Copia di eventi traccia in CloudTrail Lake
Puoi copiare gli eventi traccia esistenti in un archivio dati degli eventi CloudTrail Lake per creare una snapshot temporizzata degli eventi registrati nella traccia. La copia degli eventi traccia non interferisce con la capacità della traccia di registrare gli eventi e non modifica in alcun modo la traccia.
Se stai copiando gli eventi del trail in un archivio dati di eventi dell'organizzazione, dovrai utilizzare l'account di gestione dell'organizzazione. Non puoi copiare gli eventi del trail utilizzando l'account dell'amministratore delegato di un'organizzazione.
La copia di eventi traccia in un archivio dati degli eventi CloudTrail Lake consente di eseguire query sugli eventi copiati. Le query CloudTrail Lake offrono una visione più approfondita e personalizzabile degli eventi rispetto alle semplici ricerche tramite chiave e valore nella cronologia degli eventi, o all'esecuzione di LookupEvents. Per ulteriori informazioni su CloudTrail Lake, consultare Utilizzo di AWS CloudTrail Lake.
Prima di copiare eventi traccia in CloudTrail Lake, crea o prepara un archivio dati degli eventi.
Dopo aver copiato gli eventi traccia in Lake, potrebbe essere opportuno disattivare la registrazione della traccia per evitare costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail
Argomenti
Considerazioni
Quando copi eventi traccia, considera i fattori seguenti.
-
Quando copi gli eventi traccia in un archivio dati degli eventi, CloudTrail copia tutti gli eventi traccia, indipendentemente dalla configurazione dei tipi di eventi, dai selettori di eventi avanzati o della regione dell'archivio dati degli eventi di destinazione.
-
Prima di copiare gli eventi traccia, controlla il periodo di conservazione dell'archivio dati degli eventi. CloudTrail copia solo gli eventi traccia che rientrano nel periodo di conservazione dell'archivio dati degli eventi. Ad esempio, se il periodo di conservazione di un archivio dati degli eventi è 90 giorni, CloudTrail non copierà alcun evento traccia più vecchio di 90 giorni.
-
Prima di copiare gli eventi traccia, disattiva tutte le liste di controllo degli accessi (ACL) collegate al bucket S3 di origine e aggiorna la policy del bucket S3 per l'archivio dati degli eventi di destinazione. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia. Per ulteriori informazioni sulla disabilitazione delle liste di controllo degli accessi (ACL), consulta Controllo della proprietà degli oggetti e disabilitazione delle liste di controllo degli accessi (ACL) per il bucket.
-
CloudTrail copia eventi traccia solo dai file di registro compressi Gzip che si trovano nel bucket S3 di origine. CloudTrail non copia eventi traccia da file di log non compressi o da file di log compressi utilizzando un formato diverso da Gzip.
-
Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, per gli eventi copiati scegli un intervallo di tempo precedente alla creazione dell'archivio dati degli eventi.
-
Per impostazione predefinita, CloudTrail copia solo gli eventi CloudTrail contenuti nel prefisso
CloudTraildel bucket S3 e i prefissi all'interno del prefissoCloudTraile non controlla i prefissi per altri servizi AWS. Se si desidera copiare gli eventi CloudTrail contenuti in un altro prefisso, è necessario scegliere il prefisso quando si copiano gli eventi traccia. -
Per copiare gli eventi del trail in un archivio dati di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. Non puoi utilizzare l'account dell'amministratore delegato per copiare gli eventi di trail in un archivio dati di eventi di un'organizzazione.
Autorizzazioni necessarie per la copia di eventi traccia
Prima di copiare eventi traccia, accertati di disporre di tutte le autorizzazioni necessarie per il tuo ruolo IAM e il bucket S3 dell'archivio dati degli eventi. Devi aggiornare le autorizzazioni del ruolo IAM solo se scegli un ruolo IAM esistente per la copia di eventi traccia. Se scegli di creare un nuovo ruolo IAM, CloudTrail fornisce tutte le autorizzazioni necessarie per il ruolo.
Se il bucket S3 di origine utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy della chiave KMS consente a CloudTrail di decrittare i dati nel bucket. Se il bucket S3 di origine utilizza più chiavi KMS, dovrai aggiornare la policy di ogni chiave per consentire a CloudTrail di decrittare i dati nel bucket.
Argomenti
Autorizzazioni IAM per la copia di eventi traccia
Quando copi eventi traccia, puoi creare un nuovo ruolo IAM o utilizzare un ruolo IAM esistente. Quando scegli un nuovo ruolo IAM, CloudTrail crea un ruolo IAM con le autorizzazioni richieste e non occorrono ulteriori azioni da parte tua.
Se scegli un ruolo esistente, accertati che le policy dei ruoli IAM consentano a CloudTrail di copiare eventi traccia nell'archivio dati degli eventi di destinazione. Questa sezione fornisce esempi delle policy di attendibilità e di autorizzazione necessarie al ruolo IAM.
L'esempio seguente fornisce la policy delle autorizzazioni che consente a CloudTrail di copiare eventi traccia nel bucket S3 dell'archivio dati degli eventi. Sostituisci myBucketName, myAccountID, region, prefix e eventDataStoreArn con i valori appropriati per la tua configurazione. myAccountID è l'ID account AWS utilizzato per CloudTrail Lake e non può essere lo stesso ID account AWS per il bucket S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": ["s3:ListBucket", "s3:GetBucketAcl"], "Resource": [ "arn:aws:s3:::myBucketName" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } }, { "Sid": "AWSCloudTrailImportObjectAccess", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::myBucketName/prefix", "arn:aws:s3:::myBucketName/prefix/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } } ] }
L'esempio seguente fornisce la policy di attendibilità IAM che consente a CloudTrail di assumere un ruolo IAM per la copia di eventi traccia nel bucket S3 dell'archivio dati degli eventi. Sostituisci myAccountID, region e eventDataStoreArn con i valori appropriati per la tua configurazione. myAccountID è l'ID account AWS utilizzato per CloudTrail Lake e non può essere lo stesso ID account AWS per il bucket S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } } ] }
Policy del bucket Amazon S3 per la copia di eventi traccia
Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.
Prima di copiare eventi traccia, devi aggiornare la policy del bucket S3 per l'archivio dati degli eventi di destinazione per consentire a CloudTrail la copia di eventi traccia nel bucket.
Puoi aggiungere l'istruzione seguente alla policy del bucket S3 dell'archivio dati degli eventi per concedere queste autorizzazioni. Sostituisci roleArn e myBucketName con i valori appropriati per la tua configurazione.
{ "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObject" ], "Principal": { "AWS": "roleArn" }, "Resource": [ "arn:aws:s3:::myBucketName", "arn:aws:s3:::myBucketName/*" ] },
Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine
Se il bucket S3 di origine utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy della chiave KMS consente a CloudTrail di decrittare i dati nel bucket. Se il bucket S3 di origine utilizza più chiavi KMS, dovrai aggiornare la policy di ogni chiave per consentire a CloudTrail di decrittare i dati nel bucket. L'aggiornamento della chiave della policy KMS consente a CloudTrail di decrittare i dati nel bucket S3 di origine, eseguire controlli di convalida per verificare la conformità degli eventi agli standard di CloudTrail e copiare eventi nell'archivio dati di eventi di CloudTrail Lake.
L'esempio seguente fornisce la policy delle chiavi KMS che consente a CloudTrail di decrittare i dati nel bucket S3 di origine. Sostituisci roleArn, myBucketName, myAccountID, region e eventDataStoreArn con i valori appropriati per la tua configurazione. myAccountID è l'ID account AWS utilizzato per CloudTrail Lake e non può essere lo stesso ID account AWS per il bucket S3.
{ "Sid": "AWSCloudTrailImportDecrypt", "Effect": "Allow", "Action": "kms:Decrypt", "Principal": { "AWS": "roleArn" }, "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::myBucketName/*" }, "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } }
Copiare eventi traccia in CloudTrail Lake utilizzando la console CloudTrail
Utilizzare la procedura seguente per copiare eventi traccia in CloudTrail Lake.
-
Accedi alla AWS Management Console e apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/
. -
Nel riquadro di navigazione a sinistra della console CloudTrail, scegliere Tracce.
-
Nella pagina Trails (Percorsi), scegliere il percorso, quindi Copy events to Lake (Copia eventi in Lake). Se il bucket S3 di origine per il trail utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy della chiave KMS consente a CloudTrail di decrittare i dati nel bucket. Se il bucket S3 di origine utilizza più chiavi KMS, dovrai aggiornare la policy di ogni chiave per consentire a CloudTrail di decrittare i dati nel bucket. Per ulteriori informazioni sull'aggiornamento della policy delle chiavi KMS, consulta Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine.
-
(Opzionale) Per impostazione predefinita, CloudTrail copia solo gli eventi CloudTrail contenuti nel prefisso
CloudTraildel bucket S3 e i prefissi all'interno del prefissoCloudTraile non controlla i prefissi per altri servizi AWS. Se si desidera copiare gli eventi CloudTrail contenuti in un altro prefisso, scegliere Inserisci URI S3, quindi scegliere Sfoglia S3 per cercare il prefisso. -
(Facoltativo) Per Origine evento, scegli l'intervallo di tempo per la copia degli eventi. Se si sceglie un intervallo di tempo, CloudTrail controlla il prefisso e il nome del file di log per verificare che il nome contenga una data compresa tra la data di inizio e quella di fine scelte prima di tentare di copiare gli eventi di trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.
Se si sceglie Intervallo relativo, è possibile decidere di copiare gli eventi registrati negli ultimi 5 minuti, 30 minuti, 1 ora, 6 ore o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.
Se si sceglie Absolute range (Intervallo assoluto), è possibile decidere una data di inizio e una data di fine specifiche. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.
-
Per Luogo di distribuzione, scegli l'archivio dati degli eventi di destinazione dall'elenco a discesa. La policy del bucket S3 per l'archivio dati degli eventi deve consentire a CloudTrail l'accesso per la copia degli eventi traccia nel bucket. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia.
-
Per Autorizzazioni, scegli una delle opzioni seguenti del ruolo IAM. Se scegli un ruolo IAM esistente, accertati che la policy dei ruoli IAM fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni del ruolo IAM, consultare Autorizzazioni IAM per la copia di eventi traccia
Scegli Creare un nuovo ruolo (consigliato) per creare un nuovo ruolo IAM. Per Inserisci nome ruolo IAM, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.
Scegli Usa un ruolo IAM personalizzato per utilizzare un ruolo IAM personalizzato non incluso nell'elenco. Per Inserisci ARN ruolo IAM, inserisci l'ARN IAM.
Scegli Usa un ruolo esistente per selezionare un ruolo IAM esistente dall'elenco a discesa.
-
Scegli Copia eventi.
-
Viene chiesto di confermare la copia. Quando sei pronto a confermare, scegli Copia eventi traccia in Lake, quindi Copia eventi.
-
Nella pagina Dettagli copia, puoi visualizzare lo stato della copia ed esaminare eventuali errori. Quando la copia di un evento traccia viene completata, il relativo Stato copia viene impostato su Completato in assenza di errori o su Non riuscito se si sono verificati errori.
Nota I dettagli mostrati nella pagina dei dettagli della copia dell'evento non sono in tempo reale. I valori effettivi per dettagli come Prefixes copied (Prefissi copiati) possono essere superiori a quelli mostrati nella pagina. CloudTrail aggiorna i dettagli in modo incrementale nel corso della copia dell'evento.
-
Se Stato copia è Non riuscito, correggi eventuali errori mostrati in Errori di copia e scegli Riprova la copia. Quando riprovi una copia, CloudTrail riprende la copia nella posizione in cui si è verificato l'errore.
Per ulteriori informazioni sulla visualizzazione dei dettagli di una copia evento traccia, consulta Dettagli della copia dell'evento.
