Eventi di dati Eventi di sola lettura e di sola scrittura Registrazione degli eventi relativi ai dati con AWS Command Line Interface Registrazione di eventi di dati per la conformità di AWS Config Registrazione degli eventi relativi ai dati con gli SDK AWS Invio di eventi ad Amazon CloudWatch Logs

Registrazione degli eventi di dati

Per impostazione predefinita, i percorsi e i datastore di eventi non registrano gli eventi di dati. Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.

Nota

Gli eventi registrati dai tuoi percorsi sono disponibili su Amazon EventBridge. Ad esempio, se decidi di registrare gli eventi di dati per gli oggetti S3 ma non gli eventi di gestione, il percorso elabora e registra solo gli eventi di dati per gli oggetti S3 specificati. Gli eventi relativi ai dati per questi oggetti S3 sono disponibili in Amazon EventBridge. Per ulteriori informazioni, consulta Events from AWS services nella Amazon EventBridge User Guide.

Indice

Eventi di dati

Gli eventi di dati forniscono visibilità sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati.

Gli eventi di dati di esempio includono:

Attività API a livello di oggetti di Amazon S3 (ad esempio, le operazioni API GetObject, DeleteObject e PutObject) su bucket e oggetti nei bucket
AWS Lambda attività di esecuzione della funzione (l'InvokeAPI).
CloudTrail PutAuditEventsattività su un canale CloudTrail Lake che viene utilizzata per registrare eventi dall'esterno AWS.
Operazioni API Publish e PublishBatch di Amazon SNS sugli argomenti.

La tabella seguente mostra i tipi di eventi di dati disponibili per i percorsi e i datastore di eventi. La colonna Tipo di evento di dati (console) mostra la selezione appropriata nella console. La colonna del valore resources.type mostra il resources.type valore da specificare per includere eventi di dati di quel tipo nel tuo trail o event data store utilizzando le API o. AWS CLI CloudTrail

Per i percorsi, puoi utilizzare selettori di eventi di base o avanzati e registrare eventi di dati per bucket e oggetti del bucket Amazon S3, funzioni Lambda e tabelle DynamoDB (mostrate nelle prime tre righe della tabella). Per registrare i tipi di eventi relativi ai dati mostrati nelle righe rimanenti, puoi utilizzare solo selettori di eventi avanzati.

Per i datastore di eventi, per includere gli eventi di dati è possibile utilizzare solo i selettori di eventi avanzati.

AWS servizio	Descrizione	Tipo di evento di dati (console)	valore resources.type
Amazon DynamoDB	Attività delle API a livello di oggetto di Amazon DynamoDB sulle tabelle (ad esempio `PutItemDeleteItem`, e operazioni API). `UpdateItem` Nota Per le tabelle con flussi abilitati, il campo `resources` nell'evento di dati contiene sia `AWS::DynamoDB::Stream` che `AWS::DynamoDB::Table`. Se specifichi `AWS::DynamoDB::Table` come `resources.type`, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul campo. `eventName`	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda attività di esecuzione della funzione (l'`Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	Attività API a livello di oggetti di Amazon S3 (ad esempio, le operazioni API `GetObject`, `DeleteObject` e `PutObject`) su bucket e oggetti nei bucket	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig attività dell'API per operazioni di configurazione come chiamate a `StartConfigurationSession` e`GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Scambio di dati B2B	Attività dell'API Scambio di dati B2B per operazioni Transformer, come le chiamate a `GetTransformerJob` e `StartTransformerJob`.	Scambio di dati B2B	`AWS::B2BI::Transformer`
Amazon Bedrock	Attività dell'API Amazon Bedrock sull'alias di un agente.	Alias dell'agente Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	Attività dell'API Amazon Bedrock su una knowledge base.	Knowledge base Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon CloudFront	CloudFront Attività delle API su un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map Attività dell'API su un namespace.	AWS Cloud Map spazio dei nomi	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map Attività dell'API su un servizio.	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`attività su un canale CloudTrail Lake che viene utilizzata per registrare eventi dall'esterno AWS.	CloudTrail	`AWS::CloudTrail::Channel`
Amazon CodeWhisperer	Attività dell' CodeWhisperer API Amazon su una personalizzazione.	CodeWhisperer personalizzazione	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	Attività dell' CodeWhisperer API Amazon su un profilo.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Attività dell'API Amazon Cognito sui pool di identità di Amazon Cognito.	Pool di identità di Cognito	`AWS::Cognito::IdentityPool`
Amazon DynamoDB	Attività dell'API Amazon DynamoDB sui flussi	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	API dirette di Amazon Elastic Block Store (EBS), come `PutSnapshotBlock`, `GetSnapshotBlock` e `ListChangedBlocks` su snapshot Amazon EBS.	API dirette di Amazon EBS	`AWS::EC2::Snapshot`
Amazon EMR	Attività dell'API Amazon EMR su un workspace di registrazione write-ahead.	Workspace di registrazione write-ahead EMR	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Attività dell'API Amazon FinSpace sugli ambienti	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue Attività dell'API su tabelle create da Lake Formation. Nota AWS Glue gli eventi di dati per le tabelle sono attualmente supportati solo nelle seguenti regioni: Stati Uniti orientali (Virginia settentrionale) Stati Uniti orientali (Ohio) US West (Oregon) Europa (Irlanda) Regione Asia Pacifico (Tokyo)	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	Attività dell' GuardDuty API Amazon per un rilevatore.	GuardDuty rilevatore	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging attività delle API sugli archivi dati.	Datastore di Medical Imaging	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT Attività delle API sui certificati.	Certificato IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT Attività delle API sugli oggetti.	Cosa IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	Attività dell'API Greengrass da un dispositivo principale Greengrass su una versione componente. Nota Greengrass non registra gli eventi di accesso negato.	Versione del componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	Attività dell'API Greengrass da un dispositivo principale Greengrass in una distribuzione. Nota Greengrass non registra gli eventi di accesso negato.	Implementazione di IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	Attività dell' SiteWise API IoT sugli asset.	SiteWise Risorsa IoT	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	Attività dell' SiteWise API IoT su serie temporali.	Serie SiteWise temporali IoT	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	Attività dell' TwinMaker API IoT su un'entità.	TwinMaker Entità IoT	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	Attività dell' TwinMaker API IoT su un'area di lavoro.	Spazio di TwinMaker lavoro IoT	`AWS::IoTTwinMaker::Workspace`
Classificazione intelligente di Amazon Kendra	Attività dell'API Amazon Kendra Intelligent Ranking sui piani di esecuzione di rescore.	Classificazione Kendra	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (per Apache Cassandra)	Attività dell'API Amazon Keyspaces su una tabella.	Tabella Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis	Attività dell'API Amazon Kinesis su flussi video, ad esempio chiamate verso `GetMedia` e `PutMedia`.	Flusso video Kinesis	`AWS::KinesisVideo::Stream`
Blockchain gestita da Amazon	Attività dell'API Blockchain gestita da Amazon su una rete.	Rete Blockchain gestita	`AWS::ManagedBlockchain::Network`
Blockchain gestita da Amazon	Chiamate JSON-RPC di Blockchain gestita da Amazon sui nodi Ethereum, come `eth_getBalance` o `eth_getBlockByNumber`.	Blockchain gestita	`AWS::ManagedBlockchain::Node`
Grafo Amazon Neptune	Attività dell'API dati, ad esempio query, algoritmi o ricerca vettoriale, su un grafo Neptune.	Grafo Neptune	`AWS::NeptuneGraph::Graph`
AWS Private CA	AWS Private CA Connettore per l'attività dell'API di Active Directory.	AWS Private CA Connettore per Active Directory	`AWS::PCAConnectorAD::Connector`
Amazon Q Business	Attività dell'API Amazon Q Business su un'applicazione.	Applicazione Amazon Q Business	`AWS::QBusiness::Application`
	Attività dell'API Amazon Q Business su un'origine dati.	Origine dati Amazon Q Business	`AWS::QBusiness::DataSource`
	Attività dell'API Amazon Q Business su un indice.	Indice Amazon Q Business	`AWS::QBusiness::Index`
	Attività dell'API Amazon Q Business su un'esperienza Web.	Esperienza Web Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon RDS	Attività dell'API Amazon RDS su un cluster DB.	API dati RDS - Cluster DB	`AWS::RDS::DBCluster`
Amazon S3	Attività dell'API di Amazon S3 sui punti di accesso	Punto di accesso S3	`AWS::S3::AccessPoint`
Amazon S3	Attività dell'API sui punti di accesso Lambda per oggetti Amazon S3, ad esempio le chiamate a `CompleteMultipartUpload` e `GetObject`.	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 su Outposts	Attività dell'API a livello di oggetto di Amazon S3 su Outposts.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Attività di Amazon sugli endpoint.	SageMaker endpoint	`AWS::SageMaker::Endpoint`
	Attività dell' SageMaker API Amazon nei feature store.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
	Attività dell' SageMaker API Amazon sui componenti di prova sperimentali.	SageMaker metrics, esperimento, componente di prova.	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	Operazioni dell'API `Publish` Amazon SNS sugli endpoint della piattaforma.	Endpoint della piattaforma SNS	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Operazioni API `Publish` e `PublishBatch` di Amazon SNS sugli argomenti.	Argomento SNS	`AWS::SNS::Topic`
Amazon SQS	Attività dell'API Amazon SQS sui messaggi.	SQS	`AWS::SQS::Queue`
Catena di approvvigionamento di AWS	Catena di approvvigionamento di AWS attività dell'API su un'istanza.	Catena di fornitura	`AWS::SCN::Instance`
Amazon SWF	Attività dell'API Amazon SWF sui domini .	Dominio SWF	`AWS::SWF::Domain`
AWS Systems Manager	Attività dell'API Systems Manager sui canali di controllo.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	Attività dell'API Systems Manager sui nodi gestiti.	Nodo gestito da Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Attività dell'API `Query` di Amazon Timestream sui database.	Database Timestream	`AWS::Timestream::Database`
Amazon Timestream	Attività dell'API `Query` di Amazon Timestream sulle tabelle.	Tabella Timestream	`AWS::Timestream::Table`
Autorizzazioni verificate da Amazon	Attività dell'API Autorizzazioni verificate da Amazon su un archivio di policy.	Autorizzazioni verificate da Amazon	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces Attività dell'API Thin Client su un dispositivo.	Dispositivo Thin client	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces Attività dell'API Thin Client in un ambiente.	Ambiente Thin client	`AWS::ThinClient::Environment`
AWS X-Ray	Attività dell'API X-Ray sulle tracce .	Traccia a raggi X	`AWS::XRay::Trace`

Quando si crea un percorso o un datastore di eventi, gli eventi di dati non vengono registrati per impostazione predefinita. Per registrare gli eventi CloudTrail relativi ai dati, è necessario aggiungere in modo esplicito le risorse o i tipi di risorse supportati per i quali si desidera raccogliere attività. Per ulteriori informazioni, consultare Creazione di un percorso e Creare un archivio dati di CloudTrail eventi per gli eventi.

In un percorso o un datastore di eventi a singola Regione, puoi registrare gli eventi di dati solo per le risorse a cui è possibile accedere in tale Regione. Sebbene i bucket S3 siano globali, le AWS Lambda funzioni e le tabelle DynamoDB sono regionali.

Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i CloudTrail prezzi, consulta Prezzi.AWS CloudTrail

Registrazione degli eventi relativi ai dati con AWS Management Console

Le seguenti procedure descrivono come aggiornare un datastore di eventi esistente o come tracciare gli eventi di dati utilizzando la AWS Management Console. Per ulteriori informazioni su come creare un datastore di eventi per registrare gli eventi di dati, consulta Creare un archivio dati di CloudTrail eventi per gli eventi. Per ulteriori informazioni su come creare un percorso per registrare gli eventi di dati, consulta Creazione di un percorso nella console.

Per i percorsi, i passaggi per la registrazione degli eventi di dati variano a seconda che si utilizzino selettori di eventi avanzati o selettori di eventi di base. Puoi registrare eventi di dati per tutti i tipi di eventi di dati utilizzando selettori di eventi avanzati, ma puoi registrare solo eventi di dati per bucket Amazon S3 e oggetti bucket AWS Lambda , funzioni e tabelle Amazon DynamoDB utilizzando selettori di eventi di base.

Utilizza la seguente procedura per aggiornare un datastore di eventi esistente per registrare gli eventi di dati.

Accedere AWS Management Console e aprire la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.
Nella pagina Datastore di eventi, scegli il datastore di eventi che desideri aggiornare.

Nota
È possibile abilitare gli eventi relativi ai dati solo negli archivi dati di eventi che contengono CloudTrail eventi. Non è possibile abilitare eventi di dati nei data store di eventi per elementi di AWS Config configurazione, eventi CloudTrail Insights o non AWS eventi. CloudTrail
Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.
Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).
Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati.
Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

Nota
La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi relativi ai dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del data store degli eventi. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se il datastore di eventi è valido solo per una Regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa Regione del percorso e per qualsiasi bucket creato in seguito in tale Regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
Se stai creando un data store di eventi per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del data store degli eventi. Se stai creando un data store di eventi per una singola regione, questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver completato la creazione del trail o del data store di eventi. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS
(Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per le risorse specifiche sulle quali desideri registrare gli eventi di dati. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.

Scegli tra i seguenti campi.

readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.
eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type

La tabella riportata di seguito mostra il formato ARN per ogni resources.type.

Nota

Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non dispongono di ARN.

resources.type	resources.ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	L'ARN deve essere in uno dei seguenti formati: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

¹ Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul eventName campo.

² Per registrare tutti gli eventi di dati per tutti gli oggetti in un bucket S3 specifico, utilizza l'operatore StartsWith e includi solo l'ARN del bucket come valore corrispondente. La barra finale è intenzionale; non escluderla.

³ Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, è consigliabile utilizzare solo l'ARN del punto di accesso (senza includere il percorso dell'oggetto) e utilizzare l'operatore StartsWith o NotStartsWith.

Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su Resources.arn, impostare l'operatore for doesnot start con e quindi incollare in un bucket S3 ARN o cercare i bucket S3 per i quali non desideri registrare gli eventi.

Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

Nota
Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console quando CloudTrail crei un archivio dati di eventi. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del data store degli eventi nella console e quindi utilizzarlo AWS CLI per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Registrazione degli eventi relativi ai dati con AWS Command Line Interface.
Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 6 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.
Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.

In AWS Management Console, se il percorso utilizza selettori di eventi avanzati, è possibile scegliere tra modelli predefiniti che registrano tutti gli eventi relativi ai dati su una risorsa selezionata. Dopo aver scelto un modello di selettore di log, puoi personalizzare il modello per includere solo gli eventi di dati che desideri visualizzare. Per ulteriori informazioni e suggerimenti sull'utilizzo dei selettori di eventi avanzati, consulta Registrazione di eventi utilizzando selettori di eventi avanzati in questo argomento.

Nelle pagine Dashboard o Trails della CloudTrail console, scegli il percorso che desideri aggiornare.
Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.
Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).
Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati.
Scegli un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

Nota
La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
Se stai creando un percorso per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (per i sentieri, questa operazione può essere eseguita solo utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare l'attività degli eventi relativi ai dati eseguita da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro AWS account.
(Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

Scegli tra i seguenti campi.

readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.
eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

La tabella riportata di seguito mostra il formato ARN per ogni resources.type.

Nota

Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non dispongono di ARN.

resources.type	resources.ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	L'ARN deve essere in uno dei seguenti formati: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati sul percorso, puoi impostare il campo su Resources.ARN, impostare l'operatore for doesnot start con e quindi incollare un ARN per bucket S3 o cercare i bucket S3 per i quali non desideri registrare gli eventi.

Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

Nota
Puoi avere un massimo di 500 valori per tutti i selettori su un percorso. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzarlo AWS CLI per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Registrazione degli eventi relativi ai dati con AWS Command Line Interface.
Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 4 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.
Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.

Utilizza la seguente procedura per aggiornare un percorso esistente per registrare gli eventi di dati utilizzando selettori di eventi di base.

Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Apri la pagina Trails della CloudTrail console e scegli il nome del percorso.

Nota
Anche se è possibile modificare un percorso esistente per registrare gli eventi di dati, come best practice si consiglia di creare un percorso separato apposta per registrare gli eventi di dati.
Per Data events (Eventi di dati), scegli Edit (Modifica).
Per i bucket Amazon S3:
1. Per Data event source (Origine evento di dati), scegli S3.
2. Puoi scegliere di registrare All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.
  
  Nota
  Mantenendo l'opzione predefinita Tutti i bucket S3 attuali e futuri, abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
  Se stai creando un percorso per una singola regione (operazione eseguita utilizzando AWS CLI), la selezione dell'opzione Seleziona tutti i bucket S3 nel tuo account abilita la registrazione degli eventi relativi ai dati per tutti i bucket nella stessa regione del percorso e per tutti i bucket che creerai successivamente in quella regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
3. Se lasci l'impostazione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi Read (Lettura), Write (Scrittura) o entrambi.
4. Per selezionare singoli bucket, deseleziona le caselle di controllo Read (Lettura) e Write (Scrittura) per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri). In Individual bucket selection (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Per trovare bucket specifici, digita un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli Add bucket (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi Read (Lettura), ad esempio GetObject, gli eventi Write (Scrittura), ad esempio PutObject, oppure entrambi.
  
  Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (Read) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione Read (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione Write (Scrittura).
  
  Per rimuovere un bucket dalla registrazione, scegli X.
Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).
Per le funzioni Lambda:
1. Per Data event source (Origine evento di dati), scegli Lambda.
2. In Lambda function (Funzione Lambda), scegli All regions (Tutte le regioni) per registrare tutte le funzioni Lambda o Input function as ARN (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.
  
  Per registrare gli eventi di dati per tutte le funzioni Lambda nell'account AWS , seleziona Log all current and future functions (Registra tutte le funzioni presenti e future). Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.
  
  Nota
  Se stai creando un percorso per tutte le regioni, questa selezione consente la registrazione degli eventi di dati per tutte le funzioni attualmente nell'account AWS e qualsiasi funzione Lambda che puoi creare in qualsiasi regione dopo aver creato il percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
  La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS
3. Se scegli Input function as ARN (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.
  
  Nota
  Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI put-event-selectors comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.
Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).
Per le tabelle Dynamo DB:
1. Per Data event source (Origine evento di dati), scegli Dynamo DB.
2. In DynamoDB table selection (Selezione tabella Dynamo DB), scegli Browse (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB ha il seguente formato:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  Per aggiungere un'altra tabella, scegli Add row (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.
Seleziona Salvataggio delle modifiche.

Esempi: registrazione di eventi di dati per oggetti Amazon S3

Registrazione di eventi di dati per tutti gli oggetti S3 in un bucket S3

L'esempio seguente mostra il funzionamento della registrazione quando si configura la registrazione di tutti gli eventi di dati per un bucket S3 denominato bucket-1. In questo esempio, l' CloudTrail utente ha specificato un prefisso vuoto e l'opzione per registrare sia gli eventi di lettura che quelli di scrittura dei dati.

Un utente carica un oggetto in bucket-1.
L'operazione API PutObject è un'API a livello di oggetti di Amazon S3. Viene registrato come evento di dati in CloudTrail. Poiché l' CloudTrail utente ha specificato un bucket S3 con un prefisso vuoto, gli eventi che si verificano su qualsiasi oggetto in quel bucket vengono registrati. Il percorso o il datastore di eventi elabora e registra l'evento.
Un altro utente carica un oggetto in bucket-2.
L'operazione API PutObject si è verificata in un oggetto in un bucket S3 che non è stato specificato per il percorso o il datastore di eventi. Il percorso o il datastore di eventi non registra l'evento.

Registrazione di eventi di dati per oggetti S3 specifici

L'esempio seguente mostra il funzionamento della registrazione quando si configura un percorso o un datastore di eventi per la registrazione degli eventi per oggetti S3 specifici. In questo esempio, l' CloudTrail utente ha specificato un bucket S3 denominato bucket-3, con il prefisso my-images, e l'opzione per registrare solo gli eventi Write data.

Un utente elimina un oggetto che inizia con il prefisso my-images nel bucket, ad esempio arn:aws:s3:::bucket-3/my-images/example.jpg.
L'operazione API DeleteObject è un'API a livello di oggetti di Amazon S3. Viene registrato come evento Write data in. CloudTrail L'evento si è verificato su un oggetto corrispondente al bucket S3 e al prefisso specificati nel percorso o nel datastore di eventi. Il percorso o il datastore di eventi elabora e registra l'evento.
Un altro utente elimina un oggetto che inizia con un prefisso diverso nel bucket S3, ad esempio arn:aws:s3:::bucket-3/my-videos/example.avi.
L'evento si è verificato su un oggetto che non corrisponde al prefisso specificato nel percorso o nel datastore di eventi. Il percorso o il datastore di eventi non registra l'evento.
Un utente chiama l'operazione API GetObject per l'oggetto arn:aws:s3:::bucket-3/my-images/example.jpg.
L'evento si è verificato su un bucket e sul prefisso specificati nel percorso o nel datastore di eventi, ma GetObject è un'API a livello di oggetto Amazon S3 di tipo di sola lettura. Viene registrato come evento Read data in CloudTrail e il trail o event data store non è configurato per registrare gli eventi di lettura. Il percorso o il datastore di eventi non registra l'evento.

Nota

Per i percorsi, in caso di registrazione di eventi di dati per bucket Amazon S3 specifici, è consigliabile non utilizzare un bucket Amazon S3 per il quale è attiva la registrazione degli eventi di dati per la ricezione dei file di log specificati nella sezione relativa agli eventi di dati. L'utilizzo dello stesso bucket Amazon S3 fa sì che il percorso registri un evento di dati ogni volta che i file di log vengono distribuiti nel bucket Amazon S3. I fil di log sono eventi aggregati distribuiti a intervalli (non in un rapporto uno a uno). L'evento viene registrato nel successivo file di log. Ad esempio, quando CloudTrail consegna i log, l'PutObjectevento si verifica nel bucket S3. Se il bucket S3 viene specificato anche nella sezione degli eventi di dati, il trail elabora e registra l'evento PutObject come un evento di dati. Questa azione è un altro evento PutObject e il trail elabora e registra di nuovo l'evento. Per ulteriori informazioni, consulta Come CloudTrail funziona.

Per evitare di registrare gli eventi relativi ai dati per il bucket Amazon S3 in cui ricevi i file di log, se configuri un trail per registrare tutti gli eventi relativi ai dati di Amazon S3 nel AWS tuo account, prendi in considerazione la possibilità di configurare la consegna dei file di log a un bucket Amazon S3 che appartiene a un altro account. AWS Per ulteriori informazioni, consulta Ricezione di file di CloudTrail registro da più account.

Registrazione degli eventi relativi ai dati per gli oggetti S3 in altri account AWS

Quando configuri il tuo trail per registrare gli eventi relativi ai dati, puoi anche specificare oggetti S3 che appartengono ad altri account. AWS Quando si verifica un evento su un oggetto specificato, CloudTrail valuta se l'evento corrisponde a qualche trail in ogni account. Se l'evento corrisponde alle impostazioni di un trail, il trail elabora e registra l'evento per tale account. In genere, sia gli intermediari API che i proprietari di risorse possono ricevere eventi.

Se disponi di un oggetto S3 e lo specifichi nel trail, il trail registra gli eventi che si verificano nell'oggetto nel tuo account. Poiché sei il proprietario dell'oggetto, il trail registra anche gli eventi quando altri account chiamano l'oggetto.

Se specifichi un oggetto S3 nel trail e un altro account è proprietario dell'oggetto, il trail registra solo gli eventi che si verificano in tale oggetto nel tuo account. Il trail non registra gli eventi che si verificano in altri account.

Esempio: registrazione di eventi di dati per un oggetto Amazon S3 per due account AWS

L'esempio seguente mostra come due AWS account si configurano CloudTrail per registrare gli eventi per lo stesso oggetto S3.

Nel tuo account vuoi che il trail registri gli eventi di dati per tutti gli oggetti nel bucket S3 denominato owner-bucket. Puoi configurare le tracce specificando il bucket S3 con un prefisso di oggetto vuoto.
Bob dispone di un account distinto che dispone dell'accesso al bucket S3. Bob vuole inoltre registrare gli eventi di dati per tutti gli oggetti nello stesso bucket S3. Durante la configurazione del suo trail specifica lo stesso bucket S3 con un prefisso di oggetto vuoto.
Bob carica un oggetto nel bucket S3 con l'operazione API PutObject.
Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.
Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra lo stesso evento. Poiché ora ci sono due copie dell'evento (una registrata nel percorso di Bob e una nella tua), vengono CloudTrail addebitate due copie dell'evento relativo ai dati.
Carichi un oggetto nel bucket S3.
Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.
Poiché l'evento non si è verificato nell'account di Bob e lui non possiede il bucket S3, il percorso di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento relativo ai dati.

Esempio: registrazione degli eventi relativi ai dati per tutti i bucket, incluso un bucket S3 utilizzato da due account AWS

L'esempio seguente mostra il comportamento di registrazione quando l'opzione Seleziona tutti i bucket S3 del tuo account è abilitata per i trail che raccolgono gli eventi relativi ai dati in un account. AWS

Nel tuo account, desideri che il tuo trail registri gli eventi di dati per tutti i bucket S3. Puoi configurare il percorso scegliendo gli eventi Read (Lettura), Write (Scrittura) o entrambi per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) in Data events (Eventi di dati).
Bob ha un account separato a cui è stato concesso l'accesso a un bucket S3 nel tuo account. Vuole registrare gli eventi di dati per il bucket a cui ha accesso. Egli configura il suo trail per ottenere gli eventi di dati per tutti i bucket S3.
Bob carica un oggetto nel bucket S3 con l'operazione API PutObject.
Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.
Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra l'evento. Poiché ora ci sono due copie dell'evento (una registrata nel percorso di Bob e l'altra nel tuo), CloudTrail addebita a ciascun account una copia dell'evento relativo ai dati.
Carichi un oggetto nel bucket S3.
Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.
Poiché l'evento non si è verificato nell'account di Bob e lui non possiede il bucket S3, il percorso di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento relativo ai dati nel tuo account.
Un terzo utente, Mary, ha accesso al bucket S3 ed esegue un'operazione GetObject sul bucket. Ella ha un trail configurato per registrare gli eventi di dati su tutti i bucket S3 nel suo account. Poiché è la chiamante dell'API, CloudTrail registra un evento relativo ai dati nelle sue tracce. Anche se Bob ha accesso al bucket, non è il proprietario della risorsa, quindi questa volta nel suo trail non viene registrato alcun evento. In qualità di proprietario della risorsa, ricevi un evento sulle tue tracce relativo all'GetObjectoperazione chiamata da Mary. CloudTrailaddebita al tuo account e all'account di Mary ogni copia dell'evento relativo ai dati: una sulle tracce di Mary e una sulle tue tracce.

Eventi di sola lettura e di sola scrittura

Quando configuri il percorso o il datastore di eventi per la registrazione degli eventi di dati e di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.

Lettura

Gli eventi Read (Lettura) includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni API Amazon EC2 DescribeSecurityGroups e DescribeSubnets. Queste operazioni restituiscono solo le informazioni sulle risorse Amazon EC2 e non modificano le configurazioni.
Scrittura

Gli eventi Write (Scrittura) includono le operazioni API che modificano o potrebbero modificare le risorse. Ad esempio, le operazioni API Amazon EC2 RunInstances e TerminateInstances modificano le istanze.

Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati

L'esempio seguente mostra come è possibile configurare i trail in modo che le attività di log per un account vengano suddivise in bucket S3 separati: un bucket riceve gli eventi di sola lettura e un secondo bucket riceve eventi di sola scrittura.

Puoi creare un trail e scegliere un bucket S3 denominato read-only-bucket per ricevere i file di log. Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi di gestione e di dati Read (Lettura).
Puoi creare un secondo trail e scegliere un bucket S3 denominato write-only-bucket per ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi di gestione e di dati Write (Scrittura).
Le operazioni API Amazon EC2 DescribeInstances e TerminateInstances si verificano nell'account.
L'operazione API DescribeInstances è un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il trail registra e distribuisce l'evento in read-only-bucket.
L'operazione API TerminateInstances è un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il trail registra e distribuisce l'evento in write-only-bucket.

Registrazione degli eventi relativi ai dati con AWS Command Line Interface

È possibile configurare i percorsi o i datastore di eventi per includere eventi di dati utilizzando la AWS CLI.

Argomenti

Registrazione degli eventi relativi ai dati per i sentieri con AWS CLI
Registrazione degli eventi relativi ai dati per gli archivi dati degli eventi con AWS CLI

Registrazione degli eventi relativi ai dati per i sentieri con AWS CLI

Puoi configurare i trail per registrare gli eventi di gestione e dati utilizzando la AWS CLI. Per verificare se il percorso sta registrando gli eventi di gestione e di dati, esegui il comando get-event-selectors.

Nota

Tieni presente che se l'account registra più di una copia degli eventi di gestione, ti verranno addebitati i costi. È sempre previsto un addebito per la registrazione degli eventi di dati. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.
È possibile utilizzare selettori di eventi avanzati o selettori di eventi di base, ma non entrambi. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.
Se il percorso utilizza selettori di eventi di base, è possibile registrare solo i seguenti tipi di risorse:
- AWS::DynamoDB::Table
- AWS::Lambda::Function
- AWS::S3::Object
Per registrare tipi di risorse aggiuntivi, è necessario utilizzare selettori di eventi avanzati. Per convertire un percorso a selettori di eventi avanzati, esegui il comando get-event-selectors per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti. A questo punto, aggiungi i selettori per tutti i tipi di risorse per i quali desideri registrare gli eventi di dati.
Puoi utilizzare selettori di eventi avanzati per applicare filtri in base al valore dei campi eventName, resources.ARN e readOnly in modo da registrare solo gli eventi di dati che ti interessano. Per ulteriori informazioni sulla configurazione di questi campi, consulta AdvancedFieldSelector.


aws cloudtrail get-event-selectors --trail-name TrailName

Il comando restituisce le impostazioni predefinite per un percorso.

Argomenti

Registrazione di eventi utilizzando selettori di eventi avanzati
Registra tutti gli eventi Amazon S3 per un bucket Amazon S3 utilizzando selettori di eventi avanzati
Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati
Registrazione di eventi utilizzando i selettori di eventi di base

Registrazione di eventi utilizzando selettori di eventi avanzati

Nota

Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti. Prima di configurare i selettori di eventi avanzati, esegui il comando get-event-selectors per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti. A questo punto, aggiungi i selettori per gli eventuali eventi di dati aggiuntivi che vuoi registrare.

L'esempio seguente crea selettori di eventi avanzati personalizzati per un percorso denominato in TrailNamemodo da includere eventi di gestione di lettura e scrittura (omettendo il readOnly selettore) PutObject ed eventi di DeleteObject dati per tutte le combinazioni bucket/prefisso di Amazon S3 ad eccezione di un bucket denominato ed eventi di dati per una funzione denominata. sample_bucket_name AWS Lambda MyLambdaFunction Poiché si tratta di selettori di eventi avanzati personalizzati, ogni set di selettori ha un nome descrittivo. Nota che una barra finale fa parte del valore ARN per i bucket S3.


aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::sample_bucket_name/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::sample_bucket_name/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registra tutti gli eventi Amazon S3 per un bucket Amazon S3 utilizzando selettori di eventi avanzati

Nota

Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un S3 Bucket specifico. Il valore per gli eventi S3 per il campo resources.type è AWS::S3::Object. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith affinché resources.ARN acquisisca tutti gli eventi.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::bucket_name/"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::bucket_name/"
                    ]
                }
            ]
        }
    ]
}

Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati

Nota

Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

Questo comando restituisce il seguente output di esempio.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Registrazione di eventi utilizzando i selettori di eventi di base

Di seguito è riportato un risultato di esempio del comando get-event-selectors, che mostra i selettori di eventi di base. Per impostazione predefinita, quando crei un percorso utilizzando il AWS CLI, un trail registra tutti gli eventi di gestione. Per impostazione predefinita, i trail non registrano gli eventi di dati


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Per configurare il percorso per registrare gli eventi di gestione e di dati, esegui il comando put-event-selectors.

L'esempio seguente mostra come utilizzare i selettori di eventi di base per configurare il percorso in modo da includere tutti gli eventi di gestione e gli eventi di dati per gli oggetti S3 in due prefissi di bucket S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.

Nota

Il numero massimo di risorse di dati S3 è 250, se scegli di limitare gli eventi di dati utilizzando selettori di eventi di base.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

Il comando restituisce i selettori di eventi configurati per il percorso.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::mybucket/prefix",
                        "arn:aws:s3:::mybucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Registrazione degli eventi relativi ai dati per gli archivi dati degli eventi con AWS CLI

È possibile configurare i datastore di eventi per includere eventi di dati utilizzando la AWS CLI. Utilizza il comando create-event-data-store per creare un nuovo datastore di eventi registrare gli eventi di dati. Utilizza il comando update-event-data-store per aggiornare i selettori di eventi avanzati per un datastore di eventi esistente.

Per vedere se il datastore di eventi include eventi di gestione, esegui il comando get-event-data-store.


aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

Il comando restituisce le impostazioni per il datastore di eventi.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Argomenti

Inclusione di tutti gli eventi Amazon S3 per un bucket
Inclusione di Amazon S3 negli eventi AWS Outposts

Inclusione di tutti gli eventi Amazon S3 per un bucket

L'esempio seguente mostra come creare un datastore di eventi per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un bucket S3 specifico. Il valore per gli eventi S3 per il campo resources.type è AWS::S3::Object. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith affinché resources.ARN acquisisca tutti gli eventi.


aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::bucket_name/"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::bucket_name/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00"
}

Inclusione di Amazon S3 negli eventi AWS Outposts

L'esempio seguente mostra come creare un datastore di eventi che include tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost.


aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Registrazione di eventi di dati per la conformità di AWS Config

Se utilizzi pacchetti di AWS Config conformità per aiutare la tua azienda a mantenere la conformità a standard formalizzati come quelli richiesti dal Federal Risk and Authorization Management Program (FedRAMP) o dal National Institute of Standards and Technology (NIST), i pacchetti di conformità per i framework di conformità in genere richiedono almeno la registrazione degli eventi di dati per i bucket Amazon S3. I pacchetti di conformità per i framework di conformità includono una regola gestita chiamata cloudtrail-s3-dataevents-enabled, che controlla la registrazione degli eventi di dati S3 nell'account. Anche molti pacchetti di conformità non sono associati a framework di conformità richiedono la registrazione degli eventi di dati S3. Di seguito sono riportati esempi di pacchetti di conformità che includono questa regola.

Per un elenco completo dei pacchetti di conformità di esempio disponibili in AWS Config, consulta i modelli di esempio dei pacchetti di conformità nella Guida per gli sviluppatori.AWS Config

Registrazione degli eventi relativi ai dati con gli SDK AWS

Esegui l'GetEventSelectorsoperazione per vedere se il tuo percorso sta registrando gli eventi relativi ai dati. È possibile configurare i percorsi per registrare gli eventi relativi ai dati eseguendo l'PutEventSelectorsoperazione. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.

Esegui l'GetEventDataStoreoperazione per vedere se il tuo Event Data Store sta registrando gli eventi relativi ai dati. È possibile configurare i data store degli eventi per includere eventi di dati eseguendo UpdateEventDataStorele operazioni CreateEventDataStoreo e specificando selettori di eventi avanzati. Per ulteriori informazioni, consulta Gestione di CloudTrail Lake tramite la AWS CLI e il Riferimento API di AWS CloudTrail.

Invio di eventi ad Amazon CloudWatch Logs

CloudTrail supporta l'invio di eventi di dati a CloudWatch Logs. Quando configuri il percorso per inviare eventi al gruppo di log CloudWatch Logs, CloudTrail invia solo gli eventi specificati nel percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi relativi ai dati, il percorso invia gli eventi di dati solo al gruppo di log CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione degli eventi di gestione

Registrazione degli eventi Insights