Considerazioni sulla copia di eventi di percorso Autorizzazioni necessarie per la copia di eventi traccia Copia gli eventi del trail in un data store di eventi esistente utilizzando la console CloudTrail

Copiare gli eventi del percorso su CloudTrail Lake

È possibile copiare gli eventi del percorso esistenti in un archivio dati di eventi CloudTrail Lake per creare un' point-in-timeistantanea degli eventi registrati nel percorso. La copia degli eventi traccia non interferisce con la capacità della traccia di registrare gli eventi e non modifica in alcun modo la traccia.

Puoi copiare gli eventi del trail in un data store di eventi esistente configurato per CloudTrail gli eventi oppure puoi creare un nuovo CloudTrail event data store e scegliere l'opzione Copia gli eventi del trail come parte della creazione del data store degli eventi. Per ulteriori informazioni sulla copia degli eventi di percorso in un datastore di eventi esistente, consulta Copia gli eventi del trail in un data store di eventi esistente utilizzando la console CloudTrail . Per ulteriori informazioni sulla creazione di un nuovo datastore di eventi, consulta Crea un archivio dati di CloudTrail eventi per gli eventi con la console.

La copia degli eventi del trail in un data store di eventi CloudTrail Lake consente di eseguire query sugli eventi copiati. CloudTrail Le query Lake offrono una visione più approfondita e personalizzabile degli eventi rispetto alle semplici ricerche di chiavi e valori nella cronologia degli eventi o in esecuzione. LookupEvents Per ulteriori informazioni su CloudTrail Lake, vedere. Lavorare con AWS CloudTrail Lake

Se stai copiando gli eventi del trail in un datastore di eventi dell'organizzazione, dovrai utilizzare l'account di gestione dell'organizzazione. Non puoi copiare gli eventi del trail utilizzando l'account dell'amministratore delegato di un'organizzazione.

CloudTrail I Lake Event Data Store sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

Quando copi gli eventi del trail in un CloudTrail Lake Event Data Store, ti vengono addebitati dei costi in base alla quantità di dati non compressi che l'Event Data Store acquisisce.

Quando copi gli eventi del trail su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso) e quindi copia gli eventi contenuti nei log nel tuo archivio dati degli eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di S3. Per avere una stima generale della dimensione dei dati non compressi, puoi moltiplicare la dimensione dei log nel bucket S3 per 10.

È possibile ridurre i costi specificando un intervallo di tempo più ristretto per gli eventi copiati. Se intendi utilizzare il datastore di eventi solo per le query sugli eventi copiati, puoi disattivare l'importazione degli eventi ed evitare così di incorrere in addebiti per eventi futuri. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

Scenari

La tabella seguente descrive alcuni scenari comuni per la copia degli eventi di percorso e come realizzare ogni scenario utilizzando la console.

Scenario	Come posso eseguire questa operazione nella console?
Analizza e interroga gli eventi storici del trail in Lake senza importare nuovi eventi CloudTrail	Crea un nuovo datastore di eventi e scegli l'opzione Copia gli eventi del percorso come parte della creazione del datastore di eventi. Durante la creazione del datastore di eventi, deseleziona Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.
Sostituisci il percorso esistente con un archivio dati sugli eventi di CloudTrail Lake	Crea un datastore di eventi con gli stessi selettori di eventi del tuo percorso per assicurarti che il datastore di eventi abbia la stessa copertura del tuo percorso. Per evitare la duplicazione degli eventi tra il percorso di origine e il datastore di eventi di destinazione, scegli un intervallo di date per gli eventi copiati che sia precedente alla creazione del datastore di eventi. Dopo la creazione del datastore di eventi, potrai disattivare la registrazione per il percorso ed evitare così costi aggiuntivi.

Scenario

Come posso eseguire questa operazione nella console?

Analizza e interroga gli eventi storici del trail in Lake senza importare nuovi eventi CloudTrail

Crea un nuovo datastore di eventi e scegli l'opzione Copia gli eventi del percorso come parte della creazione del datastore di eventi. Durante la creazione del datastore di eventi, deseleziona Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.

Sostituisci il percorso esistente con un archivio dati sugli eventi di CloudTrail Lake

Crea un datastore di eventi con gli stessi selettori di eventi del tuo percorso per assicurarti che il datastore di eventi abbia la stessa copertura del tuo percorso.

Per evitare la duplicazione degli eventi tra il percorso di origine e il datastore di eventi di destinazione, scegli un intervallo di date per gli eventi copiati che sia precedente alla creazione del datastore di eventi.

Dopo la creazione del datastore di eventi, potrai disattivare la registrazione per il percorso ed evitare così costi aggiuntivi.

Argomenti

Considerazioni sulla copia di eventi di percorso
Autorizzazioni necessarie per la copia di eventi traccia
Copia gli eventi del trail in un data store di eventi esistente utilizzando la console CloudTrail

Considerazioni sulla copia di eventi di percorso

Quando copi eventi traccia, considera i fattori seguenti.

Quando copi gli eventi del trail, CloudTrail utilizza l'operazione GetObjectAPI S3 per recuperare gli eventi del trail nel bucket S3 di origine. Esistono alcune classi di archiviazione archiviata di S3, come i livelli recupero flessibile S3 Glacier, Deep Archive S3 Glacier, S3 Outposts e Deep Archive Piano intelligente Amazon S3 che non sono accessibili tramite l'utilizzo di GetObject. Per copiare gli eventi di percorso archiviati in queste classi di archiviazione archiviate, devi prima ripristinare una copia utilizzando l'operazione S3 RestoreObject. Per informazioni sul ripristino di oggetti archiviati, consulta Ripristino di oggetti archiviati nella Guida per l'utente di Amazon S3.
Quando copi gli eventi di trail in un event data store, CloudTrail copia tutti gli eventi di trail indipendentemente dalla configurazione dei tipi di eventi dell'event data store di destinazione, dai selettori di eventi avanzati o. Regione AWS
Prima di copiare gli eventi del percorso in un datastore di eventi esistente, assicurati che l'opzione di prezzo e il periodo di conservazione del datastore di eventi siano configurati correttamente per il tuo caso d'uso.
- Opzione di prezzo: l'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi. Per ulteriori informazioni su opzioni di prezzo, consulta Prezzi AWS CloudTrail e Opzioni di prezzo del datastore di eventi.
- Periodo di conservazione: il periodo di conservazione determina per quanto tempo i dati degli eventi vengono conservati nell'archivio dati degli eventi. CloudTrail copia solo gli eventi trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'Event Data Store (periodo di conservazione = oldest-event-in-days+ number-days-to-retain). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.
Se stai copiando gli eventi di percorso in un datastore di eventi per analizzarli e non desideri importare eventi futuri, puoi interrompere l'importazione nel datastore. Durante la creazione del datastore di eventi, deseleziona l'opzione Eventi di importazione (passaggio 15 della procedura) per assicurarti che il datastore di eventi contenga solo gli eventi storici del percorso e nessun evento futuro.
Prima di copiare gli eventi traccia, disattiva tutte le liste di controllo degli accessi (ACL) collegate al bucket S3 di origine e aggiorna la policy del bucket S3 per l'archivio dati degli eventi di destinazione. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia. Per ulteriori informazioni sulla disabilitazione delle liste di controllo degli accessi (ACL), consulta Controllo della proprietà degli oggetti e disabilitazione delle liste di controllo degli accessi (ACL) per il bucket.
CloudTrail copia solo gli eventi trail dai file di registro compressi con Gzip che si trovano nel bucket S3 di origine. CloudTrail non copia gli eventi di trail da file di registro non compressi o file di registro compressi utilizzando un formato diverso da Gzip.
Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, per gli eventi copiati scegli un intervallo di tempo precedente alla creazione dell'archivio dati degli eventi.
Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i CloudTrail prefissi all'interno del prefisso e non controlla i prefissi per CloudTrail altri servizi. AWS Se desideri copiare CloudTrail gli eventi contenuti in un altro prefisso, devi scegliere il prefisso quando copi gli eventi trail.
Per copiare gli eventi del trail in un datastore di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. Non puoi utilizzare l'account dell'amministratore delegato per copiare gli eventi di trail in un archivio dati di eventi di un'organizzazione.

Autorizzazioni necessarie per la copia di eventi traccia

Prima di copiare gli eventi trail, assicurati di disporre di tutte le autorizzazioni necessarie per il tuo ruolo IAM. Devi aggiornare le autorizzazioni del ruolo IAM solo se scegli un ruolo IAM esistente per la copia di eventi traccia. Se scegli di creare un nuovo ruolo IAM, CloudTrail fornisce tutte le autorizzazioni necessarie per il ruolo.

Se il bucket S3 di origine utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy della chiave KMS CloudTrail consenta di decrittografare i dati nel bucket. Se il bucket S3 di origine utilizza più chiavi KMS, devi aggiornare la policy di ciascuna chiave per consentire la decrittografia dei dati nel bucket. CloudTrail

Argomenti

Autorizzazioni IAM per la copia di eventi traccia
Policy del bucket Amazon S3 per la copia di eventi traccia
Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine

Autorizzazioni IAM per la copia di eventi traccia

Quando copi eventi traccia, puoi creare un nuovo ruolo IAM o utilizzare un ruolo IAM esistente. Quando scegli un nuovo ruolo IAM, CloudTrail crea un ruolo IAM con le autorizzazioni richieste e non sono necessarie ulteriori azioni da parte tua.

Se scegli un ruolo esistente, assicurati che le policy del ruolo IAM consentano di copiare CloudTrail gli eventi del trail dal bucket S3 di origine. Questa sezione fornisce esempi delle policy di attendibilità e di autorizzazione necessarie al ruolo IAM.

L'esempio seguente fornisce la politica di autorizzazione, che consente di copiare gli eventi CloudTrail di trail dal bucket S3 di origine. Sostituisci myBucketNamemyAccountID, region, prefix e eventDataStore Id con i valori appropriati per la tua configurazione. MyAccountID è l'ID dell' AWS account utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.

Sostituisci key-region, keyAccountID e keyID con i valori per la chiave KMS utilizzata per crittografare il bucket S3 di origine. Se il bucket S3 di origine non utilizza una chiave KMS per la crittografia, puoi omettere l'istruzione AWSCloudTrailImportKeyAccess.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::myBucketName"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::myBucketName/prefix",
        "arn:aws:s3:::myBucketName/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

L'esempio seguente fornisce la policy di fiducia IAM, che consente di assumere un ruolo IAM CloudTrail per copiare gli eventi trail dal bucket S3 di origine. Sostituisci myAccountID, region e eventDataStoreId con i valori appropriati per la tua configurazione. MyAccountID è l'ID dell' AWS account utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Policy del bucket Amazon S3 per la copia di eventi traccia

Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati. Solo il proprietario della risorsa (l'account AWS che ha creato il bucket) può accedere al bucket e agli oggetti in esso contenuti. Il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Prima di copiare gli eventi di trail, devi aggiornare la policy del bucket S3 per consentire CloudTrail la copia degli eventi di trail dal bucket.

Puoi aggiungere la seguente dichiarazione alla policy del bucket S3 per concedere queste autorizzazioni. Sostituisci ROLearn e myBucketNamecon i valori appropriati per la tua configurazione.


{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::myBucketName",
    "arn:aws:s3:::myBucketName/*"
  ]
},

Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine

Se il bucket S3 di origine utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy delle chiavi KMS fornisca le autorizzazioni kms:Decrypt e le kms:GenerateDataKey autorizzazioni necessarie per copiare gli eventi di trail da un bucket S3 CloudTrail con la crittografia SSE-KMS abilitata. Se il bucket S3 di origine utilizza più chiavi KMS, è necessario aggiornare la policy di ogni chiave. L'aggiornamento della policy delle chiavi KMS consente di decrittografare i dati nel bucket S3 di origine, eseguire controlli di convalida CloudTrail per garantire che gli eventi siano conformi agli standard e copiare gli eventi nel Lake Event Data Store. CloudTrail CloudTrail

L'esempio seguente fornisce la politica delle chiavi KMS, che consente di CloudTrail decrittografare i dati nel bucket S3 di origine. Sostituisci ROLearn myBucketName, myAccountID, region e eventDataStore Id con i valori appropriati per la tua configurazione. MyAccountID è l'ID dell' AWS account utilizzato per CloudTrail Lake, che potrebbe non essere lo stesso dell'ID dell' AWS account per il bucket S3.


{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::myBucketName/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}

Copia gli eventi del trail in un data store di eventi esistente utilizzando la console CloudTrail

Utilizza la procedura seguente per copiare eventi di percorso in un datastore di eventi esistente. Per ulteriori informazioni su come creare un nuovo datastore di eventi, consulta Crea un archivio dati di CloudTrail eventi per gli eventi con la console.

Nota

Prima di copiare gli eventi del percorso in un datastore di eventi esistente, assicurati che l'opzione di prezzo e il periodo di conservazione del datastore di eventi siano configurati correttamente per il tuo caso d'uso.

Opzione di prezzo: l'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi. Per ulteriori informazioni su opzioni di prezzo, consulta Prezzi AWS CloudTrail e Opzioni di prezzo del datastore di eventi.
Periodo di conservazione: il periodo di conservazione determina per quanto tempo i dati degli eventi vengono conservati nell'archivio dati degli eventi. CloudTrail copia solo gli eventi trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'Event Data Store (periodo di conservazione = oldest-event-in-days+ number-days-to-retain). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

Per copiare eventi del percorso in un datastore di eventi

Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Scegli Trails nel riquadro di navigazione a sinistra della CloudTrail console.
Nella pagina Trails (Percorsi), scegliere il percorso, quindi Copy events to Lake (Copia eventi in Lake). Se il bucket S3 di origine per il trail utilizza una chiave KMS per la crittografia dei dati, assicurati che la policy della chiave KMS CloudTrail consenta di decrittografare i dati nel bucket. Se il bucket S3 di origine utilizza più chiavi KMS, devi aggiornare la policy di ciascuna chiave per consentire la decrittografia dei dati nel bucket. CloudTrail Per ulteriori informazioni sull'aggiornamento della policy delle chiavi KMS, consulta Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine.
(Facoltativo) Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i prefissi all'interno del CloudTrail prefisso e non controlla i prefissi per altri servizi. CloudTrail AWS Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli Inserisci URI S3, quindi scegli Browse S3 per cercare il prefisso.

La policy del bucket S3 deve concedere CloudTrail l'accesso ai copy trail events. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia.
Per Specificare un intervallo di tempo di eventi, scegli l'intervallo di tempo in cui copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.

Nota
CloudTrail copia solo gli eventi di trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Ad esempio, se il periodo di conservazione di un Event Data Store è di 90 giorni, non CloudTrail copierà alcun evento di trail con una data eventTime più vecchia di 90 giorni.
- Se scegli Intervallo relativo, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.
- Se scegli l'intervallo assoluto, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.
Per Luogo di distribuzione, scegli l'archivio dati degli eventi di destinazione dall'elenco a discesa.
Per Autorizzazioni, scegli una delle opzioni seguenti del ruolo IAM. Se scegli un ruolo IAM esistente, accertati che la policy dei ruoli IAM fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni del ruolo IAM, consultare Autorizzazioni IAM per la copia di eventi traccia
- Scegli Creare un nuovo ruolo (consigliato) per creare un nuovo ruolo IAM. Per Inserisci nome ruolo IAM, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.
- Scegli Usa un ruolo IAM personalizzato ARN per utilizzare un ruolo IAM personalizzato non elencato. Per Inserisci ARN ruolo IAM, inserisci l'ARN IAM.
- Scegli un ruolo IAM esistente dall'elenco a discesa.
Scegli Copia eventi.
Viene chiesto di confermare la copia. Quando sei pronto a confermare, scegli Copia eventi traccia in Lake, quindi Copia eventi.
Nella pagina Dettagli copia, puoi visualizzare lo stato della copia ed esaminare eventuali errori. Quando la copia di un evento traccia viene completata, il relativo Stato copia viene impostato su Completato in assenza di errori o su Non riuscito se si sono verificati errori.

Nota
I dettagli mostrati nella pagina dei dettagli della copia dell'evento non sono in tempo reale. I valori effettivi per dettagli come Prefixes copied (Prefissi copiati) possono essere superiori a quelli mostrati nella pagina. CloudTrail aggiorna i dettagli in modo incrementale nel corso della copia dell'evento.
Se Stato copia è Non riuscito, correggi eventuali errori mostrati in Errori di copia e scegli Riprova la copia. Quando si riprova una copia, la CloudTrail riprende nella posizione in cui si è verificato l'errore.

Per ulteriori informazioni sulla visualizzazione dei dettagli di una copia evento traccia, consulta Dettagli della copia dell'evento.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione degli eventi CloudTrail Insights per i sentieri con AWS CLI

Acquisizione e visualizzazione dei file di CloudTrail registro