Aggiornamento di un percorso - AWS CloudTrail
Aggiornamento delle impostazioni degli eventi di dati con selettori di eventi di base

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento di un percorso

Questa sezione descrive come modificare le impostazioni del percorso.

Per aggiornare un percorso a regione singola per registrare tutti gli eventi Regioni AWS nella AWS partizione in cui si sta lavorando, o aggiornare un percorso multiregionale per registrare gli eventi in una sola regione, è necessario utilizzare il. AWS CLI Per ulteriori informazioni su come aggiornare un percorso basato su una singola Regione per registrare eventi in tutte le Regioni, consulta Conversione di un trail valido per una regione in un trail valido per tutte le regioni. Per ulteriori informazioni su come aggiornare un percorso multi-regione per registrare eventi in una sola regione, consulta Conversione di un percorso multi-regione in un percorso basato su una Regione singola.

Se hai abilitato gli eventi di CloudTrail gestione in Amazon Security Lake, devi mantenere almeno un percorso organizzativo multiregionale e registrare sia read gli eventi che gli eventi di write gestione. Non puoi aggiornare un percorso qualificante in modo che non soddisfi i requisiti di Security Lake. Ad esempio, modificando il percorso in Regione singola o disattivando la registrazione degli eventi di gestione read o write.

Nota

CloudTrail aggiorna gli itinerari organizzativi negli account dei membri anche se la convalida di una risorsa fallisce. Alcuni esempi di errori di convalida includono:

  • una policy sui bucket Amazon S3 errata

  • una politica tematica di Amazon SNS errata

  • impossibilità di effettuare consegne a un gruppo di CloudWatch log di Logs

  • autorizzazione insufficiente per crittografare utilizzando una chiave KMS

Un account membro con CloudTrail autorizzazioni può visualizzare eventuali errori di convalida di un percorso organizzativo visualizzando la pagina dei dettagli del percorso sulla CloudTrail console o eseguendo il comando. AWS CLI get-trail-status

Per aggiornare un percorso con AWS Management Console

  1. Accedere AWS Management Console e aprire la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel pannello di navigazione, scegli Trails (Percorsi) e quindi scegli il nome del percorso.

  3. In General details (Dettagli generali), scegli Edit (Modifica) per modificare le impostazioni seguenti. Non puoi modificare il nome di un percorso.

    • Applica percorso alla mia organizzazione: modifica se questo percorso è un percorso AWS Organizations organizzativo.

      Nota

      Solo l'account di gestione dell'organizzazione può convertire un percorso dell'organizzazione in un percorso non dell'organizzazione o viceversa.

    • Trail log location (Posizione del log di percorso): cambia il nome del bucket S3 o del prefisso in cui archivi i registri per questo percorso.

    • Log file SSE-KMS encryption (Crittografia SSE-KMS dei file di log): scegli di abilitare o disabilitare la crittografia dei file di log con SSE-KMS anziché con SSE-S3.

    • Log file validation(Abilita la convalida dei file di log): scegli di abilitare o disabilitare la convalida dell'integrità dei file di log.

    • SNS notification delivery (Consegna delle notifiche SNS): scegli di abilitare o disabilitare le notifiche di Amazon Simple Notification Service (Amazon SNS) che segnalano che i file di log sono stati consegnati al bucket specificato per il percorso.

    1. Per trasformare il percorso in un percorso AWS Organizations organizzativo, puoi scegliere di abilitare il percorso per tutti gli account dell'organizzazione. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione.

    2. Per modificare il bucket specificato in Storage location (Posizione di storage), scegli Create new S3 bucket (Crea nuovo bucket S3) per creare un bucket. Quando crei un bucket, CloudTrail crea e applica le politiche relative ai bucket richieste.

      Nota

      Se scegli Use existing S3 bucket (Utilizza bucket S3 esistente), specifica un bucket in Trail log bucket name (Nome del bucket del log del percorso), oppure scegli Browse (Sfoglia) per scegliere un bucket. La policy del bucket deve concedere CloudTrail il permesso di scrivere al suo interno. Per informazioni sulla modifica manuale della policy bucket, consulta Policy sui bucket Amazon S3 per CloudTrail.

      Per facilitare la ricerca dei log, crea una nuova cartella (nota anche come prefisso) in un bucket esistente per archiviare i log. CloudTrail Inserire il prefisso in Prefix (Prefisso).

    3. Per Log file SSE-KMS encryption (Crittografia SSE-KMS dei file di log), scegli Enabled (Abilitata) per crittografare i file di log con SSE-KMS anziché con SSE-S3. L'impostazione predefinita è Enabled (Abilitata). Se non abiliti la crittografia SSE-KMS, i log vengono crittografati utilizzando la crittografia SSE-S3. Per ulteriori informazioni sulla crittografia SSE-KMS, vedere Utilizzo della crittografia lato server con (SSE-KMS). AWS Key Management Service Per ulteriori informazioni sulla crittografia SSE-S3, consulta Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

      Se abiliti la crittografia SSE-KMS, scegli Nuova o Esistente. AWS KMS key In AWS KMS Alias, specifica un alias, nel formato. alias/ MyAliasName Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS. CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi multi-regione, consulta Utilizzo delle chiavi multi-regione nella Guida per gli sviluppatori di AWS Key Management Service .

      Nota

      È anche possibile digitare l'ARN di una chiave da un altro account. Per ulteriori informazioni, consulta Aggiornamento di una risorsa per l'utilizzo della chiave KMS. La politica della chiave deve consentire di CloudTrail utilizzare la chiave per crittografare i file di registro e consentire agli utenti specificati di leggere i file di registro in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta Configura policy della chiave AWS KMS per CloudTrail.

    4. In Enable log file validation (Abilita la convalida dei file di log), scegli Enabled (Abilitata) per attivare la distribuzione dei file digest di log nel bucket S3. È possibile utilizzare i file digest per verificare che i file di registro non siano stati modificati dopo la CloudTrail loro consegna. Per ulteriori informazioni, consulta Convalida dell'integrità dei file di log di CloudTrail.

    5. Per la consegna delle notifiche SNS, scegli Abilitato per ricevere una notifica ogni volta che un log viene consegnato al tuo bucket. CloudTrail memorizza più eventi in un file di registro. Le notifiche SNS vengono inviate per ogni file di log, non per ogni evento. Per ulteriori informazioni, consulta Configurazione delle notifiche Amazon SNS per CloudTrail.

      Se abiliti le notifiche SNS, per Create a new SNS topic (Crea un nuovo argomento SNS) scegli New (Nuovo) per creare un argomento oppure scegli Existing (Esistente) per utilizzare un argomento esistente. Se si sta creando un trail valido per tutte le regioni, le notifiche SNS per le distribuzioni di file di log da tutte le regioni vengono inviate per il singolo argomento SNS creato.

      Se scegli Nuovo, CloudTrail specifica automaticamente un nome per il nuovo argomento oppure puoi digitare un nome. Se scegli Existing (Esistente), seleziona un argomento SNS dall'elenco a discesa. È anche possibile immettere l'ARN di un argomento da un'altra regione o da un account con le autorizzazioni appropriate. Per ulteriori informazioni, consulta Policy tematica di Amazon SNS per CloudTrail.

      Se si crea un argomento, è necessario sottoscrivere l'argomento per ricevere le notifiche di distribuzione dei file di log. Puoi abilitare la sottoscrizione nella console Amazon SNS. Data la frequenza delle notifiche, ti consigliamo di configurare la sottoscrizione in modo da usare una coda Amazon SQS per gestire le notifiche a livello di programmazione. Per ulteriori informazioni, consulta la Guida alle operazioni di base di Amazon Simple Notification Service.

  4. In CloudWatch Registri, scegli Modifica per modificare le impostazioni per l'invio dei file di CloudTrail registro ai CloudWatch registri. Scegli Abilitato nei CloudWatch registri per abilitare l'invio di file di registro. Per ulteriori informazioni, consulta Invio di eventi a CloudWatch Logs.

    1. Se abiliti l'integrazione con CloudWatch i registri, scegli Nuovo per creare un nuovo gruppo di log o Esistente per utilizzarne uno esistente. Se scegli Nuovo, CloudTrail specifica automaticamente un nome per il nuovo gruppo di log oppure puoi digitare un nome.

    2. Se scegli Existing (Esistente), seleziona un gruppo di log dall'elenco a discesa.

    3. Scegli Nuovo per creare un nuovo ruolo IAM per le autorizzazioni di invio dei log ai Logs. CloudWatch Scegli Existing (Esistente) per selezionare un ruolo IAM esistente dall'elenco a discesa. L'istruzione della policy per il ruolo nuovo o esistente viene visualizzata quando espandi Policy document (Documento della policy). Per ulteriori informazioni su questo ruolo, consulta Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio.

      Nota

      • Durante la configurazione di un percorso, puoi scegliere un bucket S3 e un argomento SNS appartenenti a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.

      • Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or CloudTrail CreateTrail o UpdateTrail API.

  5. In Tags (Tag), scegli Edit (Modifica) per modificare, aggiungere o eliminare tag nel percorso. Aggiungi uno o più tag personalizzati (coppie chiave-valore) al percorso. I tag possono aiutarti a identificare sia i CloudTrail percorsi che i bucket Amazon S3 che contengono CloudTrail i file di registro. Puoi quindi utilizzare i gruppi di risorse per le tue CloudTrail risorse. Per ulteriori informazioni, consultare AWS Resource Groups e Perché usare i tag per le CloudTrail risorse?.

  6. In Management events (Eventi di gestione), scegli Edit (Modifica) per modificare le impostazioni di registrazione degli eventi di gestione.

    1. Per API activity (Attività API), scegli se vuoi che il percorso registri eventi Read (Lettura), Write (Scrittura) o entrambi. Per ulteriori informazioni, consulta Eventi di gestione.

    2. Scegli Escludi AWS KMS eventi per filtrare AWS Key Management Service (AWS KMS) gli eventi dal tuo percorso. L'impostazione predefinita è includere tutti gli eventi AWS KMS .

      L'opzione per registrare o escludere AWS KMS gli eventi è disponibile solo se registri gli eventi di gestione sul percorso. Se si sceglie di non registrare gli eventi di gestione, AWS KMS gli eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.

      AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un volume elevato (oltre il 99%) di eventi. Queste operazioni vengono ora registrate come eventi Read (Lettura). AWS KMS Le azioni pertinenti a basso volume come Disable e ScheduleKey (che in genere rappresentano meno dello 0,5% del volume degli AWS KMS eventi) vengono registrate come eventi di scrittura. Delete

      Per escludere eventi a volume elevato come Encrypt, Decrypt e GenerateDataKey, ma registrare comunque eventi rilevanti come Disable, Delete e ScheduleKey, scegli di registrare gli eventi di gestione Write (Scrittura) e deseleziona la casella di controllo Exclude AWS KMS events (Escludi eventi KMS).

    3. Scegli Exclude Amazon RDS Data API events (Escludi eventi dell'API dati di Amazon RDS) per escludere dal percorso gli eventi dell'API dati di Amazon Relational Database Service. L'impostazione predefinita è includere tutti gli eventi dell'API dati di Amazon RDS. Per ulteriori informazioni sugli eventi dell'API dati di Amazon RDS, consulta Registrazione delle chiamate dell'API dati con AWS CloudTrail nella Guida per l'utente di Amazon RDS per Aurora.

  7. Importante

    I passaggi 7-11 riguardano la configurazione degli eventi di dati tramite selettori di eventi avanzati. I selettori di eventi avanzati consentono di configurare più tipi di eventi di dati e offrono un controllo dettagliato sugli eventi di dati acquisiti dal percorso. Se utilizzi selettori di eventi di base, consulta Aggiornamento delle impostazioni degli eventi di dati con selettori di eventi di base, quindi torna al passaggio 12 di questa procedura.

    In Data events (Eventi di dati), scegli Edit (Modifica) per modificare le impostazioni di registrazione degli eventi di dati. Per impostazione predefinita, i trail non registrano gli eventi di dati Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i prezzi CloudTrail, consulta Prezzi di AWS CloudTrail.

    Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati. Per ulteriori informazioni sui tipi di eventi di dati disponibili, consulta Eventi di dati.

    Nota

    Per registrare gli eventi relativi ai dati per AWS Glue le tabelle create da Lake Formation, scegli Lake Formation.

  8. Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

    Nota

    La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi relativi ai dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

    Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non verranno registrati gli eventi di dati per i bucket Amazon S3 nelle altre regioni dell'account AWS .

    Se stai creando un percorso per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

    La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS

  9. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

  10. In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per le risorse specifiche sulle quali desideri raccogliere gli eventi di dati. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.

    1. Scegli tra i seguenti campi.

      • readOnly- readOnly può essere impostato su un valore uguale a o. true false Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempio o. PutBucket GetSnapshotBlock

      • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type

        La tabella riportata di seguito mostra il formato ARN per ogni resources.type.

        Nota

        Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non dispongono di ARN.

        resources.type resources.ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::bucket_name/
arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        L'ARN deve essere in uno dei seguenti formati:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul eventName campo.

        2 Per registrare tutti gli eventi di dati per tutti gli oggetti in un bucket S3 specifico, utilizza l'operatore StartsWith e includi solo l'ARN del bucket come valore corrispondente. La barra finale è intenzionale; non escluderla.

        3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, è consigliabile utilizzare solo l'ARN del punto di accesso (senza includere il percorso dell'oggetto) e utilizzare l'operatore StartsWith o NotStartsWith.

      Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi relativi ai dati per due bucket S3 dagli eventi di dati registrati sul percorso, puoi impostare il campo su Resources.arn, impostare l'operatore for does not start con e quindi incollare un ARN per bucket S3 o cercare i bucket S3 per i quali non desideri registrare gli eventi.

      Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un percorso. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

      Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI put-event-selectors comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.

    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

  11. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 3 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.

  12. Negli eventi di Insights, scegli Modifica se desideri che il percorso registri gli eventi di CloudTrail Insights.

    In Event type (Tipo di evento), seleziona Insights events (Eventi Insights).

    In Insights events (Eventi Insights), scegli API calls rate (Tasso di chiamata API), API error rate (Tasso di errore API), o entrambi. Devi abilitare la registrazione degli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Devi abilitare la registrazione degli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.

    CloudTrail Insights analizza gli eventi di gestione alla ricerca di attività insolite e registra gli eventi quando vengono rilevate anomalie. Per impostazione predefinita, i trail non registrano gli eventi Insights. Per ulteriori informazioni sugli eventi Insights, consulta Registrazione degli eventi Insights. Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per i CloudTrail prezzi, consulta Prezzi.AWS CloudTrail

    Gli eventi Insights vengono inviati a una cartella diversa denominata /CloudTrail-Insight con lo stesso bucket S3, specificata nell'area Storage location della pagina dei dettagli del percorso. CloudTrailcrea il nuovo prefisso per te. Ad esempio, se il bucket S3 di destinazione corrente è denominato S3bucketName/AWSLogs/CloudTrail/, il nome del bucket S3 con un nuovo prefisso viene denominato S3bucketName/AWSLogs/CloudTrail-Insight/.

  13. Al termine della modifica delle impostazioni sul percorso, scegli Update trail (Aggiorna percorso).

Aggiornamento delle impostazioni degli eventi di dati con selettori di eventi di base

È possibile utilizzare selettori di eventi avanzati per configurare tutti i tipi di eventi relativi ai dati. I selettori di eventi avanzati consentono di creare selettori dettagliati per registrare solo gli eventi di interesse.

Se utilizzi selettori di eventi di base per registrare gli eventi dei dati, sei limitato alla registrazione degli eventi di dati per bucket AWS Lambda , funzioni e tabelle Amazon DynamoDB di Amazon S3. Non puoi filtrare sul campo utilizzando selettori di eventi di base. eventName

Selettori di eventi di base per gli eventi di dati su un percorso

Utilizza la seguente procedura per configurare le impostazioni degli eventi di dati utilizzando i selettori di eventi di base.

  1. In Data events (Eventi di dati), scegli Edit (Modifica) per modificare le impostazioni di registrazione degli eventi di dati. Con i selettori di eventi di base, puoi specificare eventi di registrazione dei dati per bucket Amazon S3 AWS Lambda , funzioni, DynamoDBTables o una combinazione di queste risorse. Altri tipi di eventi di dati sono supportati con selettori di eventi avanzati. Per impostazione predefinita, i trail non registrano gli eventi di dati Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta Eventi di dati. Per i prezzi CloudTrail, consulta Prezzi di AWS CloudTrail.

    Per i bucket Amazon S3:

    1. Per Data event source (Origine evento di dati), scegli S3.

    2. Puoi scegliere di registrare All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.

      Nota

      Mantenendo l'opzione predefinita Tutti i bucket S3 attuali e futuri, abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

      Se il percorso è valido solo per una regione, la selezione di All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS

    3. Se lasci l'impostazione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi Read (Lettura), Write (Scrittura) o entrambi.

    4. Per selezionare singoli bucket, deseleziona le caselle di controllo Read (Lettura) e Write (Scrittura) per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri). In Individual bucket selection (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Per trovare bucket specifici, digita un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli Add bucket (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi Read (Lettura), ad esempio GetObject, gli eventi Write (Scrittura), ad esempio PutObject, oppure entrambi.

      Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (Read) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione Read (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione Write (Scrittura).

      Per rimuovere un bucket dalla registrazione, scegli X.

  2. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).

  3. Per le funzioni Lambda:

    1. Per Data event source (Origine evento di dati), scegli Lambda.

    2. In Lambda function (Funzione Lambda), scegli All regions (Tutte le regioni) per registrare tutte le funzioni Lambda o Input function as ARN (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.

      Per registrare gli eventi relativi ai dati per tutte le funzioni Lambda nel tuo AWS account, seleziona Registra tutte le funzioni attuali e future. Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.

      Nota

      Se stai creando un percorso per tutte le regioni, questa selezione abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

      La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS

    3. Se scegli Input function as ARN (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.

      Nota

      Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche ultimare la creazione del percorso nella console e quindi utilizzare la AWS CLI e il comando put-event-selectors per configurare la registrazione degli eventi di dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.

  4. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).

  5. Per le tabelle Dynamo DB:

    1. Per Data event source (Origine evento di dati), scegli Dynamo DB.

    2. In DynamoDB table selection (Selezione tabella Dynamo DB), scegli Browse (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB è nel seguente formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Per aggiungere un'altra tabella, scegli Add row (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.

  6. Per configurare gli eventi Insights e altre impostazioni per il percorso, torna alla procedura precedente in questo argomento, Aggiornamento di un percorso.