Registrazione di eventi di dati per i percorsi

Per impostazione predefinita, i trail non registrano gli eventi di dati Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail.

Nota

Gli eventi registrati dai percorsi sono disponibili in Amazon CloudWatch Events. Ad esempio, se configuri un trail per la registrazione degli eventi di dati per gli oggetti S3, ma non degli eventi di gestione, il trail elabora e registra solo gli eventi di dati per gli oggetti S3 specificati. Gli eventi di dati per questi oggetti S3 sono disponibili in Amazon CloudWatch Events. Per maggiori informazioni, consulta Eventi della chiamata API di AWS nella Guida per l'utente di Amazon CloudWatch Events.

Indice

• Eventi di dati
  • Esempi: registrazione di eventi di dati per oggetti Amazon S3
  • Registrazione di eventi di dati per oggetti S3 in altri account AWS
• Eventi di sola lettura e di sola scrittura
• Registrazione degli eventi di dati con AWS Command Line Interface
  • Registrazione di eventi utilizzando i selettori di eventi di base
  • Registrazione di eventi utilizzando selettori di eventi avanzati
  • Registrazione di tutti gli eventi Amazon S3 per un bucket utilizzando i selettori di eventi avanzati
  • Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati
  • Registrazione di tutti gli eventi di dati utilizzando i selettori di eventi avanzati
• Registrazione di eventi di dati per la conformità di AWS Config
• Registrazione degli eventi con gli SDK AWS
• Invio di eventi ad Amazon CloudWatch Logs

Eventi di dati

Gli eventi di dati forniscono visibilità sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati.

Utilizza i seguenti tipi di risorse per eventi di dati con i selettori di eventi di base:

• Attività API a livello di oggetti di Amazon S3 (ad esempio, le operazioni API GetObject, DeleteObject e PutObject) su bucket e oggetti nei bucket

• Attività di esecuzione delle funzioni di AWS Lambda (API Invoke)

• Attività API a livello di oggetti di Amazon DynamoDB (ad esempio, le operazioni API PutItem, DeleteItem e UpdateItem). Per ulteriori informazioni sugli eventi DynamoDB, consulta Eventi del piano dati DynamoDB in CloudTrail.

Oltre ai selettori di eventi di base, utilizza i seguenti tipi di dati con selettori di eventi avanzati:

• Attività API a livello di oggetto di Amazon S3 su Outposts

• Chiamate JSON-RPC di Blockchain gestita da Amazon sui nodi Ethereum, come eth_getBalance o eth_getBlockByNumber

• Attività API sui punti di accesso Amazon S3 Object Lambda, ad esempio le chiamate a CompleteMultipartUpload e GetObject.

• Attività PutAuditEvents di CloudTrail su un canale CloudTrail Lake utilizzato per registrare eventi dall'esterno di AWS

• API dirette di Amazon Elastic Block Store (EBS), come PutSnapshotBlock, GetSnapshotBlock e ListChangedBlocks su snapshot Amazon EBS.

• Attività dell'API di Amazon S3 sui punti di accesso

• Attività dell'API Amazon DynamoDB sui flussi

• Attività dell'API AWS Glue sulle tabelle create da Lake Formation

  Nota

  Gli eventi di dati AWS Glueper le tabelle sono attualmente supportati solo nelle seguenti regioni:

  • Stati Uniti orientali (Virginia settentrionale)

  • Stati Uniti orientali (Ohio)

  • Stati Uniti occidentali (Oregon)

  • Europa (Irlanda)

  • Asia Pacific (Tokyo) Region

• Attività dell'API Amazon FinSpace sugli ambienti

• Attività dell'API Amazon SageMaker sui componenti di prova degli esperimenti

• Attività dell'API Amazon SageMaker negli archivi di funzioni

Gli eventi di dati sono non registrati per impostazione predefinita quando si crea un trail. Per registrare gli eventi di dati di CloudTrail, devi aggiungere in modo esplicito a un percorso le risorse supportate o i tipi di risorse per le quali desideri raccogliere le attività. Per ulteriori informazioni, consulta Creazione di un percorso.

In un percorso di una singola regione, puoi registrare gli eventi di dati solo per le risorse a cui è possibile accedere in tale regione. Sebbene i bucket S3 siano globali, le funzioni di AWS Lambda e le tabelle Dynamo DB sono regionali.

Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

I passaggi per la registrazione degli eventi di dati dipendono dall'abilitazione dei selettori di eventi avanzati nel percorso. Utilizza la procedura descritta in questa sezione che corrisponde al tipo di selettori di eventi abilitati su un percorso.

Registrazione di eventi di dati con selettori di eventi di base nella AWS Management Console

1. Apri la pagina Trails (Percorsi) della console CloudTrail e scegli il nome del percorso.

   Nota

   Anche se è possibile modificare un trail esistente per aggiungere gli eventi dei dati di log, come best practice si consiglia di creare un trail separato specificamente per gli eventi dei dati di log.

2. Per Data events (Eventi di dati), scegli Edit (Modifica).

3. Per i bucket Amazon S3:

   1. Per Data event source (Origine evento di dati), scegli S3.

   2. Puoi scegliere di registrare All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.

      Nota

      La selezione dell'opzione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) consente di registrare gli eventi di dati per tutti i bucket attualmente nell'account AWS e in qualsiasi bucket creato dopo aver ultimato la creazione del percorso. Verrà inoltre abilitata la registrazione dell'attività degli eventi di dati eseguita da qualsiasi utente o ruolo nel tuo account AWS, anche se l'attività viene eseguita in un bucket appartenente a un altro account AWS.

      Se stai creando un percorso per una singola regione (operazione eseguita tramite la AWS CLI), la selezione dell'opzione Select all S3 buckets in your account (Seleziona tutti i bucket S3 nell'account) abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non verranno registrati gli eventi di dati per i bucket Amazon S3 nelle altre regioni dell'account AWS.

   3. Se lasci l'impostazione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi Read (Lettura), Write (Scrittura) o entrambi.

   4. Per selezionare singoli bucket, deseleziona le caselle di controllo Read (Lettura) e Write (Scrittura) per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri). In Individual bucket selection (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Per trovare bucket specifici, digita un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli Add bucket (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi Read (Lettura), ad esempio GetObject, gli eventi Write (Scrittura), ad esempio PutObject, oppure entrambi.

      Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (Read) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione Read (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione Write (Scrittura).

      Per rimuovere un bucket dalla registrazione, scegli X.

4. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).

5. Per le funzioni Lambda:

   1. Per Data event source (Origine evento di dati), scegli Lambda.

   2. In Lambda function (Funzione Lambda), scegli All regions (Tutte le regioni) per registrare tutte le funzioni Lambda o Input function as ARN (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.

      Per registrare gli eventi di dati per tutte le funzioni Lambda nell'account AWS, seleziona Log all current and future functions (Registra tutte le funzioni presenti e future). Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.

      Nota

      Se stai creando un percorso per tutte le regioni, questa selezione consente la registrazione degli eventi di dati per tutte le funzioni attualmente nell'account AWS e qualsiasi funzione Lambda che puoi creare in qualsiasi regione dopo aver creato il percorso. Se stai creando un percorso per una singola regione (operazione eseguita tramite la AWS CLI), questa selezione consente la registrazione di tutte le funzioni attualmente in tale regione nell'account AWS e di qualsiasi funzione Lambda che puoi creare in tale regione dopo aver creato il percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

      La registrazione degli eventi di dati per tutte le funzioni abilita anche la registrazione dell'attività degli eventi di dati eseguita da qualsiasi utente o ruolo nel tuo account AWS, anche se l'attività viene eseguita su una funzione appartenente a un altro account AWS.

   3. Se scegli Input function as ARN (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.

      Nota

      Se sono presenti più di 15.000 funzioni Lambda nell'account, non puoi visualizzare o selezionare tutte le funzioni nella console CloudTrail durante la creazione di un percorso. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche ultimare la creazione del percorso nella console e quindi utilizzare la AWS CLI e il comando put-event-selectors per configurare la registrazione degli eventi di dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestione dei percorsi con la AWS CLI.

6. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).

7. Per le tabelle Dynamo DB:

   1. Per Data event source (Origine evento di dati), scegli Dynamo DB.

   2. In DynamoDB table selection (Selezione tabella Dynamo DB), scegli Browse (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB ha il seguente formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Per aggiungere un'altra tabella, scegli Add row (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.

8. Scegli Update trail (Aggiorna percorso).

Registrazione di eventi di dati con selettori di eventi avanzati nella AWS Management Console

Nella AWS Management Console, se hai abilitato selettori di eventi avanzati, puoi scegliere tra modelli predefiniti che registrano tutti gli eventi di dati su una risorsa selezionata (bucket o punti di accesso Amazon S3, funzioni Lambda, oggetti S3 su AWS Outposts, nodi Ethereum per Managed Blockchain o punti di accesso S3 Object Lambda). Dopo aver scelto un modello di selettore di registro, puoi personalizzare il modello per includere solo gli eventi di dati che desideri visualizzare. Per ulteriori informazioni e suggerimenti sull'utilizzo dei selettori di eventi avanzati, consulta Registrazione di eventi utilizzando selettori di eventi avanzati in questo argomento.

1. Nella pagina Dashboard (Pannello di controllo) o Trails (Percorsi) della console CloudTrail, scegli un nome del percorso per aprirlo.

2. Nella pagina dei dettagli del percorso, in Data events (Eventi di dati) scegli Edit (Modifica).

3. Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).

4. Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati.

5. Scegli un modello di selettore di registro. CloudTrail include modelli predefiniti che registrano tutti gli eventi di dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

   Nota

   La selezione di un modello predefinito per i bucket S3 consente di registrare gli eventi di dati per tutti i bucket attualmente nell'account AWS e in qualsiasi bucket creato dopo aver ultimato la creazione del percorso. Verrà inoltre abilitata la registrazione dell'attività degli eventi di dati eseguita da qualsiasi utente o ruolo nel tuo account AWS, anche se l'attività viene eseguita in un bucket appartenente a un altro account AWS.

   Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non verranno registrati gli eventi di dati per i bucket Amazon S3 nelle altre regioni dell'account AWS.

   Se stai creando un percorso per tutte le regioni, la selezione di un modello predefinito per le funzioni Lambda consente la registrazione degli eventi di dati per tutte le funzioni attualmente nell'account AWS e qualsiasi funzione Lambda che puoi creare in qualsiasi regione dopo aver creato il percorso. Se stai creando un percorso per una singola regione (operazione eseguita tramite la AWS CLI), questa selezione consente la registrazione di tutte le funzioni attualmente in tale regione nell'account AWS e di qualsiasi funzione Lambda che puoi creare in tale regione dopo aver creato il percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

   La registrazione degli eventi di dati per tutte le funzioni abilita anche la registrazione dell'attività degli eventi di dati eseguita da qualsiasi utente o ruolo nel tuo account AWS, anche se l'attività viene eseguita su una funzione appartenente a un altro account AWS.

6. Se desideri applicare un modello di selettore di registro predefinito e non desideri aggiungere un altro tipo di risorsa di evento di dati, scegli Save changes (Salva modifiche). Non è necessario seguire il resto di questa procedura. Per applicare un modello di selettore di registro personalizzato, passa alla fase successiva.

7. Per creare un modello di selettore di registro personalizzato, nell'elenco a discesa Log selector template (Modello di selettore di registro) scegli Custom (Personalizzato).

8. (Facoltativo) Inserisci un nome per il modello di selettore di registro personalizzato.

9. In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per raccogliere gli eventi di dati su bucket S3 specifici, funzioni AWS Lambda, chiamate PutAuditEvents su canali CloudTrail Lake, tabelle DynamoDB, Amazon S3 su Outposts, chiamate JSON-RPC di Blockchain gestita da Amazon su nodi Ethereum, punti di accesso di Lambda S3 Object, API dirette di Amazon EBS su snapshot EBS, punti di accesso S3, flussi DynamoDB, tabelle AWS Glue create da Lake Formation, ambienti Amazon FinSpace, componenti di prova degli esperimenti dei parametri Amazon SageMaker e Amazon SageMaker Feature Store.

   1. Scegli tra i seguenti campi. Per i campi che accettano un array (più di un valore), CloudTrail aggiunge un OR tra i valori.

      • readOnly: readOnly può essere impostato su Equals (È uguale a) un valore di true o false. Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. Puoi utilizzarlo per includere o escludere qualsiasi evento di dati registrato in CloudTrail, ad esempioPutBucket, GetItem oppure GetSnapshotBlock. È possibile avere più valori per questo campo, separati da virgole.

      • resources.type: nella AWS Management Console, questo campo non è disponibile, perché è già popolato in base al tipo di evento di dati scelto dall'elenco a discesa Tipo di evento di dati. Nella AWS CLI e negli SDK, resources.type può utilizzare solo l'operatore Equals e il valore può essere uno dei seguenti:

        • AWS::S3::Object

        • AWS::Lambda::Function

        • AWS::DynamoDB::Table

        • AWS::S3Outposts::Object

        • AWS::ManagedBlockchain::Node

        • AWS::S3ObjectLambda::AccessPoint

        • AWS::EC2::Snapshot

        • AWS::S3::AccessPoint

        • AWS::CloudTrail::Channel

        • AWS::DynamoDB::Stream

        • AWS::Glue::Table

        • AWS::FinSpace::Environment

        • AWS::SageMaker::ExperimentTrialComponent

        • AWS::SageMaker::FeatureGroup

      • resources.ARN: puoi utilizzare qualsiasi operatore con resources.ARN, ma se utilizzi Equals (È uguale a) o NotEquals (Non è uguale a), il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di resources.type.

        Ad esempio, se resources.type è uguale ad AWS::S3::Object, l'ARN deve avere uno dei seguenti formati. Per registrare tutti gli eventi di dati per tutti gli oggetti in un bucket S3 specifico, utilizza l'operatore StartsWith e includi solo l'ARN del bucket come valore corrispondente. La barra finale è intenzionale; non escluderla.

        arn:partition:s3:::bucket_name/
        arn:partition:s3:::bucket_name/object_or_file_name/

        Quando resources.type è uguale ad AWS::Lambda::Function e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:lambda:region:account_ID:function:function_name

        Quando resources.type è uguale ad AWS::DynamoDB::Table e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:dynamodb:region:account_ID:table/table_name

        Quando resources.type è uguale ad AWS::CloudTrail::Channel e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID

        Quando resources.type è uguale ad AWS::S3Outposts::Object e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:s3-outposts:region:account_ID:object_path

        Quando resources.type è uguale ad AWS::ManagedBlockchain::Node e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        Quando resources.type è uguale ad AWS::S3ObjectLambda::AccessPoint e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

        Quando resources.type è uguale ad AWS::EC2::Snapshot e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:ec2:region::snapshot/snapshot_ID

        Quando resources.type è uguale ad AWS::S3::AccessPoint e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere uno dei seguenti formati. Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, è consigliabile utilizzare solo il punto di accesso ARN, non includere il percorso dell'oggetto e utilizzare l'operatore StartsWith o NotStartsWith.

        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        arn:partition:s3:region:account_ID:accesspoint/access_point_name/object/object_path

        Quando resources.type è uguale ad AWS::DynamoDB::Stream e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time

        Quando resources.type è uguale ad AWS::Glue::Table e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:glue:region:account_ID:table/database_name/table_name

        Quando resources.type è uguale ad AWS::FinSpace::Environment e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:finspace:region:account_ID:environment/environment_ID

        Quando resources.type è uguale ad AWS::SageMaker::ExperimentTrialComponent e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name

        Quando resources.type è uguale ad AWS::SageMaker::FeatureGroup e l'operatore è impostato su Equals (Uguale a) o NotEquals (Diverso da), l'ARN dovrà avere il seguente formato:

        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name

      Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management.

   2. Per ogni campo, scegliere + Conditions (+ Condizioni) per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere eventi di dati per due bucket S3 dagli eventi di dati registrati nel percorso, puoi impostare il campo su resources.ARN, impostare l'operatore per NotStartsWith (Non inizia con) e quindi incollare in un ARN di un bucket S3 o cercare i bucket S3 per i quali non desideri registrare eventi.

      Per aggiungere il secondo bucket S3, scegli + Conditions (+ Condizioni), quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un percorso. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

      Se sono presenti più di 15.000 funzioni Lambda nell'account, non puoi visualizzare o selezionare tutte le funzioni nella console CloudTrail durante la creazione di un percorso. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche ultimare la creazione del percorso nella console e quindi utilizzare la AWS CLI e il comando put-event-selectors per configurare la registrazione degli eventi di dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestione dei percorsi con la AWS CLI.

   3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.

   4. Salva le modifiche al modello di selettore personalizzato scegliendo Next (Successivo). Non scegliere un altro modello di selettore di registro e non uscire da questa pagina, altrimenti i selettori personalizzati andranno persi.

10. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 4 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.

11. Dopo aver scelto Next (Successivo), nella Fase 2: selezionare eventi di registro, esamina le opzioni del modello del selettore di registro che hai scelto. Scegli Edit (Modifica) per tornare indietro e apportare modifiche.

12. Dopo aver esaminato e verificato le scelte, scegli Update trail (Aggiorna percorso) se si tratta di un percorso esistente, oppure Create trail (Crea percorso) se stai creando un nuovo percorso.

Esempi: registrazione di eventi di dati per oggetti Amazon S3

Registrazione di eventi di dati per tutti gli oggetti S3 in un bucket S3

L'esempio seguente mostra il funzionamento della registrazione quando si configura la registrazione di tutti gli eventi di dati per un bucket S3 denominato bucket-1. In questo esempio, l'utente CloudTrail ha specificato un prefisso vuoto e l'opzione per registrare gli eventi di dati sia Read (Lettura) che Write (Scrittura).

1. Un utente carica un oggetto in bucket-1.

2. L'operazione API PutObject è un'API a livello di oggetti di Amazon S3. e viene registrata come un evento di dati in CloudTrail. Poiché l'utente CloudTrail ha specificato un bucket S3 con un prefisso vuoto, vengono registrati gli eventi che si verificano su qualsiasi oggetto in tale bucket. Il trail elabora e registra l'evento.

3. Un altro utente carica un oggetto in bucket-2.

4. L'operazione API PutObject si è verificata in un oggetto in un bucket S3 che non è stato specificato per il trail. Il trail non registra l'evento.

Registrazione di eventi di dati per oggetti S3 specifici

L'esempio seguente mostra il funzionamento della registrazione quando si configura un trail per la registrazione degli eventi per oggetti S3 specifici. In questo esempio, l'utente CloudTrail ha specificato un bucket S3 denominato bucket-3 con il prefisso my-images e l'opzione per registrare solo gli eventi di dati Write (Scrittura).

1. Un utente elimina un oggetto che inizia con il prefisso my-images nel bucket, ad esempio arn:aws:s3:::bucket-3/my-images/example.jpg.

2. L'operazione API DeleteObject è un'API a livello di oggetti di Amazon S3. Viene registrata come un evento di dati Write (Scrittura) in CloudTrail. L'evento si è verificato su un oggetto corrispondente al bucket S3 e al prefisso specificati nel trail. Il trail elabora e registra l'evento.

3. Un altro utente elimina un oggetto che inizia con un prefisso diverso nel bucket S3, ad esempio arn:aws:s3:::bucket-3/my-videos/example.avi.

4. L'evento si è verificato su un oggetto non corrispondente al prefisso specificato nel trail. Il trail non registra l'evento.

5. Un utente chiama l'operazione API GetObject per l'oggetto arn:aws:s3:::bucket-3/my-images/example.jpg.

6. L'evento si è verificato sul bucket e sul prefisso specificati nella trail, ma GetObject è un'API a livello di oggetto Amazon S3 di tipo di sola lettura. L'evento viene registrato come evento di dati Read (Lettura) in CloudTrail e il percorso non è configurato per registrare gli eventi Read (Lettura). Il trail non registra l'evento.

Nota

In caso di registrazione di eventi di dati per bucket Amazon S3 specifici, è consigliabile non utilizzare un bucket Amazon S3 per il quale è attiva la registrazione degli eventi di dati per la ricezione dei file di log specificati nella sezione relativa agli eventi di dati. L'utilizzo dello stesso bucket Amazon S3 fa sì che il percorso registri un evento di dati ogni volta che i file di log vengono distribuiti nel bucket Amazon S3. I fil di log sono eventi aggregati distribuiti a intervalli (non in un rapporto uno a uno). L'evento viene registrato nel successivo file di log. Ad esempio, quando il trail distribuisce i log, si verifica l'evento PutObject nel bucket S3. Se il bucket S3 viene specificato anche nella sezione degli eventi di dati, il trail elabora e registra l'evento PutObject come un evento di dati. Questa azione è un altro evento PutObject e il trail elabora e registra di nuovo l'evento. Per ulteriori informazioni, consulta Funzionamento di CloudTrail.

Per evitare la registrazione degli eventi di dati per il bucket Amazon S3 dove vengono ricevuti i file di log se è stato configurato un percorso per la registrazione di tutti gli eventi di dati Amazon S3 nell'account AWS, valuta la possibilità di configurare la consegna dei file di log in un bucket Amazon S3 appartenente a un altro account AWS. Per ulteriori informazioni, consulta Ricezione di file di log CloudTrail da più account Redazione degli ID account del proprietario del bucket per eventi dati chiamati da altri account.

Registrazione di eventi di dati per oggetti S3 in altri account AWS

Quando il trail viene configurato per la registrazione degli eventi di dati, puoi specificare anche oggetti S3 appartenenti ad altri account AWS. Quando si verifica un evento in un oggetto specifico, CloudTrail valuta se l'evento corrisponde a qualsiasi percorso in ciascun account. Se l'evento corrisponde alle impostazioni di un trail, il trail elabora e registra l'evento per tale account. In genere, sia gli intermediari API che i proprietari di risorse possono ricevere eventi.

Se disponi di un oggetto S3 e lo specifichi nel trail, il trail registra gli eventi che si verificano nell'oggetto nel tuo account. Poiché sei il proprietario dell'oggetto, il trail registra anche gli eventi quando altri account chiamano l'oggetto.

Se specifichi un oggetto S3 nel trail e un altro account è proprietario dell'oggetto, il trail registra solo gli eventi che si verificano in tale oggetto nel tuo account. Il trail non registra gli eventi che si verificano in altri account.

Esempio: registrazione di eventi di dati per un oggetto Amazon S3 per due account AWS

L'esempio seguente mostra come due account AWS configurano CloudTrail per registrare gli eventi per lo stesso oggetto S3.

1. Nel tuo account vuoi che il trail registri gli eventi di dati per tutti gli oggetti nel bucket S3 denominato owner-bucket. Puoi configurare le tracce specificando il bucket S3 con un prefisso di oggetto vuoto.

2. Bob dispone di un account distinto che dispone dell'accesso al bucket S3. Bob vuole inoltre registrare gli eventi di dati per tutti gli oggetti nello stesso bucket S3. Durante la configurazione del suo trail specifica lo stesso bucket S3 con un prefisso di oggetto vuoto.

3. Bob carica un oggetto nel bucket S3 con l'operazione API PutObject.

4. Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.

5. Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra lo stesso evento. Poiché ora esistono due copie dell'evento (una registrata nel percorso di Bob e una registrata nel tuo), CloudTrail addebita due copie dell'evento di dati.

6. Carichi un oggetto nel bucket S3.

7. Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.

8. Poiché l'evento non si è verificato nell'account di Bob e Bob non è proprietario del bucket S3, il trail di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento di dati.

Esempio: registrazione degli eventi di dati per tutti i bucket, incluso un bucket S3 utilizzato da due account AWS

L'esempio seguente mostra il comportamento di registrazione quando l'opzione Select all S3 buckets in your account (Seleziona tutti i bucket S3 nell'account) è abilitata per i trail che raccolgono eventi di dati in un account AWS.

1. Nel tuo account, desideri che il tuo trail registri gli eventi di dati per tutti i bucket S3. Puoi configurare il percorso scegliendo gli eventi Read (Lettura), Write (Scrittura) o entrambi per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) in Data events (Eventi di dati).

2. Bob ha un account separato a cui è stato concesso l'accesso a un bucket S3 nel tuo account. Vuole registrare gli eventi di dati per il bucket a cui ha accesso. Egli configura il suo trail per ottenere gli eventi di dati per tutti i bucket S3.

3. Bob carica un oggetto nel bucket S3 con l'operazione API PutObject.

4. Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.

5. Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra l'evento. Poiché ora esistono due copie dell'evento (una registrata nel percorso di Bob e una registrata nel tuo), CloudTrail addebita a ciascun account una copia dell'evento di dati.

6. Carichi un oggetto nel bucket S3.

7. Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.

8. Poiché l'evento non si è verificato nell'account di Bob e Bob non è proprietario del bucket S3, il trail di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento di dati al tuo account.

9. Un terzo utente, Mary, ha accesso al bucket S3 ed esegue un'operazione GetObject sul bucket. Ella ha un trail configurato per registrare gli eventi di dati su tutti i bucket S3 nel suo account. Poiché lei è il chiamante API, CloudTrail registra un evento di dati nel suo percorso. Anche se Bob ha accesso al bucket, non è il proprietario della risorsa, quindi questa volta nel suo trail non viene registrato alcun evento. In qualità di proprietario della risorsa, riceverai nel tuo percorso un evento relativo all'operazione GetObject che Mary ha chiamato. CloudTrail esegue un addebito sul tuo account e su quello di Mary per ogni copia dell'evento di dati: uno nel percorso di Mary e uno nel tuo.

Eventi di sola lettura e di sola scrittura

Quando configuri il percorso per la registrazione degli eventi di dati e di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.

• Lettura

  Gli eventi Read (Lettura) includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni API Amazon EC2 DescribeSecurityGroups e DescribeSubnets. Queste operazioni restituiscono solo le informazioni sulle risorse Amazon EC2 e non modificano le configurazioni.

• Scrittura

  Gli eventi Write (Scrittura) includono le operazioni API che modificano o potrebbero modificare le risorse. Ad esempio, le operazioni API Amazon EC2 RunInstances e TerminateInstances modificano le istanze.

Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati

L'esempio seguente mostra come è possibile configurare i trail in modo che le attività di log per un account vengano suddivise in bucket S3 separati: un bucket riceve gli eventi di sola lettura e un secondo bucket riceve eventi di sola scrittura.

1. Puoi creare un trail e scegliere un bucket S3 denominato read-only-bucket per ricevere i file di log. Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi di gestione e di dati Read (Lettura).

2. Puoi creare un secondo trail e scegliere un bucket S3 denominato write-only-bucket per ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi di gestione e di dati Write (Scrittura).

3. Le operazioni API Amazon EC2 DescribeInstances e TerminateInstances si verificano nell'account.

4. L'operazione API DescribeInstances è un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il trail registra e distribuisce l'evento in read-only-bucket.

5. L'operazione API TerminateInstances è un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il trail registra e distribuisce l'evento in write-only-bucket.

Registrazione degli eventi di dati con AWS Command Line Interface

Puoi configurare i trail per registrare gli eventi di gestione e dati utilizzando la AWS CLI. Per verificare se il percorso sta registrando gli eventi di gestione e di dati, esegui il comando get-event-selectors.

Nota

Tieni presente che se l'account registra più di una copia degli eventi di gestione, ti verranno addebitati i costi. È sempre previsto un addebito per la registrazione degli eventi di dati. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail.

aws cloudtrail get-event-selectors --trail-name TrailName

Il comando restituisce le impostazioni predefinite per un percorso.

Argomenti

• Registrazione di eventi utilizzando i selettori di eventi di base
• Registrazione di eventi utilizzando selettori di eventi avanzati
• Registrazione di tutti gli eventi Amazon S3 per un bucket utilizzando i selettori di eventi avanzati
• Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati
• Registrazione di tutti gli eventi di dati utilizzando i selettori di eventi avanzati

Registrazione di eventi utilizzando i selettori di eventi di base

Di seguito è riportato un risultato di esempio del comando get-event-selectors, che mostra i selettori di eventi di base. Per impostazione predefinita, quando crei un percorso utilizzando la AWS CLI, un percorso registra tutti gli eventi di gestione. Per impostazione predefinita, i trail non registrano gli eventi di dati

{
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Per configurare il percorso per registrare gli eventi di gestione e di dati, esegui il comando put-event-selectors.

L'esempio seguente mostra come utilizzare i selettori di eventi di base per configurare il percorso per includere tutti gli eventi di gestione e di dati per due oggetti S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.

Nota

Il numero massimo di risorse di dati S3 è 250, se scegli di limitare gli eventi di dati utilizzando selettori di eventi di base.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

Il comando restituisce i selettori di eventi configurati per il percorso.

{
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::mybucket/prefix",
                        "arn:aws:s3:::mybucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registrazione di eventi utilizzando selettori di eventi avanzati

Se hai scelto di utilizzare selettori di eventi avanzati, il comando get-event-selectors restituisce risultati simili ai seguenti. Per impostazione predefinita, nessun selettore di eventi avanzato è configurato per un percorso.

{
    "AdvancedEventSelectors": [],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

L'esempio seguente illustra come utilizzare i selettori di eventi avanzati per registrare tutti gli eventi di gestione (sia readOnly che writeOnly) e includere gli eventi PutObject e DeleteObject per gli oggetti S3 negli stessi due prefissi S3 Bucket. Come illustrato di seguito, puoi utilizzare selettori di eventi avanzati per selezionare non solo i nomi dei prefissi S3 per ARN, ma i nomi degli eventi specifici che vuoi registrare. Puoi aggiungere fino a 500 condizioni ai selettori di eventi avanzati per percorso, inclusi tutti i valori del selettore. Puoi specificare da 1 a 250 risorse di dati per un trail.

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors 
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for two S3 prefixes",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"] }
    ]
  }
]'

Il risultato mostra i selettori di eventi avanzati configurati per il percorso.

{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ],
          "StartsWith": [],
          "EndsWith": [],
          "NotEquals": [],
          "NotStartsWith": [],
          "NotEndsWith": []
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for two S3 prefixes",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ],
          "StartsWith": [],
          "EndsWith": [],
          "NotEquals": [],
          "NotStartsWith": [],
          "NotEndsWith": []
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ],
          "StartsWith": [],
          "EndsWith": [],
          "NotEquals": [],
          "NotStartsWith": [],
          "NotEndsWith": []
        },
        {
          "Field": "resources.ARN", 
          "Equals": [],
          "StartsWith": [ "arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2" ],
          "EndsWith": [],
          "Equals": [],
          "NotStartsWith": [],
          "NotEndsWith": []
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registrazione di tutti gli eventi Amazon S3 per un bucket utilizzando i selettori di eventi avanzati

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un S3 Bucket specifico. Il valore per gli eventi S3 per il campo resources.type è AWS::S3::Object. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith affinché resources.ARN acquisisca tutti gli eventi.

aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::bucket_name/"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.

{
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::bucket_name/"
                    ]
                }
            ]
        }
    ],
  "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName"
}

Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost. In questa versione, il valore supportato per S3 sugli eventi Outposts per il campo resources.type è AWS::S3Outposts::Object.

aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

Questo comando restituisce il seguente output di esempio.

{
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
  "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName"
}

Registrazione di tutti gli eventi di dati utilizzando i selettori di eventi avanzati

L'esempio seguente mostra come configurare il trail in modo da includere eventi di dati per tutti i bucket S3, le funzioni Lambda, le tabelle DynamoDB, l'attività API a livello di oggetto S3 su AWS Outposts, le chiamate JSON-RPC di Blockchain gestita da Amazon su nodi Ethereum, l'attività API sui punti di accesso S3 Object Lambda, l'attività API diretta di Amazon EBS su snapshot di Amazon EBS nell'account AWS, i punti di accesso S3, i flussi DynamoDB, le tabelle AWS Glue create da Lake Formation, gli ambienti Amazon FinSpace, i componenti di prova degli esperimenti dei parametri Amazon SageMaker e Amazon SageMaker Feature Store.

Nota

Se il percorso è valido solo per una regione, vengono registrati solo gli eventi in tale regione, anche se i parametri del selettore di eventi specificano tutti i bucket Amazon S3 e le funzioni Lambda. In un percorso basato su una singola regione, i selettori di eventi sono validi solo per la regione in cui è stato creato il percorso.

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all events for all Amazon S3 buckets",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }
    ]
  },
  {
    "Name": "Log all events for Lambda functions",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }
    ]
  },
  {
    "Name": "Log all events for DynamoDB tables",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::DynamoDB::Table"] }
    ]
  },
  {
    "Name": "Log all CloudTrail PutAuditEvents activity on a CloudTrail Lake channel,
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::CloudTrail::Channel"] }
    ]
  },
  {
    "Name": "Log all events for Amazon S3 on Outposts",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
    ]
  },
  {
    "Name": "Log all JSON-RPC calls for Ethereum nodes in Amazon Managed Blockchain",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::ManagedBlockchain::Node"] }
    ]
  },
  {
    "Name": "Log all events for Amazon S3 Object Lambda access points",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3ObjectLambda::AccessPoint"] }
    ]
  },
  {
    "Name": "Log all Amazon EBS direct API calls on snapshots",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] }
    ]
  },
  {
    "Name": "Log all events for Amazon S3 access points",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::AccessPoint"] }
    ]
  },
  {
    "Name": "Log all events for DynamoDB streams",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::DynamoDB::Stream"] }
    ]
  },
  {
    "Name": "Log all events for AWS Glue tables created by Lake Formation",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Glue::Table"] }
    ]
  },
  {
    "Name": "Log all events for FinSpace environments",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::FinSpace::Environment"] }
    ]
  },
  {
    "Name": "Log all events for SageMaker metrics experiment trial components",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::SageMaker::ExperimentTrialComponent"] }
    ]
  },
  {
    "Name": "Log all events for SageMaker feature stores",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::SageMaker::FeatureGroup"] }
    ]
  }
]'

Questo comando restituisce il seguente output di esempio.

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all events for all Amazon S3 buckets",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for Lambda functions",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::Lambda::Function"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for DynamoDB tables",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::DynamoDB::Table"
                    ]
                }
            ]
        },
        {
            "Name": "Log all CloudTrail PutAuditEvents activity on a CloudTrail Lake channel",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::CloudTrail::Channel"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for Amazon S3 on Outposts",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        },
        {
            "Name": "Log all JSON-RPC calls for Ethereum nodes in Amazon Managed Blockchain",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::ManagedBlockchain::Node"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for Amazon S3 Object Lambda access points",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3ObjectLambda::AccessPoint"
                    ]
                }
            ]
        },
        {
            "Name": "Log all Amazon EBS direct API calls on snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for Amazon S3 access points",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::AccessPoint"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for DynamoDB streams",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::DynamoDB::Stream"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for AWS Glue tables created by Lake Formation",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::Glue::Table"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for FinSpace environments",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::FinSpace::Environment"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for SageMaker metrics experiment trial components",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::SageMaker::ExperimentTrialComponent"
                    ]
                }
            ]
        },
        {
            "Name": "Log all events for SageMaker feature stores",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::SageMaker::FeatureGroup"
                    ]
                }
            ]
        }
    ]
}  

Registrazione di eventi di dati per la conformità di AWS Config

Se stai usando i pacchetti di conformità di AWS Config per aiutare l'azienda a mantenere la conformità agli standard formalizzati, ad esempio quelli richiesti dal Federal Risk and Authorization Management Program (FedRAMP) o dal National Institute of Standards and Technology (NIST), i pacchetti di conformità per i framework di conformità richiedono generalmente di registrare almeno gli eventi di dati per i bucket Amazon S3. I pacchetti di conformità per i framework di conformità includono una regola gestita chiamata cloudtrail-s3-dataevents-enabled, che controlla la registrazione degli eventi di dati S3 nell'account. Anche molti pacchetti di conformità non sono associati a framework di conformità richiedono la registrazione degli eventi di dati S3. Di seguito sono riportati esempi di pacchetti di conformità che includono questa regola.

• Best practice operative per il pilastro della sicurezza AWS Well-Architected Framework

• Best practice operative per FDA Titolo 21 CFR Parte 11

• Best practice operative per FFIEC

• Best practice operative per FedRAMP (Moderato)

• Best practice operative per la sicurezza HIPAA

• Best practice operative per K-ISMS

• Best practice operative per la registrazione

Per un elenco completo dei pacchetti di conformità di esempio disponibili in AWS Config, consulta Modelli di esempio di pacchetto di conformità nella Guida per gli sviluppatori di AWS Config.

Registrazione degli eventi con gli SDK AWS

Esegui l'operazione GetEventSelectors per verificare se il percorso sta registrando gli eventi di dati per un percorso. Puoi configurare i percorsi per la registrazione di eventi di dati eseguendo l'operazione PutEventSelectors. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.

Invio di eventi ad Amazon CloudWatch Logs

CloudTrail supporta l'invio di eventi di dati a CloudWatch Logs. Quando configuri il percorso per l'invio di eventi al gruppo di registri di CloudWatch Logs, CloudTrail invia solo gli eventi specificati nel percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi di dati, il percorso distribuisce gli eventi di dati solo al gruppo di log di CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.