chiamate a AuthorizeSecurityGroupIngress. Un evento Insights viene registrato all'inizio dell'attività insolita; dieci minuti dopo, al termine dell'attività insolita, viene registrato un altro evento Insights per contrassegnare la fine dell'attività insolita.

• In genere, il tuo account registra meno di un errore AccessDeniedException in un periodo di sette giorni su API AWS Identity and Access Management, DeleteInstanceProfile. Il tuo account inizia a registrare una media di 12 errori AccessDeniedException al minuto nella chiamata API DeleteInstanceProfile. Un evento Insights viene registrato all'inizio dell'attività di tasso di errore insolita e un altro evento Insights viene registrato per contrassegnare la fine dell'attività insolita.

Questi esempi sono solo a scopo illustrativo. I risultati potrebbero variare a seconda del caso d'uso.

Gli eventi Insights sono disabilitati per impostazione predefinita quando crei un percorso. Per registrare eventi CloudTrail Insights, devi abilitare esplicitamente la raccolta di eventi Insights su un percorso nuovo o esistente. Per ulteriori informazioni, consulta Creazione di un percorso e Registrazione di eventi Insights per i percorsi.

Per la registrazione degli eventi CloudTrail Insights vengono applicati costi aggiuntivi. Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Che cos'è la cronologia degli eventi di CloudTrail?

La cronologia degli eventi di CloudTrail fornisce un record degli eventi di CloudTrail verificatisi negli ultimi 90 giorni, in cui puoi eseguire operazioni di visualizzazione, ricerca e download. Puoi utilizzare questa cronologia per avere una panoramica più dettagliata delle operazioni eseguite nel tuo account AWS nella AWS Management Console, negli SDK AWS, negli strumenti a riga di comando e in altri servizi AWS. Puoi personalizzare la visualizzazione della cronologia degli eventi nella console CloudTrail selezionando le colonne da visualizzare. Per ulteriori informazioni, consulta Visualizzazione di eventi mediante la cronologia eventi di CloudTrail.

Che cosa sono i percorsi?

Un percorso è una configurazione che abilita la distribuzione di eventi di CloudTrail a un bucket Amazon S3, CloudWatch Logs e CloudWatch Events. Puoi usare un percorso per filtrare gli eventi di CloudTrail che desideri distribuire, crittografare i file di log degli eventi di CloudTrail mediante una chiave AWS KMS e configurare notifiche Amazon SNS per la distribuzione dei file di log. Per ulteriori informazioni su come creare e gestire un trail, consulta Creazione di un percorso per il tuo Account AWS.

Che cosa sono i percorsi dell'organizzazione?

Un trail dell'organizzazione è una configurazione che consente la distribuzione di eventi di CloudTrail nell'account di gestione, nell'account dell'amministratore delegato e in tutti gli account membri di un'organizzazione AWS Organizations nello stesso bucket Amazon S3, in CloudWatch Logs e CloudWatch Events. La creazione di un trail dell'organizzazione ti consente di definire una strategia di registrazione degli eventi coerente per la tua organizzazione.

Quando crei un trail dell'organizzazione, verrà creato un trail con il nome che assegni in ogni account AWS appartenente alla tua organizzazione. Gli utenti con autorizzazioni CloudTrail negli account membri possono visualizzare questo percorso (incluso l'ARN del percorso) quando accedono alla console AWS CloudTrail dai propri account AWS oppure quando eseguono comandi AWS CLI come describe-trails (anche se gli account membri devono utilizzare l'ARN per il percorso dell'organizzazione, e non il nome, quando utilizzano la AWS CLI). Tuttavia, gli utenti negli account membri non disporranno di autorizzazioni sufficienti per eliminare il trail dell'organizzazione, attivare o disattivare la registrazione, modificare i tipi di eventi registrati o modificare in altro modo il trail dell'organizzazione. Per ulteriori informazioni su AWS Organizations, consulta Concetti e terminologia di Organizations. Per ulteriori informazioni sulla creazione e sull'utilizzo di trail dell'organizzazione, consulta Creazione di un percorso per un'organizzazione.

Modalità di gestione di CloudTrail

Console CloudTrail

Puoi utilizzare e gestire il servizio CloudTrail tramite la console AWS CloudTrail. La console offre un'interfaccia utente per l'esecuzione di molte attività CloudTrail, quali:

• Visualizzazione di eventi recenti e della cronologia di eventi per il tuo account AWS.

• Download di un file filtrato o completo contenente gli eventi negli ultimi 90 giorni.

• Creazione e modifica di percorsi CloudTrail.

• Creazione e modifica di archivi di dati degli eventi CloudTrail Lake.

• Esecuzione di query sugli archivi di dati degli eventi.

• Configurazione di percorsi CloudTrail, tra cui:

  • Selezione di un bucket Amazon S3 per i trail.

  • Impostazione di un prefisso.

  • Configurazione della distribuzione a CloudWatch Logs.

  • Utilizzo delle chiavi AWS KMS per la crittografia dei dati dei trail.

  • Abilitazione delle notifiche Amazon SNS per la distribuzione dei file di log ai trail.

  • Aggiunta e gestione dei tag per i trail.

• Configurazione degli archivi di dati degli eventi CloudTrail Lake, inclusi:

  • Integrazione degli archivi di dati degli eventi con i partner CloudTrail o con applicazioni di proprietà per registrare eventi da origini esterne ad AWS.

  • Utilizzo delle chiavi AWS KMS per la crittografia dei dati degli archivi di dati degli eventi.

  • Aggiunta e gestione dei tag per gli archivi di dati degli eventi.

A partire dal 12 aprile 2019, i trail saranno visualizzabili solo nelle regioni AWS in cui registrano eventi. Se crei un percorso che registra eventi in tutte le regioni AWS, questo verrà visualizzato nella console in tutte le regioni AWS. Se crei un percorso che registra eventi in una sola regione AWS, puoi visualizzarlo e gestirlo solo in quella regione AWS.

Per ulteriori informazioni su AWS Management Console, consulta AWS Management Console.

CLI di CloudTrail

La AWS Command Line Interface è uno strumento centralizzato che puoi utilizzare per interagire con CloudTrail dalla riga di comando. Per ulteriori informazioni, consulta la Guida per l'utente AWS Command Line Interface. Per un elenco completo dei comandi della CLI di CloudTrail, consulta Comandi disponibili.

API CloudTrail

Oltre alla console e alla CLI, puoi utilizzare anche le API RESTful CloudTrail per programmare CloudTrail direttamente. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.

SDK AWS

In alternativa all'utilizzo dell'API CloudTrail, puoi usare uno degli SDK AWS. Ogni SDK include librerie e codice di esempio per piattaforme e linguaggi di programmazione diversi. Gli SDK rappresentano un sistema comodo per creare un accesso a livello di programmazione a CloudTrail. Ad esempio, puoi utilizzare gli SDK per firmare le richieste a livello di crittografia, gestire gli errori e rieseguire automaticamente le richieste. Per ulteriori informazioni, consulta la pagina Strumenti per Amazon Web Services.

Perché utilizzare i tag per i percorsi?

Un tag è una chiave definita dal cliente e un valore opzionale che è possibile assegnare alle risorse AWS, ad esempio i percorsi CloudTrail, i bucket Amazon S3 utilizzati per archiviare i file di log CloudTrail, le organizzazioni e le unità organizzative AWS Organizations e molto altro. Aggiungendo gli stessi tag ai percorsi e ai bucket Amazon S3 che utilizzi per archiviare i file di log per i percorsi, puoi semplificare la gestione, la ricerca e il filtro di tali risorse con AWS Resource Groups. È possibile implementare strategie di utilizzo dei tag per aiutarti in maniera regolare, efficace e semplice a trovare e gestire le risorse. Per ulteriori informazioni, consulta Strategie di tagging di AWS.

Procedura di controllo dell'accesso a CloudTrail

AWS Identity and Access Management è un servizio Web che consente ai clienti Amazon Web Services (AWS) di gestire utenti e autorizzazioni utente. Utilizza IAM per creare singoli utenti per chiunque abbia necessità di accedere a AWS CloudTrail. Crea un utente IAM per te stesso, assegna a questo utente IAM i privilegi amministrativi e usa tale utente IAM per tutte le operazioni. Creando singoli utenti IAM per le persone che accedono al tuo account, puoi assegnare a ogni utente IAM un set univoco di credenziali di sicurezza. Puoi anche concedere autorizzazioni diverse a ciascun utente IAM. Se necessario, puoi modificare o revocare le autorizzazioni di un utente IAM in qualsiasi momento. Per ulteriori informazioni, consulta Controllo delle autorizzazioni utente per CloudTrail.

Modalità di registrazione degli eventi di gestione e degli eventi di dati

Per impostazione di default, i trail registrano gli eventi di gestione per il tuo account AWS, ma non includono gli eventi di dati. Puoi scegliere di creare o aggiornare i trail in modo che registrino gli eventi di dati. Solo gli eventi che corrispondono alle impostazioni del percorso vengono distribuiti nel bucket Amazon S3 e facoltativamente in un gruppo di log di Amazon CloudWatch Logs. Se l'evento non corrisponde alle impostazioni di un trail, il trail non registra l'evento. Per ulteriori informazioni, consulta Utilizzo dei file di log di CloudTrail.

Registrazione degli eventi CloudTrail Insights

AWS CloudTrail Insights aiuta gli utenti AWS a individuare e a rispondere a volumi insoliti di chiamate API o errori registrati nelle chiamate API grazie a un'analisi continua degli eventi di gestione CloudTrail. Un evento Insights è un registro di livelli insoliti di attività API di gestione write o livelli insoliti di errori restituiti nell'attività dell'API di gestione. La pagina dei dettagli di un evento Insights mostra l'evento in forma di grafico dell'attività insolita, gli orari di inizio e di fine dell'attività insolita e al livello di base utilizzato per determinare se l'attività è insolita. Per impostazione predefinita, i percorsi non registrano gli eventi CloudTrail Insights. Nella console puoi scegliere di registrare gli eventi Insights quando crei o aggiorni un percorso. Quando utilizzi l'API CloudTrail, puoi registrare gli eventi Insights modificando le impostazioni di un percorso esistente con l'API PutInsightSelectors. Per la registrazione degli eventi CloudTrail Insights vengono applicati costi aggiuntivi. Per ulteriori informazioni, consulta Registrazione di eventi Insights per i percorsi e Prezzi di AWS CloudTrail.

Come si eseguono query complesse sugli eventi registrati da CloudTrail?

CloudTrail Lake ti consente di eseguire query dettagliate basate su SQL sui tuoi eventi e di registrarli da origini esterne ad AWS, comprese le tue applicazioni, e dai partner integrati con CloudTrail. Non è necessario configurare un percorso nel tuo account per utilizzare CloudTrail Lake. Gli archivi di dati degli eventi sono raccolte di eventi immutabili in base ai criteri selezionati applicando i selettori di eventi avanzati. Puoi conservare i dati dell'evento in un archivio di dati degli eventi per un massimo di 7 anni. Puoi salvare le query Lake per l'utilizzo futuro e visualizzarne i risultati per un massimo di sette giorni. Puoi anche salvare i risultati delle query in un bucket Amazon Simple Storage Service. Inoltre, CloudTrail Lake può archiviare gli eventi di un'organizzazione in AWS Organizations in un archivio di dati degli eventi, inclusi gli eventi provenienti da regioni e account diversi. CloudTrail Lake fa parte di una soluzione di verifica che consente di eseguire indagini e risolvere i problemi legati alla sicurezza. Per ulteriori informazioni, consulta Utilizzo di AWS CloudTrail Lake.

Modalità di esecuzione del monitoraggio con CloudTrail

CloudWatch Logs, CloudWatch Events e CloudTrail

Amazon CloudWatch è un servizio Web che raccoglie e tiene traccia dei parametri per monitorare le tue risorse Amazon Web Services (AWS) e le applicazioni che esegui su AWS. Amazon CloudWatch Logs è una caratteristica di CloudWatch che puoi utilizzare appositamente per monitorare i dati di log. L'integrazione con CloudWatch Logs consente a CloudTrail di inviare eventi contenenti le attività delle API nel tuo account AWS a un gruppo di log di CloudWatch Logs. Gli eventi CloudTrail inviati a CloudWatch Logs possono attivare allarmi in base ai filtri di parametri definiti. Puoi anche configurare allarmi CloudWatch per inviare notifiche o modificare le risorse sottoposte a monitoraggio in base a eventi dei flussi di log estratti dai filtri di parametri. Utilizzando CloudWatch Logs, puoi anche tenere traccia degli eventi CloudTrail insieme agli eventi del sistema operativo, delle applicazioni o di altri servizi AWS che vengono inviati a CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.

Amazon CloudWatch Events è un servizio AWS che offre un flusso quasi in tempo reale di eventi di sistema che descrivono le modifiche alle risorse AWS. In CloudWatch Events, puoi creare regole che si attivano in base a qualsiasi evento registrato da CloudTrail. Per ulteriori informazioni, consulta Creazione di una regola CloudWatch Events che si attiva in base a una chiamata API di AWS tramite AWS CloudTrail.

Gli eventi Insights sono integrati con CloudWatch. Puoi distribuire gli eventi a cui hai effettuato la sottoscrizione nel tuo percorso, inclusi gli eventi Insights, a CloudWatch Events e CloudWatch Logs. Per configurare CloudWatch Events con la console o con l'API CloudWatch, scegli il tipo di evento AWS Insight via CloudTrail nella pagina Create rule (Crea regola) della console CloudWatch.

L'invio di dati registrati da CloudTrail a CloudWatch Logs o a CloudWatch Events richiede la disponibilità di almeno un percorso. Per ulteriori informazioni su come creare un trail, consulta Creazione di un trail.

Funzionamento di CloudTrail a livello regionale e globale

Un trail può essere valido per tutte le regioni o per una singola regione. Come best practice, crea un percorso valido per tutte le regioni nella partizione AWS in cui stai operando. Questa è l'impostazione predefinita quando crei un percorso nella console CloudTrail.

Nota

Attivare un percorso significa creare un percorso e avviare la distribuzione dei file di log degli eventi di CloudTrail in un bucket Amazon S3. Nella console CloudTrail, la registrazione è attivata automaticamente quando crei un percorso.

Vantaggi di un percorso valido per tutte le regioni

Un trail valido per tutte le regioni AWS è caratterizzato dai seguenti vantaggi:

• Le impostazioni di configurazione per il trail sono valide in modo omogeneo in tutte le regioni AWS.

• Ricevi gli eventi di CloudTrail da tutte le regioni AWS in un unico bucket Amazon S3 e, facoltativamente, in un gruppo di log CloudWatch Logs.

• Puoi gestire la configurazione dei trail per tutte le regioni AWS da un'unica posizione.

• Ricevi immediatamente gli eventi da una nuova regione AWS. Quando viene avviata una nuova regione AWS, CloudTrail crea automaticamente una copia dei percorsi di tutte le regioni nella nuova regione, con le stesse impostazioni del percorso originale.

• Non è necessario creare trail nelle regioni AWS non utilizzate di frequente per monitorare le attività sospette. Qualsiasi attività in qualsiasi regione AWS viene registrata in un trail che si applica a tutte le regioni AWS.

Conseguenze dell'applicazione di un percorso a tutte le regioni

Quando applichi un percorso a tutte le regioni AWS, CloudTrail usa il percorso creato in una determinata regione per creare percorsi con configurazioni identiche in tutte le altre regioni nel tuo account.

Ne consegue che:

• CloudTrail distribuisce i file di log per l'attività dell'account da tutte le regioni AWS in un unico bucket Amazon S3 specificato e, facoltativamente, a un gruppo di log di CloudWatch Logs.

• Se hai configurato un argomento Amazon SNS per il percorso, le notifiche SNS relative alle distribuzioni dei file di log in tutte le regioni AWS vengono inviate solo a quel singolo argomento SNS.

• Se abilitata, la convalida dell'integrità dei file di log risulta attiva per il trail in tutte le regioni AWS. Per informazioni, consultare Convalida dell'integrità dei file di log di CloudTrail.

Indipendentemente dal fatto che un trail si riferisca a una o più Regioni, gli eventi inviati ad Amazon EventBridge vengono ricevuti nel router di eventi di ciascuna Regione anziché in un unico router di eventi.

Più percorsi per regione

In presenza di gruppi di utenti diversi ma correlati tra loro, ad esempio sviluppatori, personale della sicurezza e revisori IT, puoi creare più trail per regione. Ciò consente a ciascun gruppo di ricevere la propria copia dei file di log.

CloudTrail supporta cinque percorsi per regione. Un trail valido per tutte le regioni AWS viene considerato come un unico trail per ogni regione.

L'esempio seguente fa riferimento a una regione con cinque trail:

• Crei due percorsi nella regione Stati Uniti occidentali (California settentrionale), ciascuno dei quali è valido solo per questa regione.

• Crei altri due percorsi nella regione Stati Uniti occidentali (California settentrionale), ciascuno dei quali è valido solo per questa regione AWS.

• Crei un percorso nella regione Asia Pacifico (Sydney), valido per tutte le regioni AWS. Questo percorso esiste anche come percorso nella regione Stati Uniti occidentali (California settentrionale).

I trail appaiono nella regione AWS in cui sono presenti. I trail registrano gli eventi in tutte le regioni AWS appaiono in ogni regione. Puoi visualizzare un elenco dei percorsi in una regione AWS nella pagina Trails (Percorsi) della console CloudTrail. Per ulteriori informazioni, consulta Aggiornamento di un percorso. Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

AWS Security Token Service e CloudTrail

AWS Security Token Service (AWS STS) è un servizio che dispone di un endpoint globale e supporta anche endpoint specifici per le singole regioni. Un endpoint è un URL che rappresenta il punto di partenza per le richieste di un servizio Web. Ad esempio, https://cloudtrail.us-west-2.amazonaws.com è il punto di ingresso per la regione Stati Uniti occidentali (Oregon) per il servizio AWS CloudTrail. Gli endpoint regionali consentono di ridurre la latenza nelle applicazioni.

Quando utilizzi un endpoint AWS STS specifico di una determinata regione, il trail in tale regione distribuisce solo gli eventi AWS STS che si verificano in quella regione. Ad esempio, se utilizzi l'endpoint sts.us-west-2.amazonaws.com, il trail nella regione us-west-2 distribuisce solo gli eventi AWS STS che hanno origine nella regione us-west-2. Per ulteriori informazioni sugli endpoint regionali AWS STS, consulta Attivazione e disattivazione di AWS STS in una regione AWS nella Guida per l'utente IAM.

Per un elenco completo degli endpoint regionali AWS, consulta Regioni ed endpointAWS in Riferimenti generali AWS. Per ulteriori informazioni sugli eventi che hanno origine dall'endpoint AWS STS globale, consulta Eventi dei servizi globali.

Eventi dei servizi globali

Importante

A partire dal 22 novembre 2021, AWS CloudTrail cambierà il modo in cui è possibile utilizzare i percorsi per catturare eventi di servizio globali. Dopo la modifica, gli eventi creati da CloudFront, IAM e AWS STS saranno registrati nella regione in cui sono stati creati, ovvero la regione Stati Uniti orientali (Virginia settentrionale) us-east-1. Ciò rende il trattamento di questi servizi da parte di CloudTrail coerente con quello di altri servizi globali AWS.

Per continuare a ricevere eventi di assistenza globale al di fuori della regione Stati Uniti orientali (Virginia settentrionale), assicurati di convertire i percorsi a regione singola che utilizzano eventi di assistenza globale al di fuori di Stati Uniti orientali (Virginia settentrionale) in percorsi multiregione. Aggiorna anche la regione delle chiamate API degli eventi di ricerca per visualizzare gli eventi del servizio globale. Per ulteriori informazioni sull'utilizzo della CLI per aggiornare o creare percorsi per eventi di servizio globali e per aggiornare gli eventi di ricerca, consulta Visualizzazione degli eventi CloudTrail con la AWS CLI e Utilizzo di update-trail.

Per la maggior parte dei servizi, gli eventi vengono registrati nella regione in cui si è verificata l'operazione. Per i servizi globali, ad esempio AWS Identity and Access Management (IAM), AWS STS e Amazon CloudFront, gli eventi vengono distribuiti in qualsiasi percorso che include servizi globali.

Per la maggior parte dei servizi globali, gli eventi sono registrati come se si verificassero nella regione Stati Uniti orientali (Virginia settentrionale), ma alcuni eventi dei servizi globali sono registrati come se si verificassero in altre regioni, come Stati Uniti orientali (Ohio) o Stati Uniti occidentali (Oregon).

Per evitare la ricezione di eventi di servizi globali duplicati, considerare quanto segue:

• Gli eventi dei servizi globali vengono distribuiti per impostazione predefinita ai percorsi creati utilizzando la console CloudTrail. Gli eventi vengono distribuiti nel bucket associato al trail.

• In presenza di più trail validi per una singola regione, valuta l'ipotesi di configurare i trail in modo che gli eventi di servizi globali vengano distribuiti solo in uno dei trail. Per ulteriori informazioni, consulta Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale.

• Se modifichi la configurazione di un trail dalla registrazione di tutte le regioni alla registrazione di un'unica regione, la registrazione degli eventi dei servizi globali viene disattivata automaticamente per tale trail. In modo analogo, se modifichi la configurazione di un trail dalla registrazione di un'unica regione alla registrazione di tutte le regioni, la registrazione degli eventi dei servizi globali viene attivata automaticamente per tale trail.

  Per ulteriori informazioni sulla modifica della registrazione degli eventi dei servizi globali per un trail, consulta Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale.

Esempio:

1. Crei un percorso nella console CloudTrail. Per impostazione di default, questo trail registra gli eventi dei servizi globali.

2. Disponi di più trail validi per un'unica regione.

3. Non devi includere i servizi globali per i trail validi in un'unica regione. Gli eventi dei servizi globali vengono distribuiti al primo trail. Per ulteriori informazioni, consulta Creazione, aggiornamento e gestione di percorsi con AWS Command Line Interface.

Nota

Quando crei o aggiorni un percorso con la AWS CLI, gli SDK AWS o l'API CloudTrail, puoi specificare se includere o escludere gli eventi dei servizi globali per i percorsi. Non puoi configurare la registrazione degli eventi dei servizi globali dalla console CloudTrail.

Relazione tra CloudTrail e gli altri servizi di monitoraggio AWS

CloudTrail aggiunge un'altra dimensione alle funzionalità di monitoraggio disponibili in AWS. Non modifica né sostituisce le caratteristiche di registrazione che stai già utilizzando, ad esempio quelle per le sottoscrizioni Amazon S3 o Amazon CloudFront. Amazon CloudWatch è incentrato sul monitoraggio delle prestazioni e dello stato di integrità del sistema. CloudTrail è incentrato sulle attività delle API. Anche se CloudTrail non genera report sulle prestazioni o sullo stato di integrità del sistema, puoi utilizzarlo con gli allarmi CloudWatch per inviare notifiche relative alle attività che ti potrebbero interessare.

Soluzioni dei partner

AWS si avvale di esperti di processi di registrazione e analisi di terza parte per fornire soluzioni che utilizzano l'output di CloudTrail. Per ulteriori informazioni, consulta la pagina dei dettagli di CloudTrail in AWS CloudTrail.