Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Registrazione degli eventi di dati

PDF
RSS
Modalità Focus
Registrazione degli eventi di dati - AWS CloudTrail
Eventi di datiEventi di sola lettura e di sola scritturaRegistrazione degli eventi relativi ai dati con AWS Management ConsoleRegistrazione degli eventi relativi ai dati con AWS Command Line InterfaceRegistrazione di eventi di dati per la conformità di AWS ConfigRegistrazione degli eventi relativi ai dati con AWS SDKs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questa sezione descrive come registrare gli eventi relativi ai dati utilizzando la CloudTrail console e AWS CLI.

Per impostazione predefinita, i percorsi e i datastore di eventi non registrano gli eventi di dati. Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta AWS CloudTrail Prezzi.

Gli eventi di dati forniscono informazioni sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati.

Gli eventi di dati di esempio includono:

Puoi utilizzare selettori di eventi avanzati per creare selettori dettagliati, che ti aiutano a controllare i costi registrando solo gli eventi specifici di interesse per i tuoi casi d'uso. Ad esempio, puoi utilizzare selettori di eventi avanzati per registrare chiamate API specifiche aggiungendo un filtro sul campo. eventName Per ulteriori informazioni, consulta Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati.

Nota

Gli eventi registrati dai tuoi percorsi sono disponibili su Amazon EventBridge. Ad esempio, se decidi di registrare gli eventi di dati per gli oggetti S3 ma non gli eventi di gestione, il percorso elabora e registra solo gli eventi di dati per gli oggetti S3 specificati. Gli eventi relativi ai dati per questi oggetti S3 sono disponibili in Amazon EventBridge. Per ulteriori informazioni, consulta Events from AWS services nella Amazon EventBridge User Guide.

Indice

Eventi di dati

La tabella seguente mostra i tipi di risorse disponibili per i percorsi e gli archivi di dati di eventi. La colonna Tipo di risorsa (console) mostra la selezione appropriata nella console. La colonna del valore resources.type mostra il resources.type valore da specificare per includere eventi di dati di quel tipo nel tuo trail o event data store utilizzando o. AWS CLI CloudTrail APIs

Per i trail, puoi utilizzare selettori di eventi di base o avanzati per registrare gli eventi di dati per oggetti Amazon S3 in bucket generici, funzioni Lambda e tabelle DynamoDB (mostrate nelle prime tre righe della tabella). Puoi utilizzare solo selettori di eventi avanzati per registrare i tipi di risorse mostrati nelle righe rimanenti.

Per i datastore di eventi, per includere gli eventi di dati è possibile utilizzare solo i selettori di eventi avanzati.

Servizio AWS Descrizione Tipo di risorsa (console) valore resources.type
Amazon DynamoDB

Attività delle API a livello di elemento di Amazon DynamoDB sulle tabelle (ad esempioPutItem, DeleteItem e operazioni API). UpdateItem

Nota

Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul campo. eventName

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda attività di esecuzione della funzione (l'InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

Attività delle API a livello di oggetto di Amazon S3 (ad esempio GetObjectDeleteObject, e operazioni PutObject API) su oggetti in bucket generici.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig Attività dell'API per operazioni di configurazione come chiamate a e. StartConfigurationSession GetLatestConfiguration

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync Attività delle API su AppSync GraphQL APIs.

 AppSync GraphQL AWS::AppSync::GraphQL
AWS Scambio di dati B2B

Attività dell'API Scambio di dati B2B per operazioni Transformer, come le chiamate a GetTransformerJob e StartTransformerJob.

 Scambio di dati B2B AWS::B2BI::Transformer
AWS Backup

AWS Backup Attività dell'API Search Data sulle offerte di lavoro di ricerca.

 AWS Backup Dati di ricerca APIs AWS::Backup::SearchJob
Amazon Bedrock Attività dell'API Amazon Bedrock sull'alias di un agente. Alias dell'agente Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock Attività dell'API Amazon Bedrock sulle chiamate asincrone. Richiamo asincrono Bedrock AWS::Bedrock::AsyncInvoke
Amazon Bedrock Attività dell'API Amazon Bedrock su un alias di flusso. Alias di flusso Bedrock AWS::Bedrock::FlowAlias
Amazon Bedrock Attività dell'API Amazon Bedrock sui guardrail. Parapetto Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock Attività dell'API Amazon Bedrock sugli agenti in linea. Agente in linea Bedrock Invoke AWS::Bedrock::InlineAgent
Amazon Bedrock Attività dell'API Amazon Bedrock su una knowledge base. Knowledge base Bedrock AWS::Bedrock::KnowledgeBase
Amazon Bedrock Attività dell'API Amazon Bedrock sui modelli. Modello Bedrock AWS::Bedrock::Model
Amazon Bedrock Attività dell'API Amazon Bedrock sui prompt. Richiesta Bedrock AWS::Bedrock::PromptVersion
Amazon CloudFront

CloudFront Attività delle API su un KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map Attività dell'API su un namespace. AWS Cloud Map spazio dei nomi AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map Attività dell'API su un servizio. AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsattività su un canale CloudTrail Lake che viene utilizzata per registrare eventi dall'esterno AWS.

 CloudTrail canale AWS::CloudTrail::Channel
Amazon CloudWatch

Attività dell' CloudWatch API Amazon sulle metriche.

 CloudWatch parametro AWS::CloudWatch::Metric
Amazon CloudWatch RUM

Attività dell'API Amazon CloudWatch RUM sui monitor delle app.

 Monitoraggio delle app RUM AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru Attività dell'API Profiler sui gruppi di profilazione. CodeGuru Gruppo di profilazione Profiler AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer Attività dell' CodeWhisperer API Amazon su una personalizzazione. CodeWhisperer personalizzazione AWS::CodeWhisperer::Customization
Amazon CodeWhisperer Attività dell' CodeWhisperer API Amazon su un profilo. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Attività dell'API Amazon Cognito sui pool di identità di Amazon Cognito.

 Pool di identità di Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange Attività delle API sugli asset.

Risorsa Data Exchange

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline CloudAttività delle API sulle flotte.

Deadline Cloud flotta

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline Cloudattività delle API sui lavori.

Deadline Cloud lavoro

AWS::Deadline::Job
AWS Deadline Cloud

Deadline Cloudattività delle API in coda.

Deadline Cloud coda

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline CloudAttività delle API sui lavoratori.

Deadline Cloud lavoratore

AWS::Deadline::Worker
Amazon DynamoDB

Attività dell'API Amazon DynamoDB sui flussi

 DynamoDB Streams AWS::DynamoDB::Stream
AWS SMS di messaggistica per l'utente finale AWS Attività dell'API SMS di messaggistica per l'utente finale sulle identità di origine. Identità di origine tramite SMS Voice AWS::SMSVoice::OriginationIdentity
AWS SMS di messaggistica per l'utente finale AWS Attività dell'API SMS di messaggistica per l'utente finale sui messaggi. Messaggio vocale SMS AWS::SMSVoice::Message
AWS Messaggistica sociale per utenti finali AWS Attività dell'API Social Messaging per l'utente finale sul numero di telefono IDs. ID del numero di telefono di messaggistica sociale AWS::SocialMessaging::PhoneNumberId
AWS Social di messaggistica per utenti finali AWS Attività dell'API End User Messaging Social su Waba IDs. ID Waba per la messaggistica sociale AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) direct APIs, ad esempio GetSnapshotBlock e su PutSnapshotBlock istantanee ListChangedBlocks Amazon EBS.

 Amazon EBS diretto APIs AWS::EC2::Snapshot
Amazon EMR Attività dell'API Amazon EMR su un'area di lavoro di log write-ahead. Workspace di registrazione write-ahead EMR AWS::EMRWAL::Workspace
Amazon FinSpace

Attività dell'API Amazon FinSpace sugli ambienti

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue Attività dell'API su tabelle create da Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

Attività dell' GuardDuty API Amazon per un rilevatore.

 GuardDuty rilevatore AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging attività delle API sugli archivi dati.

 MedicalImaging archivio dati AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT attività delle API sui certificati.

 Certificato IoT AWS::IoT::Certificate
AWS IoT

AWS IoT Attività delle API sugli oggetti.

 Cosa IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Attività dell'API Greengrass da un dispositivo principale Greengrass su una versione componente.

Nota

Greengrass non registra gli eventi di accesso negato.

 Versione componente IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Attività dell'API Greengrass da un dispositivo principale Greengrass in una distribuzione.

Nota

Greengrass non registra gli eventi di accesso negato.

 Implementazione di IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

Attività dell' SiteWise API IoT sugli asset.

 SiteWise Risorsa IoT AWS::IoTSiteWise::Asset
AWS IoT SiteWise

Attività dell' SiteWise API IoT su serie temporali.

 Serie SiteWise temporali IoT AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Assistente

Attività dell'API Sitewise Assistant sulle conversazioni.

 Conversazione con Sitewise Assistant AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

Attività dell' TwinMaker API IoT su un'entità.

 TwinMaker Entità IoT AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

Attività dell' TwinMaker API IoT su un'area di lavoro.

 Spazio di TwinMaker lavoro IoT AWS::IoTTwinMaker::Workspace
Classificazione intelligente di Amazon Kendra

Attività dell'API Amazon Kendra Intelligent Ranking sui piani di esecuzione di rescore.

 Classificazione Kendra AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (per Apache Cassandra) Attività dell'API Amazon Keyspaces su una tabella. Tabella Cassandra AWS::Cassandra::Table
Flusso di dati Amazon Kinesis Attività dell'API Kinesis Data Streams sugli stream. Stream Kinesis AWS::Kinesis::Stream
Flusso di dati Amazon Kinesis Attività dell'API Kinesis Data Streams sui consumatori di streaming. Kinesis Stream Consumer AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Attività dell'API Kinesis Video Streams sui flussi video, ad esempio chiamate verso e. GetMedia PutMedia Flusso video Kinesis AWS::KinesisVideo::Stream
Amazon Location Maps Attività dell'API Amazon Location Maps. Mappe geografiche AWS::GeoMaps::Provider
Luoghi di Amazon Location Attività dell'API Amazon Location Places. Luoghi geografici AWS::GeoPlaces::Provider
Route di Amazon Location Attività dell'API Amazon Location Routes. Percorsi geografici AWS::GeoRoutes::Provider
Amazon Machine Learning Attività dell'API di Machine Learning sui modelli ML. Apprendimento automatico MlModel AWS::MachineLearning::MlModel
Blockchain gestita da Amazon

Attività dell'API Blockchain gestita da Amazon su una rete.

 Rete Blockchain gestita AWS::ManagedBlockchain::Network
Blockchain gestita da Amazon

Chiamate JSON-RPC di Blockchain gestita da Amazon sui nodi Ethereum, come eth_getBalance o eth_getBlockByNumber.

 Blockchain gestita AWS::ManagedBlockchain::Node
Amazon Managed Workflows for Apache Airflow

Attività dell'API Amazon MWAA negli ambienti.

 Apache Airflow gestito AWS::MWAA::Environment
Grafo Amazon Neptune

Attività dell'API dati, ad esempio query, algoritmi o ricerca vettoriale, su un grafo Neptune.

 Grafo Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

Attività dell'API Amazon One Enterprise su un UKey.

 Amazon Uno UKey AWS::One::UKey
Amazon One Enterprise

Attività dell'API Amazon One Enterprise sugli utenti.

 Utente Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography Attività delle API sugli alias. Alias di crittografia dei pagamenti AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography Attività delle API sulle chiavi. Chiave di crittografia dei pagamenti AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Connettore per l'attività dell'API di Active Directory.

 AWS Private CA Connettore per Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Connettore per l'attività dell'API SCEP.

 AWS Private CA Connettore per SCEP AWS::PCAConnectorSCEP::Connector
App Amazon Q

Attività delle API di dati su Amazon Q Apps.

 App Amazon Q AWS::QApps::QApp
App Amazon Q

Attività delle API di dati nelle sessioni di Amazon Q App.

 Sessione dell'app Amazon Q AWS::QApps::QAppSession
Amazon Q Business

Attività dell'API Amazon Q Business su un'applicazione.

 Applicazione Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

Attività dell'API Amazon Q Business su un'origine dati.

 Origine dati Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

Attività dell'API Amazon Q Business su un indice.

 Indice Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

Attività dell'API Amazon Q Business su un'esperienza Web.

 Esperienza Web Amazon Q Business AWS::QBusiness::WebExperience
Amazon Q Developer

Attività dell'API Amazon Q Developer su un'integrazione.

 Integrazione con Q Developer AWS::QDeveloper::Integration
Amazon Q Developer

Attività dell'API Amazon Q Developer sulle indagini operative.

 AIOps Gruppo di indagine AWS::AIOps::InvestigationGroup
Amazon RDS

Attività dell'API Amazon RDS su un cluster DB.

 API dati RDS - Cluster DB AWS::RDS::DBCluster
Esploratore di risorse AWS

Attività dell'API Resource Explorer sulle viste gestite.

 Esploratore di risorse AWS visualizzazione gestita AWS::ResourceExplorer2::ManagedView
Esploratore di risorse AWS

Attività dell'API Resource Explorer sulle viste.

 Esploratore di risorse AWS visualizza AWS::ResourceExplorer2::View
Amazon S3

Attività dell'API Amazon S3 sui punti di accesso.

 Punto di accesso S3 AWS::S3::AccessPoint
Amazon S3

Attività delle API a livello di oggetto di Amazon S3 (ad esempio GetObjectDeleteObject, e operazioni PutObject API) sugli oggetti nei bucket di directory.

 S3 Express AWS::S3Express::Object
Amazon S3

Attività delle API dei punti di accesso Amazon S3 Object Lambda, ad esempio chiamate a e. CompleteMultipartUpload GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Tabelle di Amazon S3

Attività dell'API Amazon S3 sulle tabelle.

 Tabella S3 AWS::S3Tables::Table
Tabelle di Amazon S3

Attività dell'API Amazon S3 su bucket da tabella.

 Secchio da tavolo S3 AWS::S3Tables::TableBucket
Amazon S3 su Outposts

Attività dell'API a livello di oggetto di Amazon S3 su Outposts.

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker AI InvokeEndpointWithResponseStreamAttività di Amazon SageMaker AI sugli endpoint. SageMaker Endpoint AI AWS::SageMaker::Endpoint
Amazon SageMaker AI

Attività dell'API Amazon SageMaker AI sui feature store.

 SageMaker AI feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker AI

Attività dell'API Amazon SageMaker AI sui componenti di prova sperimentali.

 SageMaker Componente di prova dell'esperimento AI Metrics AWS::SageMaker::ExperimentTrialComponent
AWS Signer

Attività dell'API Signer sulla firma dei lavori.

 Firmatario che firma un lavoro AWS::Signer::SigningJob
AWS Signer

Attività dell'API Signer sulla firma dei profili.

 Profilo di firma del firmatario AWS::Signer::SigningProfile
Amazon SimpleDB

Attività dell'API Amazon SimpleDB sui domini.

 Dominio SimpleDB AWS::SDB::Domain
Amazon SNS

Operazioni dell'API Publish Amazon SNS sugli endpoint della piattaforma.

 Endpoint della piattaforma SNS AWS::SNS::PlatformEndpoint
Amazon SNS

Operazioni API Publish e PublishBatch di Amazon SNS sugli argomenti.

 Argomento SNS AWS::SNS::Topic
Amazon SQS

Attività dell'API Amazon SQS sui messaggi.

 SQS AWS::SQS::Queue
AWS Step Functions

Attività dell'API Step Functions sulle attività.

 Step Functions AWS::StepFunctions::Activity
AWS Step Functions

Attività dell'API Step Functions su macchine a stati.

 Macchina a stati di Step Functions AWS::StepFunctions::StateMachine
Catena di approvvigionamento di AWS

Catena di approvvigionamento di AWS Attività dell'API su un'istanza.

 Catena di fornitura AWS::SCN::Instance
Amazon SWF

Attività dell'API Amazon SWF sui domini.

 Dominio SWF AWS::SWF::Domain
AWS Systems Manager Attività dell'API Systems Manager sui canali di controllo. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager Attività dell'API Systems Manager sui nodi gestiti. Nodo gestito da Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Attività dell'API Query di Amazon Timestream sui database. Database Timestream AWS::Timestream::Database
Amazon Timestream Attività dell'API Amazon Timestream sugli endpoint regionali. Endpoint regionale Timestream AWS::Timestream::RegionalEndpoint
Amazon Timestream Attività dell'API Query di Amazon Timestream sulle tabelle. Tabella Timestream AWS::Timestream::Table
Autorizzazioni verificate da Amazon

Attività dell'API Autorizzazioni verificate da Amazon su un archivio di policy.

 Autorizzazioni verificate da Amazon AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces Attività dell'API Thin Client su un dispositivo. Dispositivo Thin client AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces Attività dell'API Thin Client in un ambiente. Ambiente Thin client AWS::ThinClient::Environment
AWS X-Ray

Attività dell'API X-Ray sulle tracce.

 Traccia a raggi X AWS::XRay::Trace

Per registrare gli eventi CloudTrail relativi ai dati, è necessario aggiungere in modo esplicito ogni tipo di risorsa per cui si desidera raccogliere attività. Per ulteriori informazioni, consulta Creazione di un percorso con la CloudTrail console e Crea un archivio dati di CloudTrail eventi per gli eventi con la console.

In un percorso o un datastore di eventi a singola Regione, puoi registrare gli eventi di dati solo per le risorse a cui è possibile accedere in tale Regione. Sebbene i bucket S3 siano globali, le AWS Lambda funzioni e le tabelle DynamoDB sono regionali.

Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i CloudTrail prezzi, consulta Prezzi.AWS CloudTrail

Esempi: registrazione di eventi di dati per oggetti Amazon S3

Registrazione di eventi di dati per tutti gli oggetti S3 in un bucket S3

L'esempio seguente mostra il funzionamento della registrazione quando si configura la registrazione di tutti gli eventi di dati per un bucket S3 denominato amzn-s3-demo-bucket. In questo esempio, l' CloudTrail utente ha specificato un prefisso vuoto e l'opzione per registrare sia gli eventi di lettura che quelli di scrittura dei dati.

  1. Un utente carica un oggetto in amzn-s3-demo-bucket.

  2. L'operazione API PutObject è un'API a livello di oggetti di Amazon S3. Viene registrato come evento di dati in CloudTrail. Poiché l' CloudTrail utente ha specificato un bucket S3 con un prefisso vuoto, gli eventi che si verificano su qualsiasi oggetto in quel bucket vengono registrati. Il percorso o il datastore di eventi elabora e registra l'evento.

  3. Un altro utente carica un oggetto in amzn-s3-demo-bucket2.

  4. L'operazione API PutObject si è verificata in un oggetto in un bucket S3 che non è stato specificato per il percorso o il datastore di eventi. Il percorso o il datastore di eventi non registra l'evento.

Registrazione di eventi di dati per oggetti S3 specifici

L'esempio seguente mostra il funzionamento della registrazione quando si configura un percorso o un datastore di eventi per la registrazione degli eventi per oggetti S3 specifici. In questo esempio, l' CloudTrail utente ha specificato un bucket S3 denominatoamzn-s3-demo-bucket3, con il prefisso e l'opzione per registrare solo gli eventi di my-images scrittura dei dati.

  1. Un utente elimina un oggetto che inizia con il prefisso my-images nel bucket, ad esempio arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.

  2. L'operazione API DeleteObject è un'API a livello di oggetti di Amazon S3. Viene registrato come evento Write data in. CloudTrail L'evento si è verificato su un oggetto corrispondente al bucket S3 e al prefisso specificati nel percorso o nel datastore di eventi. Il percorso o il datastore di eventi elabora e registra l'evento.

  3. Un altro utente elimina un oggetto che inizia con un prefisso diverso nel bucket S3, ad esempio arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi.

  4. L'evento si è verificato su un oggetto che non corrisponde al prefisso specificato nel percorso o nel datastore di eventi. Il percorso o il datastore di eventi non registra l'evento.

  5. Un utente chiama l'operazione API GetObject per l'oggetto arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.

  6. L'evento si è verificato su un bucket e sul prefisso specificati nel percorso o nel datastore di eventi, ma GetObject è un'API a livello di oggetto Amazon S3 di tipo di sola lettura. Viene registrato come evento Read data in CloudTrail e il trail o event data store non è configurato per registrare gli eventi di lettura. Il percorso o il datastore di eventi non registra l'evento.

Nota

Per i percorsi, in caso di registrazione di eventi di dati per bucket Amazon S3 specifici, è consigliabile non utilizzare un bucket Amazon S3 per il quale è attiva la registrazione degli eventi di dati per la ricezione dei file di log specificati nella sezione relativa agli eventi di dati. L'utilizzo dello stesso bucket Amazon S3 fa sì che il percorso registri un evento di dati ogni volta che i file di log vengono distribuiti nel bucket Amazon S3. I fil di log sono eventi aggregati distribuiti a intervalli (non in un rapporto uno a uno). L'evento viene registrato nel successivo file di log. Ad esempio, quando CloudTrail consegna i log, l'PutObjectevento si verifica nel bucket S3. Se il bucket S3 viene specificato anche nella sezione degli eventi di dati, il trail elabora e registra l'evento PutObject come un evento di dati. Questa azione è un altro evento PutObject e il trail elabora e registra di nuovo l'evento.

Per evitare di registrare gli eventi relativi ai dati per il bucket Amazon S3 in cui ricevi i file di log, se configuri un trail per registrare tutti gli eventi relativi ai dati di Amazon S3 nel AWS tuo account, prendi in considerazione la possibilità di configurare la consegna dei file di log a un bucket Amazon S3 che appartiene a un altro account. AWS Per ulteriori informazioni, consulta Ricezione di file di CloudTrail registro da più account.

Registrazione degli eventi relativi ai dati per gli oggetti S3 in altri account AWS

Quando configuri il tuo trail per registrare gli eventi relativi ai dati, puoi anche specificare oggetti S3 che appartengono ad altri account. AWS Quando si verifica un evento in un oggetto specifico, CloudTrail valuta se l'evento corrisponde a qualsiasi trail in ciascun account. Se l'evento corrisponde alle impostazioni di un trail, il trail elabora e registra l'evento per tale account. In genere, sia gli intermediari API che i proprietari di risorse possono ricevere eventi.

Se disponi di un oggetto S3 e lo specifichi nel trail, il trail registra gli eventi che si verificano nell'oggetto nel tuo account. Poiché sei il proprietario dell'oggetto, il trail registra anche gli eventi quando altri account chiamano l'oggetto.

Se specifichi un oggetto S3 nel trail e un altro account è proprietario dell'oggetto, il trail registra solo gli eventi che si verificano in tale oggetto nel tuo account. Il trail non registra gli eventi che si verificano in altri account.

Esempio: registrazione di eventi di dati per un oggetto Amazon S3 per due account AWS

L'esempio seguente mostra come due AWS account si configurano CloudTrail per registrare gli eventi per lo stesso oggetto S3.

  1. Nel tuo account vuoi che il trail registri gli eventi di dati per tutti gli oggetti nel bucket S3 denominato amzn-s3-demo-bucket. Puoi configurare le tracce specificando il bucket S3 con un prefisso di oggetto vuoto.

  2. Bob dispone di un account distinto che dispone dell'accesso al bucket S3. Bob vuole inoltre registrare gli eventi di dati per tutti gli oggetti nello stesso bucket S3. Durante la configurazione del suo trail specifica lo stesso bucket S3 con un prefisso di oggetto vuoto.

  3. Bob carica un oggetto nel bucket S3 con l'operazione API PutObject.

  4. Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.

  5. Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra lo stesso evento. Poiché ora ci sono due copie dell'evento (una registrata nel percorso di Bob e una nella tua), vengono CloudTrail addebitate due copie dell'evento relativo ai dati.

  6. Carichi un oggetto nel bucket S3.

  7. Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.

  8. Poiché l'evento non si è verificato nell'account di Bob e lui non possiede il bucket S3, il percorso di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento relativo ai dati.

Esempio: registrazione degli eventi relativi ai dati per tutti i bucket, incluso un bucket S3 utilizzato da due account AWS

L'esempio seguente mostra il comportamento di registrazione quando l'opzione Seleziona tutti i bucket S3 del tuo account è abilitata per i trail che raccolgono gli eventi relativi ai dati in un account. AWS

  1. Nel tuo account, desideri che il tuo trail registri gli eventi di dati per tutti i bucket S3. Puoi configurare il percorso scegliendo gli eventi Read (Lettura), Write (Scrittura) o entrambi per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) in Data events (Eventi di dati).

  2. Bob ha un account separato a cui è stato concesso l'accesso a un bucket S3 nel tuo account. Vuole registrare gli eventi di dati per il bucket a cui ha accesso. Egli configura il suo trail per ottenere gli eventi di dati per tutti i bucket S3.

  3. Bob carica un oggetto nel bucket S3 con l'operazione API PutObject.

  4. Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.

  5. Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra l'evento. Poiché ora ci sono due copie dell'evento (una registrata nel percorso di Bob e l'altra nel tuo), CloudTrail addebita a ciascun account una copia dell'evento relativo ai dati.

  6. Carichi un oggetto nel bucket S3.

  7. Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.

  8. Poiché l'evento non si è verificato nell'account di Bob e lui non possiede il bucket S3, il percorso di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento relativo ai dati nel tuo account.

  9. Un terzo utente, Mary, ha accesso al bucket S3 ed esegue un'operazione GetObject sul bucket. Ella ha un trail configurato per registrare gli eventi di dati su tutti i bucket S3 nel suo account. Poiché è la chiamante dell'API, CloudTrail registra un evento relativo ai dati nelle sue tracce. Anche se Bob ha accesso al bucket, non è il proprietario della risorsa, quindi questa volta nel suo trail non viene registrato alcun evento. Come proprietario delle risorse, ricevi un evento nel tuo trail riguardo all'operazione GetObject che Mary ha richiamato. CloudTrail esegue un addebito sul tuo account e su quello di Mary di ogni copia dell'evento di dati: una nel trail di Mary e una nel tuo.

Eventi di sola lettura e di sola scrittura

Quando configuri il percorso o il datastore di eventi per la registrazione degli eventi di dati e di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.

  • Lettura

    Gli eventi Read (Lettura) includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni Amazon EC2 DescribeSecurityGroups e DescribeSubnets API. Queste operazioni restituiscono solo informazioni sulle tue EC2 risorse Amazon e non modificano le configurazioni.

  • Scrittura

    Gli eventi Write (Scrittura) includono le operazioni API che modificano o potrebbero modificare le risorse. Ad esempio, le operazioni Amazon EC2 RunInstances e TerminateInstances API modificano le tue istanze.

Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati

L'esempio seguente mostra come configurare i trail per suddividere l'attività di registro di un account in bucket S3 separati: un bucket denominato amzn-s3-demo-bucket1 riceve eventi di sola lettura e un secondo amzn-s3-demo-bucket2 riceve eventi di sola scrittura.

  1. Si crea un trail e si sceglie il bucket S3 denominato per ricevere i file di registro. amzn-s3-demo-bucket1 Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi di gestione e di dati Read (Lettura).

  2. Crei un secondo trail e scegli il bucket S3 amzn-s3-demo-bucket2 per ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi di gestione e di dati Write (Scrittura).

  3. Le operazioni Amazon EC2 DescribeInstances e TerminateInstances API avvengono nel tuo account.

  4. L'operazione API DescribeInstances è un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il trail registra e distribuisce l'evento in amzn-s3-demo-bucket1.

  5. L'operazione API TerminateInstances è un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il trail registra e distribuisce l'evento in amzn-s3-demo-bucket2 .

Registrazione degli eventi relativi ai dati con AWS Management Console

Le seguenti procedure descrivono come aggiornare un datastore di eventi esistente o come tracciare gli eventi di dati utilizzando la AWS Management Console. Per ulteriori informazioni su come creare un datastore di eventi per registrare gli eventi di dati, consulta Crea un archivio dati di CloudTrail eventi per gli eventi con la console. Per ulteriori informazioni su come creare un percorso per registrare gli eventi di dati, consulta Creazione di un percorso con la console.

Per i percorsi, i passaggi per la registrazione degli eventi relativi ai dati variano a seconda che si utilizzino selettori di eventi avanzati o selettori di eventi di base. Puoi registrare eventi di dati per tutti i tipi di risorse utilizzando selettori di eventi avanzati, ma se utilizzi selettori di eventi di base sei limitato alla registrazione di eventi di dati per bucket Amazon S3 e oggetti bucket, AWS Lambda funzioni e tabelle Amazon DynamoDB.

Utilizza la seguente procedura per aggiornare un datastore di eventi esistente per registrare gli eventi di dati. Per ulteriori informazioni sull'utilizzo dei selettori di eventi avanzati, Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati consultate questo argomento.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Nella pagina Datastore di eventi, scegli il datastore di eventi che desideri aggiornare.

    Nota

    È possibile abilitare gli eventi relativi ai dati solo nei data store di eventi che contengono CloudTrail eventi. Non è possibile abilitare eventi di dati nei data store di eventi per elementi di AWS Config configurazione, eventi CloudTrail Insights o non AWS eventi. CloudTrail

  4. Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.

  5. Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).

  6. Per Tipo di risorsa, scegli il tipo di risorsa su cui desideri registrare gli eventi relativi ai dati.

  7. Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

  8. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

  9. Se hai selezionato Personalizzato, in Advanced event selectors crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.

    Nota

    I selettori non supportano l'uso di caratteri jolly come. * Per abbinare più valori a una singola condizione, puoi usareStartsWith, EndsWithNotStartsWith, o NotEndsWith far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.

    1. Scegli tra i seguenti campi.

      • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

      • eventSource— L'origine dell'evento da includere o escludere. Questo campo può utilizzare qualsiasi operatore.

      • eventType — Il tipo di evento da includere o escludere. Ad esempio, è possibile impostare questo campo su non uguale AwsServiceEvent a escludere. Servizio AWS eventi Per un elenco dei tipi di eventi, vedere eventTypein. CloudTrail contenuto del record

      • sessionCredentialFromConsole: include o esclude eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su uguale o non uguale con un valore di. true

      • UserIdentity.ARN: include o esclude eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .

      • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type Per ulteriori informazioni, consulta Filtraggio degli eventi di dati per resources.ARN.

        Nota

        Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibili. ARNs

      Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su Resources.arn, impostare l'operatore for doesnot start con e quindi incollare un bucket S3 ARN per il quale non desideri registrare gli eventi.

      Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

      CloudTrail Per Come CloudTrail valuta più condizioni per un campo informazioni su come valuta più condizioni, consulta.

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

  10. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati. Ripeti i passaggi 6 di questo passaggio per configurare i selettori di eventi avanzati per un altro tipo di risorsa.

  11. Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.

Utilizza la seguente procedura per aggiornare un datastore di eventi esistente per registrare gli eventi di dati. Per ulteriori informazioni sull'utilizzo dei selettori di eventi avanzati, Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati consultate questo argomento.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Nella pagina Datastore di eventi, scegli il datastore di eventi che desideri aggiornare.

    Nota

    È possibile abilitare gli eventi relativi ai dati solo nei data store di eventi che contengono CloudTrail eventi. Non è possibile abilitare eventi di dati nei data store di eventi per elementi di AWS Config configurazione, eventi CloudTrail Insights o non AWS eventi. CloudTrail

  4. Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.

  5. Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).

  6. Per Tipo di risorsa, scegli il tipo di risorsa su cui desideri registrare gli eventi relativi ai dati.

  7. Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

  8. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

  9. Se hai selezionato Personalizzato, in Advanced event selectors crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.

    Nota

    I selettori non supportano l'uso di caratteri jolly come. * Per abbinare più valori a una singola condizione, puoi usareStartsWith, EndsWithNotStartsWith, o NotEndsWith far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.

    1. Scegli tra i seguenti campi.

      • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

      • eventSource— L'origine dell'evento da includere o escludere. Questo campo può utilizzare qualsiasi operatore.

      • eventType — Il tipo di evento da includere o escludere. Ad esempio, è possibile impostare questo campo su non uguale AwsServiceEvent a escludere. Servizio AWS eventi Per un elenco dei tipi di eventi, vedere eventTypein. CloudTrail contenuto del record

      • sessionCredentialFromConsole: include o esclude eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su uguale o non uguale con un valore di. true

      • UserIdentity.ARN: include o esclude eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .

      • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type Per ulteriori informazioni, consulta Filtraggio degli eventi di dati per resources.ARN.

        Nota

        Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibili. ARNs

      Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su Resources.arn, impostare l'operatore for doesnot start con e quindi incollare un bucket S3 ARN per il quale non desideri registrare gli eventi.

      Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

      CloudTrail Per Come CloudTrail valuta più condizioni per un campo informazioni su come valuta più condizioni, consulta.

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

  10. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati. Ripeti i passaggi 6 di questo passaggio per configurare i selettori di eventi avanzati per un altro tipo di risorsa.

  11. Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.

In AWS Management Console, se il percorso utilizza selettori di eventi avanzati, è possibile scegliere tra modelli predefiniti che registrano tutti gli eventi relativi ai dati su una risorsa selezionata. Dopo aver scelto un modello di selettore di log, puoi personalizzare il modello per includere solo gli eventi di dati che desideri visualizzare. Per ulteriori informazioni sull'utilizzo dei selettori di eventi avanzati, consulta Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati questo argomento.

  1. Nelle pagine Dashboard o Trails della CloudTrail console, scegli il percorso che desideri aggiornare.

  2. Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.

  3. Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).

  4. Per Tipo di risorsa, scegli il tipo di risorsa su cui desideri registrare gli eventi relativi ai dati.

  5. Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

    Nota

    La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi relativi ai dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

    Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS

    Se stai creando un percorso per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (per i sentieri, questa operazione può essere eseguita solo utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

    La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare l'attività degli eventi relativi ai dati eseguita da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro AWS account.

  6. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

  7. Se hai selezionato Personalizzato, in Selettori di eventi avanzati crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.

    Nota

    I selettori non supportano l'uso di caratteri jolly come. * Per abbinare più valori a una singola condizione, puoi usareStartsWith, EndsWithNotStartsWith, o NotEndsWith far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.

    1. Scegli tra i seguenti campi.

      • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

      • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type Per ulteriori informazioni, consulta Filtraggio degli eventi di dati per resources.ARN.

        Nota

        Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibili. ARNs

      Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su Resources.arn, impostare l'operatore for doesnot start con e quindi incollare un bucket S3 ARN per il quale non desideri registrare gli eventi.

      Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

      CloudTrail Per Come CloudTrail valuta più condizioni per un campo informazioni su come valuta più condizioni, consulta.

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

  8. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati. Ripeti i passaggi 4 di questo passaggio per configurare i selettori di eventi avanzati per il tipo di risorsa.

  9. Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.

In AWS Management Console, se il percorso utilizza selettori di eventi avanzati, è possibile scegliere tra modelli predefiniti che registrano tutti gli eventi relativi ai dati su una risorsa selezionata. Dopo aver scelto un modello di selettore di log, puoi personalizzare il modello per includere solo gli eventi di dati che desideri visualizzare. Per ulteriori informazioni sull'utilizzo dei selettori di eventi avanzati, consulta Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati questo argomento.

  1. Nelle pagine Dashboard o Trails della CloudTrail console, scegli il percorso che desideri aggiornare.

  2. Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.

  3. Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).

  4. Per Tipo di risorsa, scegli il tipo di risorsa su cui desideri registrare gli eventi relativi ai dati.

  5. Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

    Nota

    La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi relativi ai dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

    Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS

    Se stai creando un percorso per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (per i sentieri, questa operazione può essere eseguita solo utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

    La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare l'attività degli eventi relativi ai dati eseguita da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro AWS account.

  6. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.

  7. Se hai selezionato Personalizzato, in Selettori di eventi avanzati crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.

    Nota

    I selettori non supportano l'uso di caratteri jolly come. * Per abbinare più valori a una singola condizione, puoi usareStartsWith, EndsWithNotStartsWith, o NotEndsWith far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.

    1. Scegli tra i seguenti campi.

      • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

      • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type Per ulteriori informazioni, consulta Filtraggio degli eventi di dati per resources.ARN.

        Nota

        Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibili. ARNs

      Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .

    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su Resources.arn, impostare l'operatore for doesnot start con e quindi incollare un bucket S3 ARN per il quale non desideri registrare gli eventi.

      Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

      CloudTrail Per Come CloudTrail valuta più condizioni per un campo informazioni su come valuta più condizioni, consulta.

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

  8. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati. Ripeti i passaggi 4 di questo passaggio per configurare i selettori di eventi avanzati per il tipo di risorsa.

  9. Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.

Utilizza la seguente procedura per aggiornare un percorso esistente per registrare gli eventi di dati utilizzando selettori di eventi di base.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Apri la pagina Percorsi della CloudTrail console e scegli il nome del percorso.

    Nota

    Anche se è possibile modificare un percorso esistente per registrare gli eventi di dati, come best practice si consiglia di creare un percorso separato apposta per registrare gli eventi di dati.

  3. Per Data events (Eventi di dati), scegli Edit (Modifica).

  4. Per i bucket Amazon S3:

    1. Per Data event source (Origine evento di dati), scegli S3.

    2. Puoi scegliere di registrare All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.

      Nota

      Mantenendo l'opzione predefinita Tutti i bucket S3 attuali e futuri, abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

      Se stai creando un percorso per una singola regione (operazione eseguita utilizzando AWS CLI), selezionando l'opzione Seleziona tutti i bucket S3 nel tuo account abilita la registrazione degli eventi relativi ai dati per tutti i bucket nella stessa regione del percorso e per tutti i bucket che creerai successivamente in quella regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS

    3. Se lasci l'impostazione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi Read (Lettura), Write (Scrittura) o entrambi.

    4. Per selezionare singoli bucket, deseleziona le caselle di controllo Read (Lettura) e Write (Scrittura) per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri). In Individual bucket selection (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Per trovare bucket specifici, digita un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli Add bucket (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi Read (Lettura), ad esempio GetObject, gli eventi Write (Scrittura), ad esempio PutObject, oppure entrambi.

      Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (Read) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione Read (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione Write (Scrittura).

      Per rimuovere un bucket dalla registrazione, scegli X.

  5. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati.

  6. Per le funzioni Lambda:

    1. Per Data event source (Origine evento di dati), scegli Lambda.

    2. In Lambda function (Funzione Lambda), scegli All regions (Tutte le regioni) per registrare tutte le funzioni Lambda o Input function as ARN (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.

      Per registrare gli eventi di dati per tutte le funzioni Lambda nell'account AWS , seleziona Log all current and future functions (Registra tutte le funzioni presenti e future). Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.

      Nota

      Se stai creando un percorso per tutte le regioni, questa selezione consente la registrazione degli eventi di dati per tutte le funzioni attualmente nell'account AWS e qualsiasi funzione Lambda che puoi creare in qualsiasi regione dopo aver creato il percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

      La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS

    3. Se scegli Input function as ARN (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.

      Nota

      Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI put-event-selectors comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.

  7. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati.

  8. Per le tabelle Dynamo DB:

    1. Per Data event source (Origine evento di dati), scegli Dynamo DB.

    2. In DynamoDB table selection (Selezione tabella Dynamo DB), scegli Browse (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB ha il seguente formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Per aggiungere un'altra tabella, scegli Add row (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.

  9. Scegli Save changes (Salva modifiche).

Utilizza la seguente procedura per aggiornare un percorso esistente per registrare gli eventi di dati utilizzando selettori di eventi di base.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Apri la pagina Percorsi della CloudTrail console e scegli il nome del percorso.

    Nota

    Anche se è possibile modificare un percorso esistente per registrare gli eventi di dati, come best practice si consiglia di creare un percorso separato apposta per registrare gli eventi di dati.

  3. Per Data events (Eventi di dati), scegli Edit (Modifica).

  4. Per i bucket Amazon S3:

    1. Per Data event source (Origine evento di dati), scegli S3.

    2. Puoi scegliere di registrare All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.

      Nota

      Mantenendo l'opzione predefinita Tutti i bucket S3 attuali e futuri, abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

      Se stai creando un percorso per una singola regione (operazione eseguita utilizzando AWS CLI), selezionando l'opzione Seleziona tutti i bucket S3 nel tuo account abilita la registrazione degli eventi relativi ai dati per tutti i bucket nella stessa regione del percorso e per tutti i bucket che creerai successivamente in quella regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS

    3. Se lasci l'impostazione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi Read (Lettura), Write (Scrittura) o entrambi.

    4. Per selezionare singoli bucket, deseleziona le caselle di controllo Read (Lettura) e Write (Scrittura) per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri). In Individual bucket selection (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Per trovare bucket specifici, digita un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli Add bucket (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi Read (Lettura), ad esempio GetObject, gli eventi Write (Scrittura), ad esempio PutObject, oppure entrambi.

      Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (Read) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione Read (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione Write (Scrittura).

      Per rimuovere un bucket dalla registrazione, scegli X.

  5. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati.

  6. Per le funzioni Lambda:

    1. Per Data event source (Origine evento di dati), scegli Lambda.

    2. In Lambda function (Funzione Lambda), scegli All regions (Tutte le regioni) per registrare tutte le funzioni Lambda o Input function as ARN (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.

      Per registrare gli eventi di dati per tutte le funzioni Lambda nell'account AWS , seleziona Log all current and future functions (Registra tutte le funzioni presenti e future). Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.

      Nota

      Se stai creando un percorso per tutte le regioni, questa selezione consente la registrazione degli eventi di dati per tutte le funzioni attualmente nell'account AWS e qualsiasi funzione Lambda che puoi creare in qualsiasi regione dopo aver creato il percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

      La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS

    3. Se scegli Input function as ARN (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.

      Nota

      Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI put-event-selectors comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.

  7. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati.

  8. Per le tabelle Dynamo DB:

    1. Per Data event source (Origine evento di dati), scegli Dynamo DB.

    2. In DynamoDB table selection (Selezione tabella Dynamo DB), scegli Browse (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB ha il seguente formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Per aggiungere un'altra tabella, scegli Add row (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.

  9. Scegli Save changes (Salva modifiche).

Registrazione degli eventi relativi ai dati con AWS Command Line Interface

È possibile configurare i percorsi o i datastore di eventi per includere eventi di dati utilizzando la AWS CLI.

Registrazione degli eventi relativi ai dati per i sentieri con AWS CLI

Puoi configurare i trail per registrare gli eventi di gestione e dati utilizzando la AWS CLI.

Nota

  • Tieni presente che se l'account registra più di una copia degli eventi di gestione, ti verranno addebitati i costi. È sempre previsto un addebito per la registrazione degli eventi di dati. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.

  • È possibile utilizzare selettori di eventi avanzati o selettori di eventi di base, ma non entrambi. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.

  • Se il percorso utilizza selettori di eventi di base, è possibile registrare solo i seguenti tipi di risorse:

    • AWS::DynamoDB::Table

    • AWS::Lambda::Function

    • AWS::S3::Object

    Per registrare tipi di risorse aggiuntivi, è necessario utilizzare selettori di eventi avanzati. Per convertire un percorso a selettori di eventi avanzati, esegui il comando get-event-selectors per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti. A questo punto, aggiungi i selettori per tutti i tipi di risorse per i quali desideri registrare gli eventi di dati.

  • Puoi utilizzare selettori di eventi avanzati per applicare filtri in base al valore dei campi eventName, resources.ARN e readOnly in modo da registrare solo gli eventi di dati che ti interessano. Per ulteriori informazioni sulla configurazione di questi campi, vedere AdvancedFieldSelectornell'AWS CloudTrail API Reference e Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati in questo argomento.

Per verificare se il percorso sta registrando gli eventi di gestione e di dati, esegui il comando get-event-selectors.

aws cloudtrail get-event-selectors --trail-name TrailName

Il comando restituisce i selettori di eventi per il trail.

Registrazione di eventi utilizzando selettori di eventi avanzati

Nota

Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti. Prima di configurare i selettori di eventi avanzati, esegui il comando get-event-selectors per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti. A questo punto, aggiungi i selettori per gli eventuali eventi di dati aggiuntivi che vuoi registrare.

L'esempio seguente crea selettori di eventi avanzati personalizzati per un percorso denominato in TrailName modo da includere eventi di gestione di lettura e scrittura (omettendo il readOnly selettore) PutObject ed eventi di DeleteObject dati per tutte le combinazioni bucket/prefisso di Amazon S3 ad eccezione di un bucket denominato ed eventi di dati per una funzione denominata. amzn-s3-demo-bucket AWS Lambda MyLambdaFunction Poiché si tratta di selettori di eventi avanzati personalizzati, ogni set di selettori ha un nome descrittivo. Nota che una barra finale fa parte del valore ARN per i bucket S3.

aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.

{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registra tutti gli eventi Amazon S3 per un bucket Amazon S3 utilizzando selettori di eventi avanzati

Nota

Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un S3 Bucket specifico. Il valore per gli eventi S3 per il campo resources.type è AWS::S3::Object. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith affinché resources.ARN acquisisca tutti gli eventi.

aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.

{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                }
            ]
        }
    ]
}

Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati

Nota

Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost.

aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

Questo comando restituisce il seguente output di esempio.

{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Registrazione di eventi utilizzando i selettori di eventi di base

Di seguito è riportato un risultato di esempio del comando get-event-selectors, che mostra i selettori di eventi di base. Per impostazione predefinita, quando crei un percorso utilizzando il AWS CLI, un trail registra tutti gli eventi di gestione. Per impostazione predefinita, i trail non registrano gli eventi di dati

{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Per configurare il percorso per registrare gli eventi di gestione e di dati, esegui il comando put-event-selectors.

L'esempio seguente mostra come utilizzare i selettori di eventi di base per configurare il percorso in modo da includere tutti gli eventi di gestione e gli eventi di dati per gli oggetti S3 in due prefissi di bucket S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.

Nota

Il numero massimo di risorse di dati S3 è 250, se scegli di limitare gli eventi di dati utilizzando selettori di eventi di base.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'

Il comando restituisce i selettori di eventi configurati per il percorso.

{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Registrazione degli eventi relativi ai dati per gli archivi dati degli eventi con AWS CLI

È possibile configurare i datastore di eventi per includere eventi di dati utilizzando la AWS CLI. Utilizza il comando create-event-data-store per creare un nuovo datastore di eventi registrare gli eventi di dati. Utilizza il comando update-event-data-store per aggiornare i selettori di eventi avanzati per un datastore di eventi esistente.

È possibile configurare selettori di eventi avanzati per registrare gli eventi di dati su un archivio dati di eventi.

I seguenti campi avanzati di selezione degli eventi sono supportati per la registrazione degli eventi di dati negli archivi dati degli eventi:

  • eventCategory— È necessario impostare un eventCategory valore uguale a per registrare gli eventi relativi Data ai dati. Questo è un campo obbligatorio.

  • resources.type: questo campo viene utilizzato per selezionare il tipo di risorsa per il quale si desidera registrare gli eventi relativi ai dati. La tabella Data events mostra i valori possibili. Questo campo può utilizzare solo l'Equalsoperatore ed è obbligatorio.

  • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati, ad esempio PutBucket oDeleteObject.

  • eventSource— È possibile utilizzarlo per includere o escludere fonti di eventi specifiche. In genere eventSource è una forma abbreviata del nome del servizio senza spazi plus.amazonaws.com. Ad esempio, puoi eventSource Equals impostare ec2.amazonaws.com la registrazione solo degli eventi di EC2 gestione di Amazon.

  • eventType— L'EventType da includere o escludere. Ad esempio, è possibile impostare questo campo per NotEquals AwsServiceEvent escludere Servizio AWS gli eventi.

  • readOnly- readOnly può essere impostato su Equals un valore di true ofalse. Quando è impostato sufalse, l'Event Data Store registra gli eventi di dati di sola scrittura. Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia gli eventi di lettura che quelli di scrittura, non aggiungete un selettore. readOnly

  • resources.ARN— È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza Equals oNotEquals, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type

  • userIdentity.arn— Includi o escludi eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .

  • sessionCredentialFromConsole— Includi o escludi eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su Equals o NotEquals con un valore ditrue.

Per vedere se il datastore di eventi include eventi di gestione, esegui il comando get-event-data-store. 

aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

Il comando restituisce le impostazioni per il datastore di eventi.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Includi tutti gli eventi Amazon S3 per un bucket specifico

L'esempio seguente mostra come creare un data store di eventi per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in uno specifico bucket S3 generico ed escludere Servizio AWS eventi ed eventi generati da. bucket-scanner-role userIdentity Il valore per gli eventi S3 per il campo resources.type è AWS::S3::Object. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith affinché resources.ARN acquisisca tutti gli eventi.

aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
        "Name": "S3EventSelector",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["Data"] },
            { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
            { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] },
            { "Field": "userIdentity.arn", "NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]},
            { "Field": "eventType","NotEquals": ["AwsServiceEvent"]}
        ]
    }
]'

Questo comando restituisce il seguente output di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                { 
                    "Field": "userIdentity.arn", 
                    "NotStartsWith": [
                        "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
                     ]
                },
                { 
                    "Field": "eventType",
                    "NotEquals": [
                        "AwsServiceEvent"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2024-11-20T20:49:21.766000+00:00"
}

Inclusione di Amazon S3 negli eventi AWS Outposts

L'esempio seguente mostra come creare un datastore di eventi che include tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost.

aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Registrazione di eventi di dati per la conformità di AWS Config

Se utilizzi pacchetti di AWS Config conformità per aiutare la tua azienda a mantenere la conformità a standard formalizzati come quelli richiesti dal Federal Risk and Authorization Management Program (FedRAMP) o dal National Institute of Standards and Technology (NIST), i pacchetti di conformità per i framework di conformità in genere richiedono almeno la registrazione degli eventi di dati per i bucket Amazon S3. I pacchetti di conformità per i framework di conformità includono una regola gestita chiamata cloudtrail-s3-dataevents-enabled, che controlla la registrazione degli eventi di dati S3 nell'account. Anche molti pacchetti di conformità non sono associati a framework di conformità richiedono la registrazione degli eventi di dati S3. Di seguito sono riportati esempi di pacchetti di conformità che includono questa regola.

Per un elenco completo dei pacchetti di conformità di esempio disponibili in AWS Config, consulta i modelli di esempio dei pacchetti di conformità nella Guida per gli sviluppatori.AWS Config

Registrazione degli eventi relativi ai dati con AWS SDKs

Esegui l'GetEventSelectorsoperazione per vedere se il tuo percorso sta registrando gli eventi relativi ai dati. È possibile configurare i percorsi per registrare gli eventi relativi ai dati eseguendo l'PutEventSelectorsoperazione. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.

Esegui l'GetEventDataStoreoperazione per vedere se il tuo Event Data Store sta registrando gli eventi relativi ai dati. È possibile configurare i data store degli eventi per includere eventi di dati eseguendo UpdateEventDataStorele operazioni CreateEventDataStoreo e specificando selettori di eventi avanzati. Per ulteriori informazioni, consulta Crea, aggiorna e gestisci archivi di dati di eventi con AWS CLI e il Riferimento API di AWS CloudTrail.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.