Crea un archivio dati di eventi per gli eventi di dati S3 - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un archivio dati di eventi per gli eventi di dati S3

È possibile creare un archivio dati di eventi per registrare CloudTrail eventi (eventi di gestione, eventi relativi ai dati), eventi CloudTrail Insights, AWS Audit Manager prove, elementi di AWS Config configurazione o non AWS eventi.

Quando crei un archivio dati di eventi per gli eventi di dati, scegli i tipi di risorse Servizi AWS e i tipi di risorse per i quali desideri registrare gli eventi relativi ai dati. Per informazioni sugli Servizi AWS eventi relativi ai dati di registro, consultaEventi di dati.

Questa procedura dettagliata mostra come creare un data store per eventi di dati di Amazon S3. In questo tutorial, invece di registrare tutti gli eventi di dati di Amazon S3, sceglieremo un modello di selettore di log personalizzato per registrare gli eventi solo quando un oggetto viene eliminato da un bucket S3 specifico.

Creazione di un datastore di eventi per eventi di dati S3

  1. Accedi a AWS Management Console e apri la console all' CloudTrail indirizzo. https://console.aws.amazon.com/cloudtrail/

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Scegliere Create event data store (Crea archivio di dati degli eventi).

  4. Nella pagina Configura il data store degli eventi, in Dettagli generali, assegna un nome al tuo event data store, ad esempio s3-data-events-eds. È consigliabile utilizzare un nome che identifichi rapidamente lo scopo dell'archivio dati degli eventi. Per informazioni sui requisiti di CloudTrail denominazione, vedere. Requisiti di denominazione per CloudTrail risorse, bucket S3 e chiavi KMS

  5. Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

    Sono disponibili le seguenti opzioni:

    • Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a prezzi pay-as-you-go convenienti. Questa è l'opzione predefinita.

      • Periodo di conservazione predefinito: 366 giorni

      • Periodo di conservazione massimo: 3.653 giorni

    • Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.

      • Periodo di conservazione predefinito: 2.557 giorni

      • Periodo di conservazione massimo: 2.557 giorni

  6. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni.

    CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.

  7. (Facoltativo) In Crittografia, scegli se desideri crittografare l'archivio dati degli eventi utilizzando la tua KMS chiave. Per impostazione predefinita, tutti gli eventi in un Event Data Store vengono crittografati CloudTrail utilizzando una KMS chiave che AWS possiede e gestisce per conto tuo.

    Per abilitare la crittografia utilizzando la tua KMS chiave, scegli Usa la mia AWS KMS key. Scegli Nuovo per AWS KMS key crearne una per te oppure scegli Esistente per usare una KMS chiave esistente. In Inserisci KMS alias, specifica un alias, nel formato alias/MyAliasName. L'utilizzo della propria KMS chiave richiede la modifica della politica KMS delle chiavi per consentire la crittografia e la decrittografia dei CloudTrail log. Per ulteriori informazioni, vedere. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

    L'utilizzo di una KMS chiave propria comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un Event Data Store a una KMS chiave, la KMS chiave non può essere rimossa o modificata.

    Nota

    Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una KMS chiave esistente per l'account di gestione.

  8. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione consente di visualizzare i metadati associati all'archivio dati degli eventi nel Catalogo AWS Glue dati ed eseguire SQL query sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

    Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:

    1. Scegli se vuoi creare un nuovo ruolo o utilizzare un ruolo esistenteIAM. AWS Lake Formationutilizza questo ruolo per gestire le autorizzazioni per l'archivio dati degli eventi federati. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.

    2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.

    3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

  9. (Facoltativo) In Tag, aggiungi uno o più tag personalizzati (coppie chiave-valore) al datastore di eventi. I tag possono aiutarti a identificare i tuoi archivi di dati sugli CloudTrail eventi. Ad esempio, è possibile allegare un tag con il nome stage e il valore prod. Puoi usare i tag per limitare l'accesso al datastore di eventi. Puoi utilizzare questi tag anche per tenere traccia dei costi di query e importazione per il datastore di eventi.

    Per informazioni su come controllare utilizzare i tag per monitorare i costi, consulta Creazione di tag di allocazione dei costi definiti dall'utente per i data store di CloudTrail eventi Lake. Per informazioni su come utilizzare IAM le policy per autorizzare l'accesso a un data store di eventi in base ai tag, consultaEsempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag. Per informazioni su come utilizzare i tag in AWS, consulta Tagging your AWS resources nella Tagging AWS Resources User Guide.

  10. Scegli Next (Successivo) per configurare il datastore di eventi.

  11. Nella pagina Scegli eventi, lascia le selezioni predefinite per Tipo di evento.

    Scelta del tipo di evento per il datastore di eventi

  12. Per CloudTrail gli eventi, scegli Data events e deseleziona Management events. Per ulteriori informazioni sugli eventi di dati, consulta Registrazione degli eventi di dati.

    Scegli gli eventi CloudTrail relativi ai dati per l'archivio dati degli eventi

  13. Lascia l'impostazione predefinita per Copia eventi di percorso. Puoi usare questa opzione per copiare gli eventi di percorso nel datastore di eventi. Per ulteriori informazioni, consulta Copia di eventi traccia in un archivio dati degli eventi.

  14. Scegli Abilita per tutti gli account della mia organizzazione se si tratta di un datastore di eventi dell'organizzazione. Questa opzione non sarà disponibile per la modifica, a meno che non ci siano già degli account in AWS Organizations.

  15. Per Impostazioni aggiuntive lascia le selezioni predefinite. Per impostazione predefinita, un Event Data Store raccoglie gli eventi per tutti Regioni AWS e inizia a importarli al momento della creazione.

  16. Per Eventi di dati, effettua le seguenti selezioni:

    1. In Tipo di evento di dati, scegli S3. Il tipo di evento data identifica la risorsa Servizio AWS and su cui vengono registrati gli eventi di dati.

    2. In Modello di selettore di log, scegli Personalizzato. Scegliendo Personalizzato potrai definire un selettore di eventi personalizzato da filtrare in base ai campi eventName, resources.ARN e readOnly. Per informazioni su questi campi, vedere AdvancedFieldSelectornella Guida di riferimento.AWS CloudTrail API

    3. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio «Registra DeleteObject API le chiamate per un bucket S3 specifico». Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON

      JSONVisualizzazione estesa che mostra i selettori di eventi avanzati

    4. Nei selettori di eventi avanzati, creeremo il selettore di eventi personalizzato per filtrare i campi e. eventName resources.ARN I selettori di eventi avanzati per un archivio di dati degli eventi funzionano allo stesso modo dei selettori di eventi avanzati applicati a un percorso. Per ulteriori informazioni su come creare selettori di eventi avanzati, consultare Registrazione di eventi di dati con i selettori di eventi avanzati.

      1. Per Field scegli. eventName Per Operatore, scegli equals. In Valore, specifica DeleteObject. Scegli + Campo per filtrare in base a un altro campo.

      2. Per Field, scegli le risorse. ARN. Per Operator, scegli StartsWith. Per Value, inserisci il valore ARN per il tuo bucket (ad esempio, arn:aws:s3:::amzn-s3-demo-bucket). Per informazioni su come ottenerloARN, consulta le risorse di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

    Configurazione degli eventi di dati S3

  17. Scegli Next (Successivo) per rivedere le scelte effettuate.

  18. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

  19. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

    Da questo momento in poi, l'archivio di dati degli eventi cattura gli eventi che corrispondono ai suoi selettori di eventi avanzati. Gli eventi che si sono verificati prima della creazione dell'archivio di dati degli eventi non si trovano all'interno dell'archivio, a meno che tu non si abbia scelto di copiare gli eventi di trail esistenti.

Ora è possibile eseguire query sul nuovo datastore di eventi. Per informazioni sulla modalità di visualizzazione ed esecuzione di query di esempio, consulta Visualizza interrogazioni di esempio con la console CloudTrail .

Per ulteriori informazioni su CloudTrail Lake, consultaLavorare con AWS CloudTrail Lago.