Crea un percorso per registrare gli eventi di gestione

Per il primo itinerario, consigliamo di creare un percorso che registri tutti gli eventi di gestione e non registri gli eventi relativi ai dati o gli eventi Insights. Esempi di eventi di gestione includono eventi di sicurezza come gli eventi IAM CreateUser e AttachRolePolicy, eventi delle risorse come RunInstances e CreateBucket e molto altro. Creerai un bucket Amazon S3 in cui archivierai i file di registro per il percorso come parte della creazione del percorso nella console. CloudTrail

Nota

AWS Control Tower imposta un nuovo evento di gestione del CloudTrail trail logging quando si configura una landing zone. È un percorso a livello di organizzazione, il che significa che registra tutti gli eventi di gestione per l'account di gestione e tutti gli account dei membri dell'organizzazione. Per ulteriori informazioni, vedere Informazioni sull'accesso nella AWS Control Tower Guida per l'utente.AWS CloudTrail

Questo tutorial presuppone che si stia creando il primo percorso. A seconda del numero di percorsi presenti nell' AWS account e della configurazione di tali percorsi, la procedura seguente potrebbe comportare o meno dei costi. CloudTrail archivia i file di log in un bucket Amazon S3, il che comporta dei costi. Per ulteriori informazioni sui prezzi, consultare Prezzi di AWS CloudTrail e Prezzi di Amazon S3.

Per creare un trail

1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

2. Nel selettore della regione, scegli la AWS regione in cui desideri creare il percorso. Questa è la regione di origine del percorso.

   Nota

   La regione di origine è l'unica Regione AWS in cui è possibile aggiornare il percorso dopo la sua creazione.

3. Nella home page del CloudTrail servizio, nella pagina Percorsi o nella sezione Percorsi della pagina Dashboard, scegli Crea percorso.

4. In Trail name, dai un nome al percorso, ad esempio management-events. Come best practice, è consigliabile utilizzare un nome che identifichi in modo rapido lo scopo del percorso. In questo caso, si crea un percorso che registra gli eventi di gestione.

5. Lascia l'impostazione predefinita per Abilita per tutti gli account della mia organizzazione. Questa opzione non sarà disponibile per la modifica, a meno che siano stati configurati account in Organizations.

6. Per Storage location (Posizione di archiviazione), scegliere Create new S3 bucket (Crea nuovo bucket S3) per creare un bucket. Quando crei un bucket, CloudTrail crea e applica le politiche del bucket richieste. Se scegli di creare un nuovo bucket S3, la tua policy IAM deve includere l'autorizzazione per l's3:PutEncryptionConfigurationazione perché per impostazione predefinita la crittografia lato server è abilitata per il bucket. Assegna al bucket un nome che lo renda facile da identificare.

   Per facilitare la ricerca dei log, crea una nuova cartella (nota anche come prefisso) in un bucket esistente per archiviare i log. CloudTrail

   Nota

   Il nome del bucket Amazon S3 deve essere univoco a livello globale. Per ulteriori informazioni, consulta Regole per la denominazione dei bucket nella Guida per l'utente di Amazon Simple Storage Service.

7. Deselezionare la casella di controllo per disabilitare Log file SSE-KMS encryption (Crittografia SSE-KMS dei file di log). Per impostazione predefinita, i file di log sono crittografati con la crittografia SSE-S3. Per ulteriori informazioni su questa impostazione, consulta Uso della crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3).

8. Lascia le impostazioni predefinite in Additional settings (Impostazioni aggiuntive).

9. Lascia le impostazioni predefinite per i log. CloudWatch Per ora, non inviare log ad Amazon CloudWatch Logs.

10. (Facoltativo) In Tag, aggiungi uno o più tag personalizzati (coppie chiave-valore) al percorso. I tag possono aiutarti a identificare i CloudTrail percorsi e altre risorse, come i bucket Amazon S3 che contengono CloudTrail file di registro. Ad esempio, è possibile allegare un tag con il nome Compliance e il valore Auditing.

    Nota

    Sebbene sia possibile aggiungere tag ai percorsi quando li si crea nella CloudTrail console e creare un bucket Amazon S3 per archiviare i file di registro nella CloudTrail console, non è possibile aggiungere tag al bucket Amazon S3 dalla console. CloudTrail Per ulteriori informazioni sulla visualizzazione e la modifica delle proprietà di un bucket Amazon S3, inclusa l'aggiunta di tag a un bucket, consultare la Guida per l'utente di Amazon S3.

    Quando hai terminato la creazione di tag, seleziona Next (Successivo).

11. Nella pagina Choose log events (Seleziona eventi di log), seleziona i tipi di evento da registrare. Per questo percorso, mantieni le impostazioni predefinite, Management events (Eventi di gestione). Nell'area Management events (Eventi di gestione), scegli di registrare sia gli eventi Read (Lettura) che Write (Scrittura), se non sono già selezionati. Lascia vuote le caselle di controllo Escludi AWS KMS eventi ed Escludi eventi Amazon RDS Data API per registrare tutti gli eventi di gestione.

    

12. Lascia le impostazioni predefinite per Eventi di dati ed Eventi Insights. Questo percorso non registrerà alcun dato o evento CloudTrail Insights. Seleziona Successivo.

13. Nella pagina Review and create (Verifica e crea), rivedere le impostazioni selezionate per il percorso. Scegliere Edit (Modifica) in una sezione per tornare indietro e apportare modifiche. Quando si è pronti per creare il percorso, scegliere Create trail (Crea percorso).

14. La pagina Trails (Percorsi) mostra il nuovo percorso nella tabella. Tenere presente che il percorso è impostato su Multi-region trail (Percorso multiregione) per impostazione predefinita e che la registrazione è attivata per il percorso per impostazione predefinita.

    

Per ulteriori informazioni sui sentieri, vedereLavorare con i CloudTrail sentieri.