Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registrazione degli eventi di dati
Per impostazione predefinita, i percorsi e i datastore di eventi non registrano gli eventi di dati. Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail
Nota
Gli eventi registrati dai tuoi percorsi sono disponibili su Amazon EventBridge. Ad esempio, se decidi di registrare gli eventi di dati per gli oggetti S3 ma non gli eventi di gestione, il percorso elabora e registra solo gli eventi di dati per gli oggetti S3 specificati. Gli eventi relativi ai dati per questi oggetti S3 sono disponibili in Amazon EventBridge. Per ulteriori informazioni, consulta Events from AWS services nella Amazon EventBridge User Guide.
Indice
- Eventi di dati
- Eventi di sola lettura e di sola scrittura
- Registrazione degli eventi relativi ai dati con AWS Command Line Interface
- Registrazione degli eventi relativi ai dati per i sentieri con AWS CLI
- Registrazione di eventi utilizzando selettori di eventi avanzati
- Registra tutti gli eventi Amazon S3 per un bucket Amazon S3 utilizzando selettori di eventi avanzati
- Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati
- Registrazione di eventi utilizzando i selettori di eventi di base
- Registrazione degli eventi relativi ai dati per gli archivi dati degli eventi con AWS CLI
- Registrazione degli eventi relativi ai dati per i sentieri con AWS CLI
- Registrazione di eventi di dati per la conformità di AWS Config
- Registrazione degli eventi relativi ai dati con gli SDK AWS
- Invio di eventi ad Amazon CloudWatch Logs
Eventi di dati
Gli eventi di dati forniscono visibilità sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati.
Gli eventi di dati di esempio includono:
-
Attività API a livello di oggetti di Amazon S3 (ad esempio, le operazioni API
GetObject
,DeleteObject
ePutObject
) su bucket e oggetti nei bucket -
AWS Lambda attività di esecuzione della funzione (l'
Invoke
API). -
CloudTrail
PutAuditEvents
attività su un canale CloudTrail Lake che viene utilizzata per registrare eventi dall'esterno AWS. -
Operazioni API
Publish
ePublishBatch
di Amazon SNS sugli argomenti.
La tabella seguente mostra i tipi di eventi di dati disponibili per i percorsi e i datastore di eventi. La colonna Tipo di evento di dati (console) mostra la selezione appropriata nella console. La colonna del valore resources.type mostra il resources.type
valore da specificare per includere eventi di dati di quel tipo nel tuo trail o event data store utilizzando le API o. AWS CLI CloudTrail
Per i percorsi, puoi utilizzare selettori di eventi di base o avanzati e registrare eventi di dati per bucket e oggetti del bucket Amazon S3, funzioni Lambda e tabelle DynamoDB (mostrate nelle prime tre righe della tabella). Per registrare i tipi di eventi relativi ai dati mostrati nelle righe rimanenti, puoi utilizzare solo selettori di eventi avanzati.
Per i datastore di eventi, per includere gli eventi di dati è possibile utilizzare solo i selettori di eventi avanzati.
AWS servizio | Descrizione | Tipo di evento di dati (console) | valore resources.type |
---|---|---|---|
Amazon DynamoDB | Attività delle API a livello di oggetto di Amazon DynamoDB sulle tabelle (ad esempio NotaPer le tabelle con flussi abilitati, il campo |
DynamoDB |
|
AWS Lambda | AWS Lambda attività di esecuzione della funzione (l' |
Lambda | AWS::Lambda::Function |
Amazon S3 | Attività API a livello di oggetti di Amazon S3 (ad esempio, le operazioni API |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig attività dell'API per operazioni di configurazione come chiamate a |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS Scambio di dati B2B | Attività dell'API Scambio di dati B2B per operazioni Transformer, come le chiamate a |
Scambio di dati B2B | AWS::B2BI::Transformer |
Amazon Bedrock | Attività dell'API Amazon Bedrock sull'alias di un agente. | Alias dell'agente Bedrock | AWS::Bedrock::AgentAlias |
Attività dell'API Amazon Bedrock su una knowledge base. | Knowledge base Bedrock | AWS::Bedrock::KnowledgeBase |
|
Amazon CloudFront | CloudFront Attività delle API su un KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map Attività dell'API su un namespace. | AWS Cloud Map spazio dei nomi |
|
AWS Cloud Map Attività dell'API su un servizio. | AWS Cloud Map service |
|
|
AWS CloudTrail | CloudTrail |
CloudTrail | AWS::CloudTrail::Channel |
Amazon CodeWhisperer | Attività dell' CodeWhisperer API Amazon su una personalizzazione. | CodeWhisperer personalizzazione | AWS::CodeWhisperer::Customization |
Attività dell' CodeWhisperer API Amazon su un profilo. | CodeWhisperer | AWS::CodeWhisperer::Profile |
|
Amazon Cognito | Attività dell'API Amazon Cognito sui pool di identità di Amazon Cognito. |
Pool di identità di Cognito | AWS::Cognito::IdentityPool |
Amazon DynamoDB | Attività dell'API Amazon DynamoDB sui flussi |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | API dirette di Amazon Elastic Block Store (EBS), come |
API dirette di Amazon EBS | AWS::EC2::Snapshot |
Amazon EMR | Attività dell'API Amazon EMR su un workspace di registrazione write-ahead. | Workspace di registrazione write-ahead EMR | AWS::EMRWAL::Workspace |
Amazon FinSpace | Attività dell'API Amazon FinSpace sugli ambienti |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Attività dell'API su tabelle create da Lake Formation. NotaAWS Glue gli eventi di dati per le tabelle sono attualmente supportati solo nelle seguenti regioni:
|
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | Attività dell' GuardDuty API Amazon per un rilevatore. |
GuardDuty rilevatore | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging attività delle API sugli archivi dati. |
Datastore di Medical Imaging | AWS::MedicalImaging::Datastore |
AWS IoT | Certificato IoT | AWS::IoT::Certificate |
|
Cosa IoT | AWS::IoT::Thing |
||
AWS IoT Greengrass Version 2 | Attività dell'API Greengrass da un dispositivo principale Greengrass su una versione componente. NotaGreengrass non registra gli eventi di accesso negato. |
Versione del componente IoT Greengrass | AWS::GreengrassV2::ComponentVersion |
Attività dell'API Greengrass da un dispositivo principale Greengrass in una distribuzione. NotaGreengrass non registra gli eventi di accesso negato. |
Implementazione di IoT Greengrass | AWS::GreengrassV2::Deployment |
|
AWS IoT SiteWise | SiteWise Risorsa IoT | AWS::IoTSiteWise::Asset |
|
Serie SiteWise temporali IoT | AWS::IoTSiteWise::TimeSeries |
||
AWS IoT TwinMaker | Attività dell' TwinMaker API IoT su un'entità. |
TwinMaker Entità IoT | AWS::IoTTwinMaker::Entity |
Attività dell' TwinMaker API IoT su un'area di lavoro. |
Spazio di TwinMaker lavoro IoT | AWS::IoTTwinMaker::Workspace |
|
Classificazione intelligente di Amazon Kendra | Attività dell'API Amazon Kendra Intelligent Ranking sui piani di esecuzione di rescore. |
Classificazione Kendra | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (per Apache Cassandra) | Attività dell'API Amazon Keyspaces su una tabella. | Tabella Cassandra | AWS::Cassandra::Table |
Amazon Kinesis | Attività dell'API Amazon Kinesis su flussi video, ad esempio chiamate verso GetMedia e PutMedia . |
Flusso video Kinesis | AWS::KinesisVideo::Stream |
Blockchain gestita da Amazon | Attività dell'API Blockchain gestita da Amazon su una rete. |
Rete Blockchain gestita | AWS::ManagedBlockchain::Network |
Chiamate JSON-RPC di Blockchain gestita da Amazon sui nodi Ethereum, come |
Blockchain gestita | AWS::ManagedBlockchain::Node |
|
Grafo Amazon Neptune | Attività dell'API dati, ad esempio query, algoritmi o ricerca vettoriale, su un grafo Neptune. |
Grafo Neptune | AWS::NeptuneGraph::Graph |
AWS Private CA | AWS Private CA Connettore per l'attività dell'API di Active Directory. |
AWS Private CA Connettore per Active Directory | AWS::PCAConnectorAD::Connector |
Amazon Q Business | Attività dell'API Amazon Q Business su un'applicazione. |
Applicazione Amazon Q Business | AWS::QBusiness::Application |
Attività dell'API Amazon Q Business su un'origine dati. |
Origine dati Amazon Q Business | AWS::QBusiness::DataSource |
|
Attività dell'API Amazon Q Business su un indice. |
Indice Amazon Q Business | AWS::QBusiness::Index |
|
Attività dell'API Amazon Q Business su un'esperienza Web. |
Esperienza Web Amazon Q Business | AWS::QBusiness::WebExperience |
|
Amazon RDS | Attività dell'API Amazon RDS su un cluster DB. |
API dati RDS - Cluster DB | AWS::RDS::DBCluster |
Amazon S3 | Attività dell'API di Amazon S3 sui punti di accesso |
Punto di accesso S3 | AWS::S3::AccessPoint |
Attività dell'API sui punti di accesso Lambda per oggetti Amazon S3, ad esempio le chiamate a |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
|
Amazon S3 su Outposts | Attività dell'API a livello di oggetto di Amazon S3 su Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker | SageMaker InvokeEndpointWithResponseStream Attività di Amazon sugli endpoint. |
SageMaker endpoint | AWS::SageMaker::Endpoint |
Attività dell' SageMaker API Amazon nei feature store. |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
|
Attività dell' SageMaker API Amazon sui componenti di prova sperimentali. |
SageMaker metrics, esperimento, componente di prova. | AWS::SageMaker::ExperimentTrialComponent |
|
Amazon SNS | Operazioni dell'API |
Endpoint della piattaforma SNS | AWS::SNS::PlatformEndpoint |
Operazioni API |
Argomento SNS | AWS::SNS::Topic |
|
Amazon SQS | Attività dell'API Amazon SQS sui messaggi. |
SQS | AWS::SQS::Queue |
Catena di approvvigionamento di AWS | Catena di approvvigionamento di AWS attività dell'API su un'istanza. |
Catena di fornitura | AWS::SCN::Instance |
Amazon SWF | Dominio SWF | AWS::SWF::Domain |
|
AWS Systems Manager | Attività dell'API Systems Manager sui canali di controllo. | Systems Manager | AWS::SSMMessages::ControlChannel |
Attività dell'API Systems Manager sui nodi gestiti. | Nodo gestito da Systems Manager | AWS::SSM::ManagedNode |
|
Amazon Timestream | Attività dell'API Query di Amazon Timestream sui database. |
Database Timestream | AWS::Timestream::Database |
Attività dell'API Query di Amazon Timestream sulle tabelle. |
Tabella Timestream | AWS::Timestream::Table |
|
Autorizzazioni verificate da Amazon | Attività dell'API Autorizzazioni verificate da Amazon su un archivio di policy. |
Autorizzazioni verificate da Amazon | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | WorkSpaces Attività dell'API Thin Client su un dispositivo. | Dispositivo Thin client | AWS::ThinClient::Device |
WorkSpaces Attività dell'API Thin Client in un ambiente. | Ambiente Thin client | AWS::ThinClient::Environment |
|
AWS X-Ray | Traccia a raggi X | AWS::XRay::Trace |
Quando si crea un percorso o un datastore di eventi, gli eventi di dati non vengono registrati per impostazione predefinita. Per registrare gli eventi CloudTrail relativi ai dati, è necessario aggiungere in modo esplicito le risorse o i tipi di risorse supportati per i quali si desidera raccogliere attività. Per ulteriori informazioni, consultare Creazione di un percorso e Creare un archivio dati di CloudTrail eventi per gli eventi.
In un percorso o un datastore di eventi a singola Regione, puoi registrare gli eventi di dati solo per le risorse a cui è possibile accedere in tale Regione. Sebbene i bucket S3 siano globali, le AWS Lambda funzioni e le tabelle DynamoDB sono regionali.
Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per i CloudTrail prezzi, consulta Prezzi.AWS CloudTrail
Registrazione degli eventi relativi ai dati con AWS Management Console
Le seguenti procedure descrivono come aggiornare un datastore di eventi esistente o come tracciare gli eventi di dati utilizzando la AWS Management Console. Per ulteriori informazioni su come creare un datastore di eventi per registrare gli eventi di dati, consulta Creare un archivio dati di CloudTrail eventi per gli eventi. Per ulteriori informazioni su come creare un percorso per registrare gli eventi di dati, consulta Creazione di un percorso nella console.
Per i percorsi, i passaggi per la registrazione degli eventi di dati variano a seconda che si utilizzino selettori di eventi avanzati o selettori di eventi di base. Puoi registrare eventi di dati per tutti i tipi di eventi di dati utilizzando selettori di eventi avanzati, ma puoi registrare solo eventi di dati per bucket Amazon S3 e oggetti bucket AWS Lambda , funzioni e tabelle Amazon DynamoDB utilizzando selettori di eventi di base.
Utilizza la seguente procedura per aggiornare un datastore di eventi esistente per registrare gli eventi di dati.
-
Accedere AWS Management Console e aprire la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/
. -
Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.
-
Nella pagina Datastore di eventi, scegli il datastore di eventi che desideri aggiornare.
Nota
È possibile abilitare gli eventi relativi ai dati solo negli archivi dati di eventi che contengono CloudTrail eventi. Non è possibile abilitare eventi di dati nei data store di eventi per elementi di AWS Config configurazione, eventi CloudTrail Insights o non AWS eventi. CloudTrail
-
Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.
-
Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).
-
Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati.
-
Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).
Nota
La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi relativi ai dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del data store degli eventi. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se il datastore di eventi è valido solo per una Regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa Regione del percorso e per qualsiasi bucket creato in seguito in tale Regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
Se stai creando un data store di eventi per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del data store degli eventi. Se stai creando un data store di eventi per una singola regione, questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver completato la creazione del trail o del data store di eventi. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS
-
(Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come
Name
nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON. -
In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per le risorse specifiche sulle quali desideri registrare gli eventi di dati. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.
-
Scegli tra i seguenti campi.
-
readOnly
-readOnly
può essere impostato su un valore uguale a o.true
false
Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventiGet*
oDescribe*
. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventiPut*
,Delete*
oppureWrite*
. Per registrare sia eventiread
chewrite
, non aggiungere un selettorereadOnly
. -
eventName
:eventName
può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket
,GetItem
o.GetSnapshotBlock
-
resources.ARN
- È possibile utilizzare qualsiasi operatore conresources.ARN
, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di.resources.type
La tabella riportata di seguito mostra il formato ARN per ogni
resources.type
.Nota
Non è possibile utilizzare il
resources.ARN
campo per filtrare i tipi di risorse che non dispongono di ARN.resources.type resources.ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::bucket_name
/ arn:partition
:s3:::bucket_name
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
L'ARN deve essere in uno dei seguenti formati:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Per le tabelle con flussi abilitati, il campo
resources
nell'evento di dati contiene siaAWS::DynamoDB::Stream
cheAWS::DynamoDB::Table
. Se specifichiAWS::DynamoDB::Table
comeresources.type
, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro suleventName
campo.2 Per registrare tutti gli eventi di dati per tutti gli oggetti in un bucket S3 specifico, utilizza l'operatore
StartsWith
e includi solo l'ARN del bucket come valore corrispondente. La barra finale è intenzionale; non escluderla.3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, è consigliabile utilizzare solo l'ARN del punto di accesso (senza includere il percorso dell'oggetto) e utilizzare l'operatore
StartsWith
oNotStartsWith
. -
Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .
-
-
Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su Resources.arn, impostare l'operatore for doesnot start con e quindi incollare in un bucket S3 ARN o cercare i bucket S3 per i quali non desideri registrare gli eventi.
Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.
Nota
Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come
eventName
. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console quando CloudTrail crei un archivio dati di eventi. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del data store degli eventi nella console e quindi utilizzarlo AWS CLI per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Registrazione degli eventi relativi ai dati con AWS Command Line Interface.
-
Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.
-
-
Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 6 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.
-
Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.
In AWS Management Console, se il percorso utilizza selettori di eventi avanzati, è possibile scegliere tra modelli predefiniti che registrano tutti gli eventi relativi ai dati su una risorsa selezionata. Dopo aver scelto un modello di selettore di log, puoi personalizzare il modello per includere solo gli eventi di dati che desideri visualizzare. Per ulteriori informazioni e suggerimenti sull'utilizzo dei selettori di eventi avanzati, consulta Registrazione di eventi utilizzando selettori di eventi avanzati in questo argomento.
-
Nelle pagine Dashboard o Trails della CloudTrail console, scegli il percorso che desideri aggiornare.
-
Nella pagina dei dettagli del percorso, in Eventi di dati scegli Modifica.
-
Se non stai già registrando eventi di dati, scegli la casella di controllo Data events (Eventi di dati).
-
Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati.
-
Scegli un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).
Nota
La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
Se stai creando un percorso per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (per i sentieri, questa operazione può essere eseguita solo utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare l'attività degli eventi relativi ai dati eseguita da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro AWS account.
-
(Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come
Name
nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON. -
In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per le risorse specifiche sulle quali desideri registrare gli eventi di dati. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.
-
Scegli tra i seguenti campi.
-
readOnly
-readOnly
può essere impostato su un valore uguale a o.true
false
Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventiGet*
oDescribe*
. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventiPut*
,Delete*
oppureWrite*
. Per registrare sia eventiread
chewrite
, non aggiungere un selettorereadOnly
. -
eventName
:eventName
può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket
,GetItem
o.GetSnapshotBlock
-
resources.ARN
- È possibile utilizzare qualsiasi operatore conresources.ARN
, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di.resources.type
La tabella riportata di seguito mostra il formato ARN per ogni
resources.type
.Nota
Non è possibile utilizzare il
resources.ARN
campo per filtrare i tipi di risorse che non dispongono di ARN.resources.type resources.ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::bucket_name
/ arn:partition
:s3:::bucket_name
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
L'ARN deve essere in uno dei seguenti formati:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Per le tabelle con flussi abilitati, il campo
resources
nell'evento di dati contiene siaAWS::DynamoDB::Stream
cheAWS::DynamoDB::Table
. Se specifichiAWS::DynamoDB::Table
comeresources.type
, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro suleventName
campo.2 Per registrare tutti gli eventi di dati per tutti gli oggetti in un bucket S3 specifico, utilizza l'operatore
StartsWith
e includi solo l'ARN del bucket come valore corrispondente. La barra finale è intenzionale; non escluderla.3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, è consigliabile utilizzare solo l'ARN del punto di accesso (senza includere il percorso dell'oggetto) e utilizzare l'operatore
StartsWith
oNotStartsWith
. -
Per ulteriori informazioni sui formati dell'ARN delle risorse di eventi di dati, vedi Operazioni, risorse e chiavi di condizione nella Guida per l'utente di AWS Identity and Access Management .
-
-
Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati sul percorso, puoi impostare il campo su Resources.ARN, impostare l'operatore for doesnot start con e quindi incollare un ARN per bucket S3 o cercare i bucket S3 per i quali non desideri registrare gli eventi.
Per aggiungere il secondo bucket S3, scegli + Condizioni, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.
Nota
Puoi avere un massimo di 500 valori per tutti i selettori su un percorso. Questo include array di più valori per un selettore come
eventName
. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzarlo AWS CLI per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Registrazione degli eventi relativi ai dati con AWS Command Line Interface.
-
Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.
-
-
Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 4 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.
-
Dopo aver esaminato e verificato le tue scelte, scegli Salva modifiche.
Utilizza la seguente procedura per aggiornare un percorso esistente per registrare gli eventi di dati utilizzando selettori di eventi di base.
-
Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/
. -
Apri la pagina Trails della CloudTrail console e scegli il nome del percorso.
Nota
Anche se è possibile modificare un percorso esistente per registrare gli eventi di dati, come best practice si consiglia di creare un percorso separato apposta per registrare gli eventi di dati.
-
Per Data events (Eventi di dati), scegli Edit (Modifica).
-
Per i bucket Amazon S3:
-
Per Data event source (Origine evento di dati), scegli S3.
-
Puoi scegliere di registrare All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.
Nota
Mantenendo l'opzione predefinita Tutti i bucket S3 attuali e futuri, abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se stai creando un percorso per una singola regione (operazione eseguita utilizzando AWS CLI), la selezione dell'opzione Seleziona tutti i bucket S3 nel tuo account abilita la registrazione degli eventi relativi ai dati per tutti i bucket nella stessa regione del percorso e per tutti i bucket che creerai successivamente in quella regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
-
Se lasci l'impostazione predefinita All current and future S3 buckets (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi Read (Lettura), Write (Scrittura) o entrambi.
-
Per selezionare singoli bucket, deseleziona le caselle di controllo Read (Lettura) e Write (Scrittura) per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri). In Individual bucket selection (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Per trovare bucket specifici, digita un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli Add bucket (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi Read (Lettura), ad esempio
GetObject
, gli eventi Write (Scrittura), ad esempioPutObject
, oppure entrambi.Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (Read) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione Read (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione Write (Scrittura).
Per rimuovere un bucket dalla registrazione, scegli X.
-
-
Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).
-
Per le funzioni Lambda:
-
Per Data event source (Origine evento di dati), scegli Lambda.
-
In Lambda function (Funzione Lambda), scegli All regions (Tutte le regioni) per registrare tutte le funzioni Lambda o Input function as ARN (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.
Per registrare gli eventi di dati per tutte le funzioni Lambda nell'account AWS , seleziona Log all current and future functions (Registra tutte le funzioni presenti e future). Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.
Nota
Se stai creando un percorso per tutte le regioni, questa selezione consente la registrazione degli eventi di dati per tutte le funzioni attualmente nell'account AWS e qualsiasi funzione Lambda che puoi creare in qualsiasi regione dopo aver creato il percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi utente o ruolo nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS
-
Se scegli Input function as ARN (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.
Nota
Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI put-event-selectors comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.
-
-
Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati).
-
Per le tabelle Dynamo DB:
-
Per Data event source (Origine evento di dati), scegli Dynamo DB.
-
In DynamoDB table selection (Selezione tabella Dynamo DB), scegli Browse (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB ha il seguente formato:
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Per aggiungere un'altra tabella, scegli Add row (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.
-
-
Seleziona Salvataggio delle modifiche.
Esempi: registrazione di eventi di dati per oggetti Amazon S3
Registrazione di eventi di dati per tutti gli oggetti S3 in un bucket S3
L'esempio seguente mostra il funzionamento della registrazione quando si configura la registrazione di tutti gli eventi di dati per un bucket S3 denominato bucket-1
. In questo esempio, l' CloudTrail utente ha specificato un prefisso vuoto e l'opzione per registrare sia gli eventi di lettura che quelli di scrittura dei dati.
-
Un utente carica un oggetto in
bucket-1
. -
L'operazione API
PutObject
è un'API a livello di oggetti di Amazon S3. Viene registrato come evento di dati in CloudTrail. Poiché l' CloudTrail utente ha specificato un bucket S3 con un prefisso vuoto, gli eventi che si verificano su qualsiasi oggetto in quel bucket vengono registrati. Il percorso o il datastore di eventi elabora e registra l'evento. -
Un altro utente carica un oggetto in
bucket-2
. -
L'operazione API
PutObject
si è verificata in un oggetto in un bucket S3 che non è stato specificato per il percorso o il datastore di eventi. Il percorso o il datastore di eventi non registra l'evento.
Registrazione di eventi di dati per oggetti S3 specifici
L'esempio seguente mostra il funzionamento della registrazione quando si configura un percorso o un datastore di eventi per la registrazione degli eventi per oggetti S3 specifici. In questo esempio, l' CloudTrail utente ha specificato un bucket S3 denominato bucket-3
, con il prefisso my-images
, e l'opzione per registrare solo gli eventi Write data.
-
Un utente elimina un oggetto che inizia con il prefisso
my-images
nel bucket, ad esempioarn:aws:s3:::bucket-3/my-images/example.jpg
. -
L'operazione API
DeleteObject
è un'API a livello di oggetti di Amazon S3. Viene registrato come evento Write data in. CloudTrail L'evento si è verificato su un oggetto corrispondente al bucket S3 e al prefisso specificati nel percorso o nel datastore di eventi. Il percorso o il datastore di eventi elabora e registra l'evento. -
Un altro utente elimina un oggetto che inizia con un prefisso diverso nel bucket S3, ad esempio
arn:aws:s3:::bucket-3/my-videos/example.avi
. -
L'evento si è verificato su un oggetto che non corrisponde al prefisso specificato nel percorso o nel datastore di eventi. Il percorso o il datastore di eventi non registra l'evento.
-
Un utente chiama l'operazione API
GetObject
per l'oggettoarn:aws:s3:::bucket-3/my-images/example.jpg
. -
L'evento si è verificato su un bucket e sul prefisso specificati nel percorso o nel datastore di eventi, ma
GetObject
è un'API a livello di oggetto Amazon S3 di tipo di sola lettura. Viene registrato come evento Read data in CloudTrail e il trail o event data store non è configurato per registrare gli eventi di lettura. Il percorso o il datastore di eventi non registra l'evento.
Nota
Per i percorsi, in caso di registrazione di eventi di dati per bucket Amazon S3 specifici, è consigliabile non utilizzare un bucket Amazon S3 per il quale è attiva la registrazione degli eventi di dati per la ricezione dei file di log specificati nella sezione relativa agli eventi di dati. L'utilizzo dello stesso bucket Amazon S3 fa sì che il percorso registri un evento di dati ogni volta che i file di log vengono distribuiti nel bucket Amazon S3. I fil di log sono eventi aggregati distribuiti a intervalli (non in un rapporto uno a uno). L'evento viene registrato nel successivo file di log. Ad esempio, quando CloudTrail consegna i log, l'PutObject
evento si verifica nel bucket S3. Se il bucket S3 viene specificato anche nella sezione degli eventi di dati, il trail elabora e registra l'evento PutObject
come un evento di dati. Questa azione è un altro evento PutObject
e il trail elabora e registra di nuovo l'evento. Per ulteriori informazioni, consulta Come CloudTrail funziona.
Per evitare di registrare gli eventi relativi ai dati per il bucket Amazon S3 in cui ricevi i file di log, se configuri un trail per registrare tutti gli eventi relativi ai dati di Amazon S3 nel AWS tuo account, prendi in considerazione la possibilità di configurare la consegna dei file di log a un bucket Amazon S3 che appartiene a un altro account. AWS Per ulteriori informazioni, consulta Ricezione di file di CloudTrail registro da più account.
Registrazione degli eventi relativi ai dati per gli oggetti S3 in altri account AWS
Quando configuri il tuo trail per registrare gli eventi relativi ai dati, puoi anche specificare oggetti S3 che appartengono ad altri account. AWS Quando si verifica un evento su un oggetto specificato, CloudTrail valuta se l'evento corrisponde a qualche trail in ogni account. Se l'evento corrisponde alle impostazioni di un trail, il trail elabora e registra l'evento per tale account. In genere, sia gli intermediari API che i proprietari di risorse possono ricevere eventi.
Se disponi di un oggetto S3 e lo specifichi nel trail, il trail registra gli eventi che si verificano nell'oggetto nel tuo account. Poiché sei il proprietario dell'oggetto, il trail registra anche gli eventi quando altri account chiamano l'oggetto.
Se specifichi un oggetto S3 nel trail e un altro account è proprietario dell'oggetto, il trail registra solo gli eventi che si verificano in tale oggetto nel tuo account. Il trail non registra gli eventi che si verificano in altri account.
Esempio: registrazione di eventi di dati per un oggetto Amazon S3 per due account AWS
L'esempio seguente mostra come due AWS account si configurano CloudTrail per registrare gli eventi per lo stesso oggetto S3.
-
Nel tuo account vuoi che il trail registri gli eventi di dati per tutti gli oggetti nel bucket S3 denominato
owner-bucket
. Puoi configurare le tracce specificando il bucket S3 con un prefisso di oggetto vuoto. -
Bob dispone di un account distinto che dispone dell'accesso al bucket S3. Bob vuole inoltre registrare gli eventi di dati per tutti gli oggetti nello stesso bucket S3. Durante la configurazione del suo trail specifica lo stesso bucket S3 con un prefisso di oggetto vuoto.
-
Bob carica un oggetto nel bucket S3 con l'operazione API
PutObject
. -
Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.
-
Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra lo stesso evento. Poiché ora ci sono due copie dell'evento (una registrata nel percorso di Bob e una nella tua), vengono CloudTrail addebitate due copie dell'evento relativo ai dati.
-
Carichi un oggetto nel bucket S3.
-
Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.
-
Poiché l'evento non si è verificato nell'account di Bob e lui non possiede il bucket S3, il percorso di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento relativo ai dati.
Esempio: registrazione degli eventi relativi ai dati per tutti i bucket, incluso un bucket S3 utilizzato da due account AWS
L'esempio seguente mostra il comportamento di registrazione quando l'opzione Seleziona tutti i bucket S3 del tuo account è abilitata per i trail che raccolgono gli eventi relativi ai dati in un account. AWS
-
Nel tuo account, desideri che il tuo trail registri gli eventi di dati per tutti i bucket S3. Puoi configurare il percorso scegliendo gli eventi Read (Lettura), Write (Scrittura) o entrambi per All current and future S3 buckets (Tutti i bucket S3 attuali e futuri) in Data events (Eventi di dati).
-
Bob ha un account separato a cui è stato concesso l'accesso a un bucket S3 nel tuo account. Vuole registrare gli eventi di dati per il bucket a cui ha accesso. Egli configura il suo trail per ottenere gli eventi di dati per tutti i bucket S3.
-
Bob carica un oggetto nel bucket S3 con l'operazione API
PutObject
. -
Questo evento si verifica nel suo account e corrisponde alle impostazioni del suo trail. Il trail di Bob elabora e registra l'evento.
-
Poiché sei il proprietario del bucket S3 e l'evento corrisponde alle impostazioni del tuo trail, anche il tuo trail elabora e registra l'evento. Poiché ora ci sono due copie dell'evento (una registrata nel percorso di Bob e l'altra nel tuo), CloudTrail addebita a ciascun account una copia dell'evento relativo ai dati.
-
Carichi un oggetto nel bucket S3.
-
Questo evento si verifica nel tuo account e corrisponde alle impostazioni del tuo trail. Il tuo trail elabora e registra l'evento.
-
Poiché l'evento non si è verificato nell'account di Bob e lui non possiede il bucket S3, il percorso di Bob non registra l'evento. CloudTrail addebita solo una copia di questo evento relativo ai dati nel tuo account.
-
Un terzo utente, Mary, ha accesso al bucket S3 ed esegue un'operazione
GetObject
sul bucket. Ella ha un trail configurato per registrare gli eventi di dati su tutti i bucket S3 nel suo account. Poiché è la chiamante dell'API, CloudTrail registra un evento relativo ai dati nelle sue tracce. Anche se Bob ha accesso al bucket, non è il proprietario della risorsa, quindi questa volta nel suo trail non viene registrato alcun evento. In qualità di proprietario della risorsa, ricevi un evento sulle tue tracce relativo all'GetObject
operazione chiamata da Mary. CloudTrailaddebita al tuo account e all'account di Mary ogni copia dell'evento relativo ai dati: una sulle tracce di Mary e una sulle tue tracce.
Eventi di sola lettura e di sola scrittura
Quando configuri il percorso o il datastore di eventi per la registrazione degli eventi di dati e di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.
-
Lettura
Gli eventi Read (Lettura) includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni API Amazon EC2
DescribeSecurityGroups
eDescribeSubnets
. Queste operazioni restituiscono solo le informazioni sulle risorse Amazon EC2 e non modificano le configurazioni. -
Scrittura
Gli eventi Write (Scrittura) includono le operazioni API che modificano o potrebbero modificare le risorse. Ad esempio, le operazioni API Amazon EC2
RunInstances
eTerminateInstances
modificano le istanze.
Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati
L'esempio seguente mostra come è possibile configurare i trail in modo che le attività di log per un account vengano suddivise in bucket S3 separati: un bucket riceve gli eventi di sola lettura e un secondo bucket riceve eventi di sola scrittura.
-
Puoi creare un trail e scegliere un bucket S3 denominato
read-only-bucket
per ricevere i file di log. Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi di gestione e di dati Read (Lettura). -
Puoi creare un secondo trail e scegliere un bucket S3 denominato
write-only-bucket
per ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi di gestione e di dati Write (Scrittura). -
Le operazioni API Amazon EC2
DescribeInstances
eTerminateInstances
si verificano nell'account. -
L'operazione API
DescribeInstances
è un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il trail registra e distribuisce l'evento inread-only-bucket
. -
L'operazione API
TerminateInstances
è un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il trail registra e distribuisce l'evento inwrite-only-bucket
.
Registrazione degli eventi relativi ai dati con AWS Command Line Interface
È possibile configurare i percorsi o i datastore di eventi per includere eventi di dati utilizzando la AWS CLI.
Argomenti
Registrazione degli eventi relativi ai dati per i sentieri con AWS CLI
Puoi configurare i trail per registrare gli eventi di gestione e dati utilizzando la AWS CLI. Per verificare se il percorso sta registrando gli eventi di gestione e di dati, esegui il comando get-event-selectors
Nota
-
Tieni presente che se l'account registra più di una copia degli eventi di gestione, ti verranno addebitati i costi. È sempre previsto un addebito per la registrazione degli eventi di dati. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail
. -
È possibile utilizzare selettori di eventi avanzati o selettori di eventi di base, ma non entrambi. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.
-
Se il percorso utilizza selettori di eventi di base, è possibile registrare solo i seguenti tipi di risorse:
-
AWS::DynamoDB::Table
-
AWS::Lambda::Function
-
AWS::S3::Object
Per registrare tipi di risorse aggiuntivi, è necessario utilizzare selettori di eventi avanzati. Per convertire un percorso a selettori di eventi avanzati, esegui il comando get-event-selectors per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti. A questo punto, aggiungi i selettori per tutti i tipi di risorse per i quali desideri registrare gli eventi di dati.
-
-
Puoi utilizzare selettori di eventi avanzati per applicare filtri in base al valore dei campi
eventName
,resources.ARN
ereadOnly
in modo da registrare solo gli eventi di dati che ti interessano. Per ulteriori informazioni sulla configurazione di questi campi, consulta AdvancedFieldSelector.
aws cloudtrail get-event-selectors --trail-name
TrailName
Il comando restituisce le impostazioni predefinite per un percorso.
Argomenti
- Registrazione di eventi utilizzando selettori di eventi avanzati
- Registra tutti gli eventi Amazon S3 per un bucket Amazon S3 utilizzando selettori di eventi avanzati
- Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati
- Registrazione di eventi utilizzando i selettori di eventi di base
Registrazione di eventi utilizzando selettori di eventi avanzati
Nota
Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti. Prima di configurare i selettori di eventi avanzati, esegui il comando get-event-selectors per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti. A questo punto, aggiungi i selettori per gli eventuali eventi di dati aggiuntivi che vuoi registrare.
L'esempio seguente crea selettori di eventi avanzati personalizzati per un percorso denominato in TrailName
modo da includere eventi di gestione di lettura e scrittura (omettendo il readOnly
selettore) PutObject
ed eventi di DeleteObject
dati per tutte le combinazioni bucket/prefisso di Amazon S3 ad eccezione di un bucket denominato ed eventi di dati per una funzione denominata. sample_bucket_name
AWS Lambda MyLambdaFunction
Poiché si tratta di selettori di eventi avanzati personalizzati, ogni set di selettori ha un nome descrittivo. Nota che una barra finale fa parte del valore ARN per i bucket S3.
aws cloudtrail put-event-selectors --trail-name
TrailName
--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::sample_bucket_name/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Registra tutti gli eventi Amazon S3 per un bucket Amazon S3 utilizzando selettori di eventi avanzati
Nota
Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.
L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un S3 Bucket specifico. Il valore per gli eventi S3 per il campo resources.type
è AWS::S3::Object
. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith
affinché resources.ARN
acquisisca tutti gli eventi.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::bucket_name
/"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition
:s3:::bucket_name
/" ] } ] } ] }
Registrazione di eventi Amazon S3 su AWS Outposts utilizzando i selettori di eventi avanzati
Nota
Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.
L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ] }
Registrazione di eventi utilizzando i selettori di eventi di base
Di seguito è riportato un risultato di esempio del comando get-event-selectors, che mostra i selettori di eventi di base. Per impostazione predefinita, quando crei un percorso utilizzando il AWS CLI, un trail registra tutti gli eventi di gestione. Per impostazione predefinita, i trail non registrano gli eventi di dati
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ] }
Per configurare il percorso per registrare gli eventi di gestione e di dati, esegui il comando put-event-selectors
L'esempio seguente mostra come utilizzare i selettori di eventi di base per configurare il percorso in modo da includere tutti gli eventi di gestione e gli eventi di dati per gli oggetti S3 in due prefissi di bucket S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.
Nota
Il numero massimo di risorse di dati S3 è 250, se scegli di limitare gli eventi di dati utilizzando selettori di eventi di base.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'
Il comando restituisce i selettori di eventi configurati per il percorso.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ] }
Registrazione degli eventi relativi ai dati per gli archivi dati degli eventi con AWS CLI
È possibile configurare i datastore di eventi per includere eventi di dati utilizzando la AWS CLI. Utilizza il comando create-event-data-store
update-event-data-store
Per vedere se il datastore di eventi include eventi di gestione, esegui il comando get-event-data-store
aws cloudtrail get-event-data-store --event-data-store
EventDataStoreARN
Il comando restituisce le impostazioni per il datastore di eventi.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa", "Name": "ebs-data-events", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log all EBS direct APIs on EBS snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00" }
Argomenti
Inclusione di tutti gli eventi Amazon S3 per un bucket
L'esempio seguente mostra come creare un datastore di eventi per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un bucket S3 specifico. Il valore per gli eventi S3 per il campo resources.type
è AWS::S3::Object
. Poiché i valori ARN per gli oggetti S3 e i bucket S3 sono leggermente diversi, devi aggiungere l'operatore StartsWith
affinché resources.ARN
acquisisca tutti gli eventi.
aws cloudtrail create-event-data-store --name "
EventDataStoreName
" --multi-region-enabled \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::bucket_name
/"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:
partition
:s3:::bucket_name
/" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00" }
Inclusione di Amazon S3 negli eventi AWS Outposts
L'esempio seguente mostra come creare un datastore di eventi che include tutti gli eventi di dati per tutti gli oggetti Amazon S3 su Outposts nell'outpost.
aws cloudtrail create-event-data-store --name
EventDataStoreName
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00" }
Registrazione di eventi di dati per la conformità di AWS Config
Se utilizzi pacchetti di AWS Config conformità per aiutare la tua azienda a mantenere la conformità a standard formalizzati come quelli richiesti dal Federal Risk and Authorization Management Program (FedRAMP) o dal National Institute of Standards and Technology (NIST), i pacchetti di conformità per i framework di conformità in genere richiedono almeno la registrazione degli eventi di dati per i bucket Amazon S3. I pacchetti di conformità per i framework di conformità includono una regola gestita chiamata cloudtrail-s3-dataevents-enabled
, che controlla la registrazione degli eventi di dati S3 nell'account. Anche molti pacchetti di conformità non sono associati a framework di conformità richiedono la registrazione degli eventi di dati S3. Di seguito sono riportati esempi di pacchetti di conformità che includono questa regola.
Per un elenco completo dei pacchetti di conformità di esempio disponibili in AWS Config, consulta i modelli di esempio dei pacchetti di conformità nella Guida per gli sviluppatori.AWS Config
Registrazione degli eventi relativi ai dati con gli SDK AWS
Esegui l'GetEventSelectorsoperazione per vedere se il tuo percorso sta registrando gli eventi relativi ai dati. È possibile configurare i percorsi per registrare gli eventi relativi ai dati eseguendo l'PutEventSelectorsoperazione. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.
Esegui l'GetEventDataStoreoperazione per vedere se il tuo Event Data Store sta registrando gli eventi relativi ai dati. È possibile configurare i data store degli eventi per includere eventi di dati eseguendo UpdateEventDataStorele operazioni CreateEventDataStoreo e specificando selettori di eventi avanzati. Per ulteriori informazioni, consulta Gestione di CloudTrail Lake tramite la AWS CLI e il Riferimento API di AWS CloudTrail.
Invio di eventi ad Amazon CloudWatch Logs
CloudTrail supporta l'invio di eventi di dati a CloudWatch Logs. Quando configuri il percorso per inviare eventi al gruppo di log CloudWatch Logs, CloudTrail invia solo gli eventi specificati nel percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi relativi ai dati, il percorso invia gli eventi di dati solo al gruppo di log CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.