Creazione di un archivio di dati degli eventi per eventi esterni ad AWS - AWS CloudTrail

Creazione di un archivio di dati degli eventi per eventi esterni ad AWS

Puoi creare un archivio di dati degli eventi per includere eventi esterni ad AWS e quindi utilizzare CloudTrail Lake per cercare e analizzare i dati registrati dalle tue applicazioni ed eseguirvi query.

Puoi utilizzare le integrazioni di CloudTrail Lake per registrare e archiviare i dati delle attività degli utenti dall'esterno di AWS, da qualsiasi origine nei tuoi ambienti ibridi, ad esempio applicazioni interne o SaaS ospitate on-premise o nel cloud, macchine virtuali o container.

Quando crei un archivio di dati degli eventi per un'integrazione, crei anche un canale e vi colleghi una policy delle risorse.

Creazione di un archivio di dati degli eventi per eventi esterni ad AWS

  1. Accedi alla AWS Management Console e apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, seleziona Datastore di eventi in Lake.

  3. Scegliere Create event data store (Crea archivio di dati degli eventi).

  4. Nella pagina Configure event data store (Configura archivio di dati degli eventi), in General details (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.

  5. Specificare un periodo di conservazione per l'archivio di dati degli eventi espresso in giorni. I valori validi sono i numeri interi compresi tra 7 e 2557 (sette anni). L'archivio di dati degli eventi conserva i dati degli eventi per il numero specificato di giorni. Per impostazione predefinita, i dati degli eventi vengono conservati per 2557 giorni.

  6. (Facoltativo) Per abilitare la crittografia tramite AWS Key Management Service, scegli Usa la mia AWS KMS key. Scegli New (Nuovo) perché AWS KMS key nei crei una per tuo conto oppure scegli Existing (Esistente) per utilizzare una chiave KMS esistente. In Enter KMS alias (Immetti alias KMS), specifica un alias nel formato alias/MyAliasName. L'utilizzo della propria chiave KMS richiede la modifica della policy delle chiavi KMS per consentire la crittografia e la decrittografia dei log di CloudTrail. Per ulteriori informazioni, consulta Configura policy della chiave AWS KMS per CloudTrail. CloudTrail supporta anche chiavi AWS KMS multi-regione. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service.

    L'utilizzo della tua chiave KMS comporta costi di AWS KMS per la crittografia e la decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

    Nota

    Per abilitare la crittografia AWS Key Management Service per un datastore di eventi dell'organizzazione, devi utilizzare una chiave KMS esistente per l'account di gestione.

  7. (Facoltativo) Nella sezione Tags (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag. Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Tagging delle risorse AWS in Riferimenti generali di AWS.

  8. Scegli Next (Successivo) per configurare il datastore di eventi.

  9. Nella pagina Choose events (Scegli eventi), scegli Events from integrations (Eventi dalle integrazioni).

  10. Da Events from integration (Eventi dall'integrazione), scegli l'origine dalla quale distribuire gli eventi all'archivio di dati degli eventi.

  11. Fornisci un nome per identificare il canale dell'integrazione. Il nome può contenere da 3 a 128 caratteri. Sono consentiti soltanto lettere, numeri, punti, e caratteri di sottolineatura e trattini.

  12. In Resource policy (Policy delle risorse), configura la policy delle risorse per il canale dell'integrazione. Le policy delle risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un principale specificato sulla risorsa e in base a quali condizioni. Gli account definiti come principali nella policy delle risorse possono chiamare l'API PutAuditEvents per distribuire gli eventi al tuo canale. Il proprietario della risorsa ha accesso implicito alla risorsa se la sua policy IAM consente l'operazione cloudtrail-data:PutAuditEvents.

    Le informazioni richieste per la policy dipendono dal tipo di integrazione. Per un'integrazione diretta, CloudTrail aggiunge automaticamente gli ID degli account AWS del partner e richiede l'inserimento dell'ID esterno univoco fornito dal partner. Per un'integrazione di soluzione, è necessario specificare almeno un ID account AWS come principale e, facoltativamente, inserire un ID esterno per evitare il problema "confused deputy".

    Nota

    Se non crei una policy delle risorse per il canale, solo il proprietario del canale può chiamare l'API PutAuditEvents sul canale.

    1. Per un'integrazione diretta, inserisci l'ID esterno fornito dal partner. Il partner di integrazione fornisce un ID esterno univoco, come un ID account o una stringa generata casualmente, da utilizzare per evitare che l'integrazione incorra nel problema "confused deputy". Il partner ha la responsabilità di creare e fornire un ID esterno univoco.

      Per consultare la documentazione del partner che descrive come trovare l'ID esterno, scegli How to find this? (Come trovarlo?).

      
                                        Documentazione del partner per l'ID esterno
      Nota

      Se la policy delle risorse include un ID esterno, tutte le chiamate all'API PutAuditEvents devono includere tale ID. Tuttavia, se la policy non definisce un ID esterno, il partner può comunque chiamare l'API PutAuditEvents e specificare un parametro externalId.

    2. Per l'integrazione di una soluzione, scegli Aggiungi account AWS per specificare ogni ID account AWS da aggiungere come principale nella policy.

  13. Scegli Next (Successivo) per rivedere le scelte effettuate.

  14. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

  15. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

  16. Fornisci il nome della risorsa Amazon (ARN) del canale all'applicazione del partner. Le istruzioni per fornire l'ARN del canale all'applicazione del partner sono disponibili sul sito Web della documentazione dei partner. Per ulteriori informazioni, seleziona il link Learn more (Ulteriori informazioni) relativo al partner nella scheda Available sources (Origini disponibili) della pagina Integrations (Integrazioni) per aprire la pagina del partner in Marketplace AWS.

L'archivio di dati degli eventi inizia a importare gli eventi del partner in CloudTrail attraverso il canale di integrazione quando tu, il partner o le applicazioni del partner chiamate l'API PutAuditEvents sul canale.