Funzionamento di CloudTrail - AWS CloudTrail
Cronologia degli eventiCloudTrail Lake e archivi di dati degli eventiTrail CloudTrailCanali di CloudTrail

Funzionamento di CloudTrail

CloudTrail è abilitato sul tuo account AWS al momento della sua creazione. Quando si verifica un'attività nel tuo account AWS, tale attività viene registrata in un evento CloudTrail. Puoi visualizzare facilmente gli eventi nella console CloudTrail accedendo a Event history (Cronologia eventi).

La cronologia degli eventi consente di visualizzare, ricercare e scaricare gli ultimi 90 giorni di attività nell'account AWS. Inoltre, puoi creare un percorso CloudTrail per archiviare, analizzare e rispondere alle modifiche nelle risorse AWS. Un percorso è una configurazione che abilita la distribuzione di eventi in un bucket Amazon S3 che specifichi. Puoi anche distribuire e analizzare gli eventi in un percorso con Amazon CloudWatch Logs e Amazon EventBridge. Puoi creare un percorso con la console CloudTrail, la AWS CLI o l'API CloudTrail.

Puoi creare due tipi di trail per un account AWS:

Un trail valido per tutte le regioni

Quando crei un percorso valido per tutte le regioni, CloudTrail registra gli eventi in ciascuna regione e distribuisce i file di log degli eventi CloudTrail in un bucket S3 specificato. Se viene aggiunta una regione dopo aver creato un trail valido per tutte le regioni, la nuova regione viene automaticamente inclusa e gli eventi in tale regione vengono registrati. Poiché la creazione di un percorso in tutte le regioni è una best practice raccomandata, in modo che tu possa acquisire l'attività in tutte le regioni del tuo account, un percorso basato su tutte le regioni è l'opzione predefinita quando crei un percorso nella console CloudTrail. Puoi aggiornare un percorso basato su una singola regione per registrare tutte le regioni solo utilizzando la AWS CLI. Per ulteriori informazioni, consulta Creazione di un percorso nella console (selettori di eventi di base).

Un trail valido per una regione

Quando crei un percorso valido per una regione, CloudTrail registra gli eventi solo in quella regione. Distribuisce quindi i file di log degli eventi CloudTrail a un bucket Amazon S3 specificato. Puoi creare un percorso basato su una singola regione solo utilizzando la AWS CLI. Se crei altri percorsi singoli, puoi configurarli in modo che distribuiscano i file di log degli eventi CloudTrail nello stesso bucket Amazon S3 o in bucket distinti. Questa è l'opzione predefinita quando crei un percorso utilizzando la AWS CLI o l'API CloudTrail. Per ulteriori informazioni, consulta Creazione, aggiornamento e gestione di percorsi con AWS Command Line Interface.

Nota

Per entrambi i tipi di percorsi, puoi specificare un bucket Amazon S3 di qualsiasi regione.

A partire dal 12 aprile 2019, i trail saranno visualizzabili solo nelle regioni AWS in cui registrano eventi. Se crei un percorso che registra eventi in tutte le regioni AWS, questo verrà visualizzato nella console in tutte le regioni AWS. Se crei un percorso che registra eventi in una sola regione AWS, puoi visualizzarlo e gestirlo solo in quella regione AWS.

Se hai creato un'organizzazione in AWS Organizations, puoi creare un trail dell'organizzazione o un archivio di dati degli eventi dell'organizzazione che registri tutti gli eventi per tutti gli account AWS in tale organizzazione. Gli archivi di dati degli eventi o i trail dell'organizzazione possono essere applicati a tutte le Regioni AWS o alla Regione corrente. I trail e gli archivi di dati degli eventi dell'organizzazione devono essere creati nell'account di gestione o nell'account dell'amministratore delegato e, se specificati come applicabili a un'organizzazione, vengono applicati automaticamente a tutti gli account membri di tale organizzazione. Gli account membri possono visualizzare il trail o l'archivio di dati degli eventi dell'organizzazione, ma non possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membri non hanno accesso ai file di log del trail dell'organizzazione nel bucket Amazon S3 né possono eseguire query sugli archivi di dati degli eventi dell'organizzazione.

Puoi modificare la configurazione di un trail dopo la sua creazione, ad esempio se il trail registra gli eventi in una regione o in tutte le regioni. Per modificare un percorso basato su una singola regione in un percorso basato su tutte le regioni, o viceversa, devi eseguire il comando della AWS CLI update-trail. Puoi anche decidere se registra i dati o gli eventi di CloudTrail Insights. L'impostazione in base alla quale un trail registra gli eventi in una regione o in tutte le regioni determina gli eventi registrati. Per ulteriori informazioni, consulta Gestione dei percorsi con la AWS CLI (AWS CLI) e Utilizzo dei file di log di CloudTrail.

Per impostazione predefinita, i file di log degli eventi CloudTrail sono crittografati utilizzando la crittografia lato server (SSE) di Amazon S3. Puoi inoltre scegliere di crittografare i file di log con una chiave AWS Key Management Service (AWS KMS). Puoi archiviare i file di log nel tuo bucket per la durata desiderata. Puoi anche definire regole del ciclo di vita di Amazon S3 per archiviare o eliminare file di log automaticamente. Se desideri ricevere notifiche relative alla distribuzione e alla convalida dei file di log, puoi configurare le notifiche Amazon SNS.

CloudTrail pubblica i file di log più volte in un'ora, circa ogni cinque minuti. Questi file di log contengono le chiamate API dai servizi nell'account che supportano CloudTrail. Per ulteriori informazioni, consulta Servizi e integrazioni CloudTrail supportati.

Nota

In genere, CloudTrail distribuisce i log con una media di circa 15 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consulta l'Accordo sul Livello di Servizio (SLA) di AWS CloudTrail.

CloudTrail acquisisce le operazioni eseguite direttamente dall'utente o per conto dell'utente da un servizio AWS. Ad esempio, una chiamata AWS CloudFormation CreateStack può generare altre chiamate API ad Amazon EC2, Amazon RDS, Amazon EBS o altri servizi, secondo quanto stabilito dal modello AWS CloudFormation. Questo comportamento è normale e previsto. Puoi capire se l'azione è stata eseguita da un servizio AWS mediante il campo invokedby nell'evento CloudTrail.

Per iniziare a utilizzare CloudTrail, consulta Nozioni di base sul tutorial di AWS CloudTrail.

Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail. Per i prezzi di Amazon S3 e Amazon SNS, consulta Prezzi di Amazon S3 e Prezzi di Amazon SNS.

Cronologia degli eventi

Puoi visualizzare facilmente gli eventi nella console CloudTrail accedendo a Event history (Cronologia eventi). La cronologia degli eventi consente di visualizzare, ricercare e scaricare gli ultimi 90 giorni di attività degli eventi di gestione nell'account AWS. Puoi cercare gli eventi in Event history (Cronologia degli eventi) filtrando gli eventi in base a un singolo attributo.

CloudTrail Lake e archivi di dati degli eventi

Puoi creare un archivio di dati degli eventi CloudTrail Lake per archiviare, analizzare e rispondere alle modifiche nelle risorse AWS. Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i selettori di eventi avanzati. Puoi conservare i dati dell'evento in un archivio di dati degli eventi per un massimo di 7 anni o 2.557 giorni. Gli archivi di dati degli eventi CloudTrail Lake consentono di registrare eventi da applicazioni esterne ad AWS, inclusa qualsiasi origine nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate on-premise o nel cloud, macchine virtuali o container. CloudTrail Lake ti consente di creare integrazioni con più di 12 partner per registrare gli eventi che si verificano all'esterno di AWS nei tuoi archivi di dati degli eventi. Per creare un'integrazione, devi prima configurare un canale su cui vengono distribuiti gli eventi. Puoi utilizzare CloudTrail Lake per archiviare e analizzare questi dati, accedervi, risolverne i problemi e intervenire su di essi senza dover gestire diversi aggregatori di log e strumenti di reportistica. Per ulteriori informazioni sulle nozioni di base delle CloudTrail Lake, consulta la pagina Utilizzo di AWS CloudTrail Lake in questa guida.

Gli archivi di dati degli eventi possono registrare eventi dalla Regione AWS attuale o da tutte le Regioni del tuo account AWS. Gli archivi di dati degli eventi utilizzati per registrare gli eventi di integrazione dall'esterno di AWS devono riguardare solo una singola Regione; gli archivi di dati degli eventi non possono riferirsi a più Regioni.

Per modificare un archivio di dati degli eventi dopo averlo creato, puoi eseguire il comando update-event-data-store o utilizzare la console CloudTrail Lake.

Se hai creato un'organizzazione in AWS Organizations, puoi creare un archivio di dati degli eventi dell'organizzazione che registri tutti gli eventi per tutti gli account AWS in tale organizzazione. Gli archivi di dati degli eventi dell'organizzazione possono applicarsi a tutte le Regioni AWS o alla Regione corrente. Gli archivi di dati degli eventi dell'organizzazione devono essere creati nell'account di gestione o nell'account dell'amministratore delegato e, se specificati come applicabili a un'organizzazione, vengono applicati automaticamente a tutti gli account membri di tale organizzazione. Gli account membri possono visualizzare l'archivio di dati degli eventi dell'organizzazione, ma non possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membri non hanno accesso ai file di log di un archivio di dati degli eventi dell'organizzazione né possono eseguire query su tali archivi. Gli archivi di dati degli eventi di un'organizzazione non possono essere utilizzati per raccogliere eventi dall'esterno di AWS.

Trail CloudTrail

Inoltre, puoi creare un trail CloudTrail per archiviare, analizzare e rispondere alle modifiche nelle risorse AWS.

Un trail è una configurazione che abilita la distribuzione di eventi in un bucket Amazon S3 che specifichi. Puoi anche distribuire e analizzare gli eventi in un percorso con Amazon CloudWatch Logs e Amazon CloudWatch Events. Puoi creare i trail con la console CloudTrail, la AWS CLI o l'API CloudTrail.

Puoi creare due tipi di trail per un account AWS:

Un trail valido per tutte le regioni

Quando crei un percorso valido per tutte le regioni, CloudTrail registra gli eventi in ciascuna regione e distribuisce i file di log degli eventi CloudTrail in un bucket S3 specificato. Se viene aggiunta una regione dopo aver creato un trail valido per tutte le regioni, la nuova regione viene automaticamente inclusa e gli eventi in tale regione vengono registrati. Poiché la creazione di un percorso in tutte le regioni è una best practice raccomandata, in modo che tu possa acquisire l'attività in tutte le regioni del tuo account, un percorso basato su tutte le regioni è l'opzione predefinita quando crei un percorso nella console CloudTrail. Puoi aggiornare un percorso basato su una singola regione per registrare tutte le regioni solo utilizzando la AWS CLI. Per ulteriori informazioni, consulta Creazione di un percorso nella console (selettori di eventi di base).

Un trail valido per una regione

Quando crei un percorso valido per una regione, CloudTrail registra gli eventi solo in quella regione. Distribuisce quindi i file di log degli eventi CloudTrail a un bucket Amazon S3 specificato. Puoi creare un percorso basato su una singola regione solo utilizzando la AWS CLI. Se crei altri percorsi singoli, puoi configurarli in modo che distribuiscano i file di log degli eventi CloudTrail nello stesso bucket Amazon S3 o in bucket distinti. Questa è l'opzione predefinita quando crei un percorso utilizzando la AWS CLI o l'API CloudTrail. Per ulteriori informazioni, consulta Creazione, aggiornamento e gestione di percorsi con AWS Command Line Interface.

Nota

Per entrambi i tipi di percorsi, puoi specificare un bucket Amazon S3 di qualsiasi regione.

A partire dal 12 aprile 2019, i trail saranno visualizzabili solo nelle regioni AWS in cui registrano eventi. Se crei un percorso che registra eventi in tutte le regioni AWS, questo verrà visualizzato nella console in tutte le regioni AWS. Se crei un percorso che registra eventi in una sola regione AWS, puoi visualizzarlo e gestirlo solo in quella regione AWS.

Se hai creato un'organizzazione in AWS Organizations, puoi creare un trail dell'organizzazione che registri tutti gli eventi per tutti gli account AWS dell'organizzazione. Gli archivi di dati degli eventi o i trail dell'organizzazione possono essere applicati a tutte le Regioni AWS o alla Regione corrente. I percorsi dell'organizzazione devono essere creati nell'account di gestione e, se specificati come applicabili a un'organizzazione, vengono applicati automaticamente a tutti gli account membri dell'organizzazione. Gli account membri possono visualizzare il trail dell'organizzazione, ma non possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membro non hanno accesso ai file di log del trail dell'organizzazione nel bucket Amazon S3.

Puoi modificare la configurazione di un trail dopo la sua creazione, ad esempio se il trail registra gli eventi in una regione o in tutte le regioni. Per modificare un percorso basato su una singola regione in un percorso basato su tutte le regioni, o viceversa, devi eseguire il comando della AWS CLI update-trail. Puoi anche decidere se registra i dati o gli eventi di CloudTrail Insights. L'impostazione in base alla quale un trail registra gli eventi in una regione o in tutte le regioni determina gli eventi registrati. Per ulteriori informazioni, consulta Gestione dei percorsi con la AWS CLI (AWS CLI) e Utilizzo dei file di log di CloudTrail.

Per impostazione predefinita, i file di log degli eventi CloudTrail provenienti dai trail vengono crittografati utilizzando la crittografia lato server (SSE) di Amazon S3. Puoi inoltre scegliere di crittografare i file di log con una chiave AWS Key Management Service (AWS KMS). Puoi archiviare i file di log nel tuo bucket per la durata desiderata. Puoi anche definire regole del ciclo di vita di Amazon S3 per archiviare o eliminare file di log automaticamente. Se desideri ricevere notifiche relative alla distribuzione e alla convalida dei file di log, puoi configurare le notifiche Amazon SNS.

Canali di CloudTrail

CloudTrail supporta due tipi di canali:

Canali per le integrazioni di CloudTrail Lake con origini di eventi esterne ad AWS.

CloudTrail Lake utilizza i canali per importare in CloudTrail Lake eventi esterni ad AWS provenienti da partner esterni che collaborano con CloudTrail o da origini di tua proprietà. Quando crei un canale, scegli uno o più archivi di dati degli eventi per archiviare gli eventi che provengono dall'origine del canale. È possibile modificare gli archivi di dati degli eventi di destinazione per un canale in base alle esigenze, a condizione che tali archivi siano impostati per registrare gli eventi dell'attività. Quando crei un canale per gli eventi provenienti da un partner esterno, fornisci un ARN di canale al partner o all'applicazione di origine. La policy delle risorse collegata al canale consente all'origine di trasmettere eventi attraverso il canale. Per ulteriori informazioni, consulta le pagine Creazione di un'integrazione con un'origine di eventi esterna ad AWS e CreateChannel nella Documentazione di riferimento dell'API AWS CloudTrail.

Canali collegati al servizio

I servizi AWS possono creare un canale collegato ai servizi per ricevere eventi CloudTrail per tuo conto. Il servizio AWS che crea il canale collegato ai servizi configura selettori di eventi avanzati per il canale e specifica se il canale si applica a tutte le regioni o a una singola regione.

Utilizzando AWS CLI, puoi visualizzare informazioni su qualunque canale collegato ai servizi CloudTrail creato da AWS. Per ulteriori informazioni, consulta Visualizzazione di canali collegati ai servizi per CloudTrail tramite AWS CLI.