Copiare gli eventi del percorso su CloudTrail Lake - AWS CloudTrail
Considerazioni sulla copia di eventi di percorsoAutorizzazioni necessarie per la copia di eventi traccia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Copiare gli eventi del percorso su CloudTrail Lake

È possibile copiare gli eventi del percorso esistenti in un archivio dati di eventi CloudTrail Lake per creare un' point-in-timeistantanea degli eventi registrati nel percorso. La copia degli eventi traccia non interferisce con la capacità della traccia di registrare gli eventi e non modifica in alcun modo la traccia.

Puoi copiare gli eventi del trail in un data store di eventi esistente configurato per CloudTrail gli eventi oppure puoi creare un nuovo CloudTrail event data store e scegliere l'opzione Copia gli eventi del trail come parte della creazione del data store degli eventi. Per ulteriori informazioni sulla copia degli eventi di percorso in un datastore di eventi esistente, consulta Copia gli eventi del trail in un data store di eventi esistente utilizzando la console CloudTrail . Per ulteriori informazioni sulla creazione di un nuovo datastore di eventi, consulta Crea un archivio dati di CloudTrail eventi per gli eventi con la console.

La copia degli eventi del trail in un data store di eventi CloudTrail Lake consente di eseguire query sugli eventi copiati. CloudTrail Le query Lake offrono una visione più approfondita e personalizzabile degli eventi rispetto alle semplici ricerche di chiavi e valori nella cronologia degli eventi o in esecuzione. LookupEvents Per ulteriori informazioni su CloudTrail Lake, vedere. Lavorare con AWS CloudTrail Lake

Se stai copiando gli eventi del trail in un datastore di eventi dell'organizzazione, dovrai utilizzare l'account di gestione dell'organizzazione. Non puoi copiare gli eventi del trail utilizzando l'account dell'amministratore delegato di un'organizzazione.

CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

Quando copi gli eventi del trail in un CloudTrail Lake Event Data Store, ti vengono addebitati dei costi in base alla quantità di dati non compressi che l'Event Data Store acquisisce.

Quando copi gli eventi del trail su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso) e quindi copia gli eventi contenuti nei log nel tuo archivio dati degli eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di S3. Per avere una stima generale della dimensione dei dati non compressi, puoi moltiplicare la dimensione dei log nel bucket S3 per 10.

È possibile ridurre i costi specificando un intervallo di tempo più ristretto per gli eventi copiati. Se intendi utilizzare il datastore di eventi solo per le query sugli eventi copiati, puoi disattivare l'importazione degli eventi ed evitare così di incorrere in addebiti per eventi futuri. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

Scenari

La tabella seguente descrive alcuni scenari comuni per la copia degli eventi di percorso e come realizzare ogni scenario utilizzando la console.

Scenario Come posso eseguire questa operazione nella console?

Analizza e interroga gli eventi storici del trail in Lake senza importare nuovi eventi CloudTrail

Crea un nuovo datastore di eventi e scegli l'opzione Copia gli eventi del percorso come parte della creazione del datastore di eventi. Durante la creazione del datastore di eventi, deseleziona Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.

Sostituisci il percorso esistente con un archivio dati sugli eventi di CloudTrail Lake

Crea un datastore di eventi con gli stessi selettori di eventi del tuo percorso per assicurarti che il datastore di eventi abbia la stessa copertura del tuo percorso.

Per evitare la duplicazione degli eventi tra il percorso di origine e il datastore di eventi di destinazione, scegli un intervallo di date per gli eventi copiati che sia precedente alla creazione del datastore di eventi.

Dopo la creazione del datastore di eventi, potrai disattivare la registrazione per il percorso ed evitare così costi aggiuntivi.
Argomenti

Considerazioni sulla copia di eventi di percorso

Quando copi eventi traccia, considera i fattori seguenti.

  • Quando si copiano gli eventi del trail, CloudTrail utilizza l'GetObjectAPIoperazione S3 per recuperare gli eventi del trail nel bucket S3 di origine. Esistono alcune classi di archiviazione archiviata di S3, come i livelli recupero flessibile S3 Glacier, Deep Archive S3 Glacier, S3 Outposts e Deep Archive Piano intelligente Amazon S3 che non sono accessibili tramite l'utilizzo di GetObject. Per copiare gli eventi di percorso archiviati in queste classi di archiviazione archiviate, devi prima ripristinare una copia utilizzando l'operazione S3 RestoreObject. Per informazioni sul ripristino di oggetti archiviati, consulta Ripristino di oggetti archiviati nella Guida per l'utente di Amazon S3.

  • Quando copi gli eventi di trail in un event data store, CloudTrail copia tutti gli eventi di trail indipendentemente dalla configurazione dei tipi di eventi dell'Event Data Store di destinazione, dai selettori di eventi avanzati o. Regione AWS

  • Prima di copiare gli eventi del percorso in un datastore di eventi esistente, assicurati che l'opzione di prezzo e il periodo di conservazione del datastore di eventi siano configurati correttamente per il tuo caso d'uso.

    • Opzione di prezzo: l'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi. Per ulteriori informazioni su opzioni di prezzo, consulta Prezzi AWS CloudTrail e Opzioni di prezzo del datastore di eventi.

    • Periodo di conservazione: il periodo di conservazione determina per quanto tempo i dati degli eventi vengono conservati nell'archivio dati degli eventi. CloudTrail copia solo gli eventi trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'Event Data Store (periodo di conservazione = oldest-event-in-days + number-days-to-retain). Ad esempio, se l'evento più vecchio che stai copiando risale a 45 giorni fa e desideri conservare gli eventi nell'archivio dati degli eventi per altri 45 giorni, imposterai il periodo di conservazione su 90 giorni.

  • Se stai copiando gli eventi di percorso in un datastore di eventi per analizzarli e non desideri importare eventi futuri, puoi interrompere l'importazione nel datastore. Durante la creazione del datastore di eventi, deseleziona l'opzione Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.

  • Prima di copiare gli eventi trail, disabilita tutte le liste di controllo degli accessi (ACLs) allegate al bucket S3 di origine e aggiorna la policy del bucket S3 per il data store degli eventi di destinazione. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia. Per ulteriori informazioni sulla disabilitazioneACLs, consulta Controllo della proprietà degli oggetti e disabilitazione del bucket. ACLs

  • CloudTrail copia solo gli eventi trail dai file di registro compressi con Gzip che si trovano nel bucket S3 di origine. CloudTrail non copia gli eventi di trail da file di registro non compressi o file di registro compressi utilizzando un formato diverso da Gzip.

  • Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, per gli eventi copiati scegli un intervallo di tempo precedente alla creazione dell'archivio dati degli eventi.

  • Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i CloudTrail prefissi all'interno del prefisso e non controlla i prefissi per CloudTrail altri servizi. AWS Se desideri copiare CloudTrail gli eventi contenuti in un altro prefisso, devi scegliere il prefisso quando copi gli eventi trail.

  • Per copiare gli eventi del trail in un datastore di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. Non puoi utilizzare l'account dell'amministratore delegato per copiare gli eventi di trail in un archivio dati di eventi di un'organizzazione.

Autorizzazioni necessarie per la copia di eventi traccia

Prima di copiare gli eventi del trail, assicuratevi di disporre di tutte le autorizzazioni necessarie per il vostro ruolo. IAM È necessario aggiornare le autorizzazioni del IAM ruolo solo se si sceglie un IAM ruolo esistente per copiare gli eventi del trail. Se scegli di creare un nuovo IAM ruolo, CloudTrail fornisce tutte le autorizzazioni necessarie per il ruolo.

Se il bucket S3 di origine utilizza una KMS chiave per la crittografia dei dati, assicurati che la policy della KMS chiave CloudTrail consenta di decrittografare i dati nel bucket. Se il bucket S3 di origine utilizza più KMS chiavi, devi aggiornare la policy di ciascuna chiave per consentire CloudTrail la decrittografia dei dati nel bucket.

IAMautorizzazioni per copiare gli eventi del trail

Quando si copiano gli eventi del trail, è possibile creare un nuovo IAM ruolo o utilizzare un ruolo esistente. IAM Quando scegli un nuovo IAM ruolo, CloudTrail crea un IAM ruolo con le autorizzazioni richieste e non sono necessarie ulteriori azioni da parte tua.

Se scegli un ruolo esistente, assicurati che le policy del IAM ruolo consentano di copiare CloudTrail gli eventi trail dal bucket S3 di origine. Questa sezione fornisce esempi delle politiche di autorizzazione e fiducia richieste per i IAM ruoli.

L'esempio seguente fornisce la politica di autorizzazione, che consente di copiare CloudTrail gli eventi di trail dal bucket S3 di origine. Replace (Sostituisci) amzn-s3-demo-bucket, myAccountID, region, prefixe eventDataStoreId con i valori appropriati per la tua configurazione. Il myAccountID è l'ID dell' AWS account utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.

Replace (Sostituisci) key-region, keyAccountIDe keyID con i valori della KMS chiave utilizzata per crittografare il bucket S3 di origine. È possibile omettere l'AWSCloudTrailImportKeyAccessistruzione se il bucket S3 di origine non utilizza una chiave per la crittografia. KMS

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

L'esempio seguente fornisce la policy di IAM fiducia, che consente di CloudTrail assumere il IAM ruolo di copiare gli eventi trail dal bucket S3 di origine. Replace (Sostituisci) myAccountID, regione eventDataStoreArn con i valori appropriati per la configurazione. Il myAccountID è l' Account AWS ID utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Policy del bucket Amazon S3 per la copia di eventi traccia

Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Prima di copiare gli eventi di trail, devi aggiornare la policy del bucket S3 per consentire CloudTrail di copiare gli eventi di trail dal bucket S3 di origine.

Puoi aggiungere la seguente dichiarazione alla policy del bucket S3 per concedere queste autorizzazioni. Replace (Sostituisci) roleArn e amzn-s3-demo-bucket con i valori appropriati per la tua configurazione.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

KMSpolitica chiave per la decrittografia dei dati nel bucket S3 di origine

Se il bucket S3 di origine utilizza una KMS chiave per la crittografia dei dati, assicurati che la policy della KMS chiave fornisca le kms:GenerateDataKey autorizzazioni necessarie per copiare gli eventi di trail da un bucket S3 CloudTrail con la crittografia abilitata. kms:Decrypt SSE KMS Se il tuo bucket S3 di origine utilizza più KMS chiavi, devi aggiornare la policy di ciascuna chiave. L'aggiornamento della policy delle KMS chiavi consente di CloudTrail decrittografare i dati nel bucket S3 di origine, eseguire controlli di convalida per garantire che gli eventi siano conformi agli CloudTrail standard e copiare gli eventi nel Lake Event Data Store. CloudTrail

L'esempio seguente fornisce la policy KMS chiave, che consente di CloudTrail decrittografare i dati nel bucket S3 di origine. Replace (Sostituisci) roleArn, amzn-s3-demo-bucket, myAccountID, regione eventDataStoreId con i valori appropriati per la tua configurazione. Il myAccountID è l'ID dell' AWS account utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}