Copia di eventi traccia in un archivio dati degli eventi - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Copia di eventi traccia in un archivio dati degli eventi

Puoi copiare gli eventi del trail in un data store di eventi CloudTrail Lake per creare un' point-in-time istantanea degli eventi registrati nel percorso. La copia degli eventi traccia non interferisce con la capacità del percorso di registrare gli eventi e non modifica in alcun modo il percorso.

Puoi copiare gli eventi del trail in un data store di eventi esistente configurato per CloudTrail gli eventi oppure puoi creare un nuovo CloudTrail event data store e scegliere l'opzione Copia gli eventi del trail come parte della creazione del data store degli eventi. Per ulteriori informazioni sulla copia degli eventi di percorso in un datastore di eventi esistente, consulta Copiare eventi del percorso in un datastore di eventi esistente. Per ulteriori informazioni sulla creazione di un nuovo datastore di eventi, consulta Crea un archivio dati di CloudTrail eventi per gli eventi.

Se stai copiando gli eventi del trail in un datastore di eventi dell'organizzazione, dovrai utilizzare l'account di gestione dell'organizzazione. Non puoi copiare gli eventi del trail utilizzando l'account dell'amministratore delegato di un'organizzazione.

CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrailPrezzi e. Gestione dei costi CloudTrail del lago

Quando copi gli eventi del trail in un CloudTrail Lake Event Data Store, ti vengono addebitati dei costi in base alla quantità di dati non compressi che l'Event Data Store acquisisce.

Quando copi gli eventi del trail su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso) e quindi copia gli eventi contenuti nei log nel tuo archivio dati degli eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di S3. Per avere una stima generale della dimensione dei dati non compressi, puoi moltiplicare la dimensione dei log nel bucket S3 per 10.

È possibile ridurre i costi specificando un intervallo di tempo più ristretto per gli eventi copiati. Se intendi utilizzare il datastore di eventi solo per le query sugli eventi copiati, puoi disattivare l'importazione degli eventi ed evitare così di incorrere in addebiti per eventi futuri. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

Scenari

La tabella seguente descrive alcuni scenari comuni per la copia degli eventi di percorso e come realizzare ogni scenario utilizzando la console.

Scenario Come posso eseguire questa operazione nella console?

Analizza e interroga gli eventi storici del trail in Lake senza importare nuovi eventi CloudTrail

Crea un nuovo datastore di eventi e scegli l'opzione Copia gli eventi del percorso come parte della creazione del datastore di eventi. Durante la creazione del datastore di eventi, deseleziona Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.

Sostituisci il percorso esistente con un archivio dati sugli eventi di CloudTrail Lake

Crea un datastore di eventi con gli stessi selettori di eventi del tuo percorso per assicurarti che il datastore di eventi abbia la stessa copertura del tuo percorso.

Per evitare la duplicazione degli eventi tra il percorso di origine e il datastore di eventi di destinazione, scegli un intervallo di date per gli eventi copiati che sia precedente alla creazione del datastore di eventi.

Dopo la creazione del datastore di eventi, potrai disattivare la registrazione per il percorso ed evitare così costi aggiuntivi.

Considerazioni sulla copia di eventi di percorso

Quando copi eventi traccia, considera i fattori seguenti.

  • Quando copi gli eventi del trail, CloudTrail utilizza l'operazione GetObjectAPI S3 per recuperare gli eventi del trail nel bucket S3 di origine. Esistono alcune classi di archiviazione archiviata di S3, come i livelli recupero flessibile S3 Glacier, Deep Archive S3 Glacier, S3 Outposts e Deep Archive Piano intelligente Amazon S3 che non sono accessibili tramite l'utilizzo di GetObject. Per copiare gli eventi di percorso archiviati in queste classi di archiviazione archiviate, devi prima ripristinare una copia utilizzando l'operazione S3 RestoreObject. Per informazioni sul ripristino di oggetti archiviati, consulta Ripristino di oggetti archiviati nella Guida per l'utente di Amazon S3.

  • Quando copi gli eventi di trail in un event data store, CloudTrail copia tutti gli eventi di trail indipendentemente dalla configurazione dei tipi di eventi dell'event data store di destinazione, dai selettori di eventi avanzati o. Regione AWS

  • Prima di copiare gli eventi del percorso in un datastore di eventi esistente, assicurati che l'opzione di prezzo e il periodo di conservazione del datastore di eventi siano configurati correttamente per il tuo caso d'uso.

    • Opzione di prezzo: l'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi. Per ulteriori informazioni su opzioni di prezzo, consulta Prezzi AWS CloudTrail e Opzioni di prezzo del datastore di eventi.

    • Periodo di conservazione: il periodo di conservazione determina per quanto tempo i dati degli eventi vengono conservati nell'archivio dati degli eventi. CloudTrail copia solo gli eventi trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'Event Data Store (periodo di conservazione = oldest-event-in-days+ number-days-to-retain). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

  • Se stai copiando gli eventi di percorso in un datastore di eventi per analizzarli e non desideri importare eventi futuri, puoi interrompere l'importazione nel datastore. Durante la creazione del datastore di eventi, deseleziona l'opzione Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.

  • Prima di copiare gli eventi traccia, disattiva tutte le liste di controllo degli accessi (ACL) collegate al bucket S3 di origine e aggiorna la policy del bucket S3 per l'archivio dati degli eventi di destinazione. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia. Per ulteriori informazioni sulla disabilitazione delle ACL, consulta Controllo della proprietà degli oggetti e disabilitazione delle ACL per il bucket nella Guida per l'utente di Amazon S3.

  • CloudTrail copia solo gli eventi trail dai file di registro compressi con Gzip che si trovano nel bucket S3 di origine. CloudTrail non copia gli eventi di trail da file di log non compressi o da file di log compressi utilizzando un formato diverso da Gzip.

  • Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, per gli eventi copiati scegli un intervallo di tempo precedente alla creazione dell'archivio dati degli eventi.

  • Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i CloudTrail prefissi all'interno del prefisso e non controlla i prefissi per CloudTrail altri servizi. AWS Se desideri copiare CloudTrail gli eventi contenuti in un altro prefisso, devi scegliere il prefisso quando copi gli eventi trail.

  • Per copiare gli eventi del trail in un datastore di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. L'account dell'amministratore delegato non può copiare gli eventi di trail in un archivio dati di eventi di un'organizzazione.

Autorizzazioni necessarie per la copia di eventi traccia

Prima di copiare eventi di percorso, accertati di disporre di tutte le autorizzazioni necessarie per il ruolo IAM e il bucket S3 del datastore di eventi. Devi aggiornare le autorizzazioni del ruolo IAM solo se scegli un ruolo IAM esistente per la copia di eventi traccia. Se scegli di creare un nuovo ruolo IAM, CloudTrail fornisce tutte le autorizzazioni necessarie per il ruolo.

Se il bucket S3 di origine utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy della chiave KMS CloudTrail consenta di decrittografare i dati nel bucket. Se il bucket S3 di origine utilizza più chiavi KMS, devi aggiornare la policy di ciascuna chiave per consentire la decrittografia dei dati nel bucket. CloudTrail

Autorizzazioni IAM per la copia di eventi traccia

Quando copi eventi traccia, puoi creare un nuovo ruolo IAM o utilizzare un ruolo IAM esistente. Quando scegli un nuovo ruolo IAM, CloudTrail crea un ruolo IAM con le autorizzazioni richieste e non sono necessarie ulteriori azioni da parte tua.

Se scegli un ruolo esistente, assicurati che le policy del ruolo IAM consentano di CloudTrail copiare gli eventi trail nel data store degli eventi di destinazione. Questa sezione fornisce esempi delle policy di attendibilità e di autorizzazione necessarie al ruolo IAM.

L'esempio seguente fornisce la politica di autorizzazione, che consente di copiare CloudTrail gli eventi di trail nel bucket S3 dell'event data store. Sostituisci myBucketNamemyAccountID, region, prefix e eventDataStore Id con i valori appropriati per la tua configurazione. MyAccountID è l'ID dell'AWSaccount utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell'AWSaccount per il bucket S3.

Sostituisci key-region, keyAccountID e keyID con i valori per la chiave KMS utilizzata per crittografare il bucket S3 di origine. Se il bucket S3 di origine non utilizza una chiave KMS per la crittografia, puoi omettere l'istruzione AWSCloudTrailImportKeyAccess.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": ["s3:ListBucket", "s3:GetBucketAcl"], "Resource": [ "arn:aws:s3:::myBucketName" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }, { "Sid": "AWSCloudTrailImportObjectAccess", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::myBucketName/prefix", "arn:aws:s3:::myBucketName/prefix/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }, { "Sid": "AWSCloudTrailImportKeyAccess", "Effect": "Allow", "Action": ["kms:GenerateDataKey","kms:Decrypt"], "Resource": [ "arn:aws:kms:key-region:keyAccountID:key/keyID" ] } ] }

L'esempio seguente fornisce la policy di fiducia IAM, che consente di CloudTrail assumere un ruolo IAM per copiare gli eventi trail nel bucket S3 dell'Event Data Store. Sostituisci myAccountID, region e eventDataStoreArn con i valori appropriati per la tua configurazione. MyAccountID è l'ID dell'AWSaccount utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell'AWSaccount per il bucket S3.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } } ] }

Policy del bucket Amazon S3 per la copia di eventi traccia

Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Prima di copiare gli eventi di trail, devi aggiornare la policy del bucket S3 per l'archivio dati degli eventi di destinazione per consentire CloudTrail la copia degli eventi di trail nel bucket.

Puoi aggiungere l'istruzione seguente alla policy del bucket S3 dell'archivio dati degli eventi per concedere queste autorizzazioni. Sostituisci ROLearn e myBucketNamecon i valori appropriati per la tua configurazione.

{ "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObject" ], "Principal": { "AWS": "roleArn" }, "Resource": [ "arn:aws:s3:::myBucketName", "arn:aws:s3:::myBucketName/*" ] },

Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine

Se il bucket S3 di origine utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy delle chiavi KMS fornisca le autorizzazioni kms:Decrypt e le kms:GenerateDataKey autorizzazioni necessarie per copiare gli eventi di trail da un bucket S3 CloudTrail con la crittografia SSE-KMS abilitata. Se il bucket S3 di origine utilizza più chiavi KMS, è necessario aggiornare la policy di ogni chiave. L'aggiornamento della policy delle chiavi KMS consente di decrittografare i dati nel bucket S3 di origine, eseguire controlli di convalida CloudTrail per garantire che gli eventi siano conformi agli standard e copiare gli eventi nel Lake Event Data Store. CloudTrail CloudTrail

L'esempio seguente fornisce la politica delle chiavi KMS, che consente di CloudTrail decrittografare i dati nel bucket S3 di origine. Sostituisci ROLearn myBucketName, myAccountID, region e eventDataStore Id con i valori appropriati per la tua configurazione. MyAccountID è l'ID dell'AWSaccount utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell'AWSaccount per il bucket S3.

{ "Sid": "AWSCloudTrailImportDecrypt", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Principal": { "AWS": "roleArn" }, "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::myBucketName/*" }, "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId" } } }

Copiare eventi del percorso in un datastore di eventi esistente

Utilizza la procedura seguente per copiare eventi di percorso in un datastore di eventi esistente. Per ulteriori informazioni su come creare un nuovo datastore di eventi, consulta Crea un archivio dati di CloudTrail eventi per gli eventi.

Nota

Prima di copiare gli eventi del percorso in un datastore di eventi esistente, assicurati che l'opzione di prezzo e il periodo di conservazione del datastore di eventi siano configurati correttamente per il tuo caso d'uso.

  • Opzione di prezzo: l'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi. Per ulteriori informazioni su opzioni di prezzo, consulta Prezzi AWS CloudTrail e Opzioni di prezzo del datastore di eventi.

  • Periodo di conservazione: il periodo di conservazione determina per quanto tempo i dati degli eventi vengono conservati nell'archivio dati degli eventi. CloudTrail copia solo gli eventi trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'Event Data Store (periodo di conservazione = oldest-event-in-days+ number-days-to-retain). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

Per copiare eventi del percorso in un datastore di eventi
  1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Scegliere Copy trail events (Copia eventi traccia).

  4. Nella pagina Copy trail events (Copia eventi traccia), per Event source (Origine evento) scegliere il percorso da copiare. Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel CloudTrail prefisso del bucket S3 e i prefissi all'interno del prefisso e non controlla i CloudTrail prefissi per altri servizi. AWS Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli Inserisci URI S3, quindi scegli Browse S3 per cercare il prefisso. Se il bucket S3 di origine per il percorso utilizza una chiave KMS per la crittografia dei dati, assicurati che la politica della chiave KMS consenta di decrittografare i dati. CloudTrail Se il tuo bucket S3 di origine utilizza più chiavi KMS, devi aggiornare la policy di ciascuna chiave per consentire la decrittografia dei dati nel bucket. CloudTrail Per ulteriori informazioni sull'aggiornamento della policy delle chiavi KMS, consulta Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine.

  5. Per Event source, scegli l'intervallo di tempo per copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.

    Nota

    CloudTrail copia solo gli eventi di trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Ad esempio, se il periodo di conservazione di un Event Data Store è di 90 giorni, non CloudTrail copierà alcun evento di trail con una data eventTime più vecchia di 90 giorni.

    • Se scegli Intervallo relativo, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.

    • Se scegli l'intervallo assoluto, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.

  6. Per Luogo di distribuzione, scegli l'archivio dati degli eventi di destinazione dall'elenco a discesa. La policy del bucket S3 per l'event data store deve concedere CloudTrail l'accesso per copiare gli eventi di trail nel bucket. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia.

  7. Per Autorizzazioni, scegli una delle opzioni seguenti del ruolo IAM. Se scegli un ruolo IAM esistente, accertati che la policy dei ruoli IAM fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni del ruolo IAM, consultare Autorizzazioni IAM per la copia di eventi traccia

    • Scegli Creare un nuovo ruolo (consigliato) per creare un nuovo ruolo IAM. Per Inserisci nome ruolo IAM, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.

    • Scegli Usa un ruolo IAM personalizzato per utilizzare un ruolo IAM personalizzato non incluso nell'elenco. Per Inserisci ARN ruolo IAM, inserisci l'ARN IAM.

    • Scegli Usa un ruolo esistente per selezionare un ruolo IAM esistente dall'elenco a discesa.

  8. Scegli Copia eventi.

  9. Viene chiesto di confermare. Quando sei pronto a confermare, scegli Copia eventi traccia in Lake, quindi Copia eventi.

  10. Nella pagina Dettagli copia, puoi visualizzare lo stato della copia ed esaminare eventuali errori. Quando la copia di un evento traccia viene completata, il relativo Stato copia viene impostato su Completato in assenza di errori o su Non riuscito se si sono verificati errori.

    Nota

    I dettagli mostrati nella pagina dei dettagli della copia dell'evento non sono in tempo reale. I valori effettivi per dettagli come Prefixes copied (Prefissi copiati) possono essere superiori a quelli mostrati nella pagina. CloudTrail aggiorna i dettagli in modo incrementale nel corso della copia dell'evento.

  11. Se Stato copia è Non riuscito, correggi eventuali errori mostrati in Errori di copia e scegli Riprova la copia. Quando si riprova una copia, la CloudTrail riprende nella posizione in cui si è verificato l'errore.

Per ulteriori informazioni sulla visualizzazione dei dettagli di una copia evento traccia, consulta Dettagli della copia dell'evento.