CloudTrail conceitos

Esta seção resume os conceitos básicos relacionados a. CloudTrail

CloudTrail eventos

Um evento em CloudTrail é o registro de uma atividade em um AWS conta. Essa atividade pode ser uma ação realizada por uma IAM identidade ou serviço que pode ser monitorado por CloudTrail. CloudTrailos eventos fornecem um histórico de atividades não API contábeis e não API contábeis feitas por meio do AWS Management Console, AWS SDKs, ferramentas de linha de comando e outras AWS serviços.

CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das API chamadas públicas, portanto, os eventos não aparecem em nenhuma ordem específica.

CloudTrail registra três tipos de eventos:

• Eventos de gerenciamento

• Eventos de dados

• Eventos do Insights

Todos os tipos de eventos usam um formato de CloudTrail JSON log.

Por padrão, as trilhas e os armazenamentos de dados de eventos registram eventos de gerenciamento, mas não eventos de dados ou do Insights.

Para obter informações sobre como Serviços da AWS integre com CloudTrail, vejaAWS tópicos de serviço para CloudTrail.

Eventos de gerenciamento

Os eventos de gerenciamento fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos do seu AWS conta. Elas também são conhecidas como operações de plano de controle.

Exemplos de eventos de gerenciamento incluem:

• Configurando a segurança (por exemplo, AWS Identity and Access Management AttachRolePolicyAPIoperações).

• Registro de dispositivos (por exemplo, EC2 CreateDefaultVpc API operações da Amazon).

• Configurando regras para rotear dados (por exemplo, EC2 CreateSubnet API operações da Amazon).

• Configurando o registro (por exemplo, AWS CloudTrail CreateTrailAPIoperações).

Os eventos de gerenciamento também podem incluir API eventos não relacionados à sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin evento. Para obter mais informações, consulte Não API eventos capturados por CloudTrail.

Por padrão, os dados de CloudTrail trilhas e eventos do CloudTrail Lake armazenam eventos de gerenciamento de registros. Para obter mais informações sobre eventos de gerenciamento de registros, consulteLog de eventos de gerenciamento.

Eventos de dados

Os eventos de dados fornecem informações sobre as operações do recurso executadas em um recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.

Exemplos de eventos de dados incluem:

• APIAtividade em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e PutObject API operações) em objetos em buckets do S3.

• AWS Lambda atividade de execução da função (a InvokeAPI).

• CloudTrail PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.

• Amazon SNS Publishe PublishBatchAPIoperações em tópicos.

A tabela a seguir mostra os tipos de eventos de dados disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de evento de dados (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando o AWS CLI ou CloudTrail APIs.

Para trilhas, você pode usar seletores de eventos básicos ou avançados para registrar eventos de dados para objetos do Amazon S3 em buckets de uso geral, funções Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). É possível usar somente seletores de eventos avançados para registrar em log os tipos de eventos de dados mostrados nas linhas restantes.

Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.

AWS service (Serviço da AWS)	Descrição	Tipo de evento de dados (console)	valor resources.type
Amazon DynamoDB	Atividade em APInível de item do Amazon DynamoDB em tabelas (por exemploPutItem,, DeleteItem e operações). UpdateItem API nota Para tabelas com fluxos habilitados, o campo resources no evento de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como resources.type, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no eventName campo.	DynamoDB	AWS::DynamoDB::Table
AWS Lambda	AWS Lambda atividade de execução da função (a InvokeAPI).	Lambda	AWS::Lambda::Function
Amazon S3	APIAtividade em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e PutObject API operações) em objetos em buckets de uso geral.	S3	AWS::S3::Object
AWS AppConfig	AWS AppConfig APIatividade para operações de configuração, como chamadas para StartConfigurationSession GetLatestConfiguration e.	AWS AppConfig	AWS::AppConfig::Configuration
AWS B2B Data Interchange	APIAtividade de intercâmbio de dados B2B para operações do Transformer, como chamadas para e. GetTransformerJob StartTransformerJob	B2B Data Interchange	AWS::B2BI::Transformer
Amazon Bedrock	APIAtividade do Amazon Bedrock em um alias de agente.	Alias de agente do Bedrock	AWS::Bedrock::AgentAlias
Amazon Bedrock	APIAtividade do Amazon Bedrock em um alias de fluxo.	Alias de fluxo de base	AWS::Bedrock::FlowAlias
Amazon Bedrock	APIAtividade do Amazon Bedrock em uma grade de proteção.	Corrimão Bedrock	AWS::Bedrock::Guardrail
Amazon Bedrock	APIAtividade do Amazon Bedrock em uma base de conhecimento.	Base de conhecimento do Bedrock	AWS::Bedrock::KnowledgeBase
Amazon CloudFront	CloudFront APIatividade em um KeyValueStore.	CloudFront KeyValueStore	AWS::CloudFront::KeyValueStore
AWS Cloud Map	AWS Cloud Map APIatividade em um namespace.	AWS Cloud Map namespace	AWS::ServiceDiscovery::Namespace
AWS Cloud Map	AWS Cloud Map APIatividade em um serviço.	AWS Cloud Map serviço	AWS::ServiceDiscovery::Service
AWS CloudTrail	CloudTrail PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.	CloudTrail canal	AWS::CloudTrail::Channel
Amazon CloudWatch	CloudWatch APIAtividade da Amazon em métricas.	CloudWatch métrica	AWS::CloudWatch::Metric
Amazon CloudWatch RUM	CloudWatch RUMAPIAtividade da Amazon em monitores de aplicativos.	RUMmonitor de aplicativos	AWS::RUM::AppMonitor
Amazon CodeWhisperer	CodeWhisperer APIAtividade da Amazon em uma personalização.	CodeWhisperer personalização	AWS::CodeWhisperer::Customization
Amazon CodeWhisperer	CodeWhisperer APIAtividade da Amazon em um perfil.	CodeWhisperer	AWS::CodeWhisperer::Profile
Amazon Cognito	APIAtividade do Amazon Cognito nos grupos de identidade do Amazon Cognito.	Bancos de identidades do Cognito	AWS::Cognito::IdentityPool
Amazon DynamoDB	Atividade do Amazon API DynamoDB em streams.	DynamoDB Streams	AWS::DynamoDB::Stream
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) diretoAPIs, como PutSnapshotBlockGetSnapshotBlock, e ListChangedBlocks em EBS snapshots da Amazon.	Amazon EBS Direct APIs	AWS::EC2::Snapshot
Amazon EMR	EMRAPIAtividade da Amazon em um espaço de trabalho de registro com gravação antecipada.	EMRespaço de trabalho de registro de gravação antecipada	AWS::EMRWAL::Workspace
Amazon FinSpace	Amazon FinSpaceAPIatividade em ambientes.	FinSpace	AWS::FinSpace::Environment
AWS Glue	AWS Glue APIatividade em tabelas criadas pelo Lake Formation.	Lake Formation	AWS::Glue::Table
Amazon GuardDuty	GuardDuty APIAtividade na Amazon para um detector.	GuardDuty detector	AWS::GuardDuty::Detector
AWS HealthImaging	AWS HealthImaging APIatividade em armazenamentos de dados.	MedicalImaging armazenamento de dados	AWS::MedicalImaging::Datastore
AWS IoT	AWS IoT APIatividade em certificados.	Certificado de IoT	AWS::IoT::Certificate
AWS IoT	AWS IoT APIatividade sobre coisas.	Coisa de IoT	AWS::IoT::Thing
AWS IoT Greengrass Version 2	APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma versão componente. nota O Greengrass não registra eventos de acesso negado.	Versão do componente IoT Greengrass	AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2	APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma implantação. nota O Greengrass não registra eventos de acesso negado.	Implantação do IoT Greengrass	AWS::GreengrassV2::Deployment
AWS IoT SiteWise	SiteWise APIAtividade de IoT em ativos.	Ativo de IoT SiteWise	AWS::IoTSiteWise::Asset
AWS IoT SiteWise	SiteWise APIAtividade de IoT em séries temporais.	Série temporal de IoT SiteWise	AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker	TwinMaker APIAtividade de IoT em uma entidade.	Entidade de IoT TwinMaker	AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker	TwinMaker APIAtividade de IoT em um espaço de trabalho.	Espaço de trabalho de IoT TwinMaker	AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking	Atividade do Amazon Kendra Intelligent API Ranking em planos de execução de rescore.	Kendra Ranking	AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (para Apache Cassandra)	APIAtividade do Amazon Keyspaces em uma mesa.	Mesa Cassandra	AWS::Cassandra::Table
Amazon Kinesis Data Streams	Atividade do Kinesis API Data Streams em streams.	Stream do Kinesis	AWS::Kinesis::Stream
Amazon Kinesis Data Streams	Atividade do Kinesis API Data Streams em consumidores de streams.	Consumidor de streaming do Kinesis	AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams	Atividade do Kinesis API Video Streams em streams de vídeo, como chamadas para e. GetMedia PutMedia	Fluxo de vídeo do Kinesis	AWS::KinesisVideo::Stream
Amazon Machine Learning	APIAtividade de Machine Learning em modelos de ML.	Aprendizagem automática MlModel	AWS::MachineLearning::MlModel
Amazon Managed Blockchain	APIAtividade do Amazon Managed Blockchain em uma rede.	Rede do Managed Blockchain	AWS::ManagedBlockchain::Network
Amazon Managed Blockchain	Amazon Managed Blockchain JSON - RPC chama nós de Ethereum, como eth_getBalance oueth_getBlockByNumber.	Managed Blockchain	AWS::ManagedBlockchain::Node
Gráfico do Amazon Neptune	APIAtividades de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico de Netuno.	Gráfico do Neptune	AWS::NeptuneGraph::Graph
Amazon One Enterprise	APIAtividade do Amazon One Enterprise em umUKey.	Amazon One UKey	AWS::One::UKey
Amazon One Enterprise	APIAtividade do Amazon One Enterprise com usuários.	Usuário do Amazon One	AWS::One::User
AWS Payment Cryptography	AWS Payment Cryptography APIatividade em aliases.	Alias de criptografia de pagamento	AWS::PaymentCryptography::Alias
AWS Payment Cryptography	AWS Payment Cryptography APIatividade nas teclas.	Chave de criptografia de pagamento	AWS::PaymentCryptography::Key
AWS Private CA	AWS Private CA Conector para API atividade do Active Directory.	AWS Private CA Conector para Active Directory	AWS::PCAConnectorAD::Connector
AWS Private CA	AWS Private CA Conector para SCEP API atividade.	AWS Private CA Connector for SCEP	AWS::PCAConnectorSCEP::Connector
Aplicativos Amazon Q	APIAtividade de dados no Amazon Q Apps.	Aplicativos Amazon Q	AWS::QApps:QApp
Amazon Q Business	APIAtividade do Amazon Q Business em um aplicativo.	Aplicação do Amazon Q Business	AWS::QBusiness::Application
Amazon Q Business	APIAtividade do Amazon Q Business em uma fonte de dados.	Fonte de dados do Amazon Q Business	AWS::QBusiness::DataSource
Amazon Q Business	APIAtividade do Amazon Q Business em um índice.	Índice do Amazon Q Business	AWS::QBusiness::Index
Amazon Q Business	APIAtividade do Amazon Q Business em uma experiência na web.	Experiência na web do Amazon Q Business	AWS::QBusiness::WebExperience
Amazon RDS	RDSAPIAtividade da Amazon em um cluster de banco de dados.	RDSDados API - cluster de banco de dados	AWS::RDS::DBCluster
Amazon S3	APIAtividade do Amazon S3 em pontos de acesso.	Ponto de acesso do S3	AWS::S3::AccessPoint
Amazon S3	APIAtividade em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e PutObject API operações) em objetos em buckets de diretório.	S3 Express	AWS::S3Express::Object
Amazon S3	APIAtividade de pontos de acesso do Amazon S3 Object Lambda, como chamadas para e. CompleteMultipartUpload GetObject	S3 Object Lambda	AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts	Atividade em nível de objeto do Amazon S3 on Outposts. API	S3 Outposts	AWS::S3Outposts::Object
Amazon SageMaker	SageMaker InvokeEndpointWithResponseStreamAtividade da Amazon em endpoints.	SageMaker ponto final	AWS::SageMaker::Endpoint
Amazon SageMaker	SageMaker APIAtividade da Amazon em lojas especiais.	SageMaker feature store	AWS::SageMaker::FeatureGroup
Amazon SageMaker	SageMaker APIAtividade da Amazon em componentes de testes experimentais.	SageMaker componente experimental de métricas	AWS::SageMaker::ExperimentTrialComponent
Amazon SNS	SNSPublishAPIOperações da Amazon em endpoints da plataforma.	SNSendpoint da plataforma	AWS::SNS::PlatformEndpoint
Amazon SNS	Amazon SNS Publishe PublishBatchAPIoperações em tópicos.	SNStópico	AWS::SNS::Topic
Amazon SQS	SQSAPIAtividade da Amazon em mensagens.	SQS	AWS::SQS::Queue
AWS Step Functions	APIAtividade do Step Functions em uma máquina de estado.	Máquina de estado do Step Functions	AWS::StepFunctions::StateMachine
Cadeia de Suprimentos AWS	Cadeia de Suprimentos AWS APIatividade em uma instância.	Cadeia de suprimentos	AWS::SCN::Instance
Amazon SWF	SWFAPIAtividade da Amazon em domínios.	SWFdomínio	AWS::SWF::Domain
AWS Systems Manager	APIAtividade do Systems Manager nos canais de controle.	Systems Manager (Gerenciador de sistemas)	AWS::SSMMessages::ControlChannel
AWS Systems Manager	APIAtividade do Systems Manager em nós gerenciados.	Nó gerenciado pelo Systems Manager	AWS::SSM::ManagedNode
Amazon Timestream	Atividade do Amazon QueryAPITimestream em bancos de dados.	Banco de dados do Timestream	AWS::Timestream::Database
Amazon Timestream	Atividade do Amazon QueryAPITimestream nas tabelas.	Tabela do Timestream	AWS::Timestream::Table
Amazon Verified Permissions	APIAtividade de permissões verificadas da Amazon em um repositório de políticas.	Amazon Verified Permissions	AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client	WorkSpaces APIAtividade do Thin Client em um dispositivo.	Dispositivo Thin Client	AWS::ThinClient::Device
Amazon WorkSpaces Thin Client	WorkSpaces APIAtividade do Thin Client em um ambiente.	Ambiente Thin Client	AWS::ThinClient::Environment
AWS X-Ray	APIAtividade de raio-X em traços.	Traço de raio-X	AWS::XRay::Trace

Eventos de dados não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente os recursos suportados ou os tipos de recursos para os quais deseja coletar atividades. Para obter mais informações sobre log de eventos de dados, consulte Eventos de dados de log.

Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Eventos do Insights

CloudTrail Os eventos do Insights capturam atividades incomuns de taxa de API chamadas ou taxa de erro em seu AWS conta analisando a atividade CloudTrail de gerenciamento. Os eventos do Insights fornecem informações relevantes, como o código de erro associadoAPI, a hora do incidente e as estatísticas, que ajudam você a entender e agir em relação a atividades incomuns. Ao contrário de outros tipos de eventos capturados em um armazenamento de dados de CloudTrail trilhas ou eventos, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no API uso da sua conta ou no registro da taxa de erro que diferem significativamente dos padrões de uso típicos da conta.

Exemplos de atividades que podem gerar eventos do Insights incluem:

• Sua conta normalmente não registra mais de 20 deleteBucket API chamadas do Amazon S3 por minuto, mas sua conta começa a registrar uma média de 100 deleteBucket API chamadas por minuto. Um evento do Insights é registrado em log no início da atividade incomum e outro evento do Insights é registrado em log para marcar o fim da atividade incomum.

• Sua conta normalmente registra 20 chamadas por minuto para a Amazon EC2 AuthorizeSecurityGroupIngressAPI, mas sua conta começa a registrar zero chamadas paraAuthorizeSecurityGroupIngress. Um evento do Insights é registrado em log no início da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro evento do Insights é registrado em log para marcar o fim da atividade incomum.

• Sua conta normalmente registra menos de um AccessDeniedException erro em um período de sete dias no AWS Identity and Access Management API,DeleteInstanceProfile. Sua conta começa a registrar uma média de 12 AccessDeniedException erros por minuto na DeleteInstanceProfile API chamada. Um evento do Insights é registrado no início da atividade incomum e outro evento do Insights é registrado para marcar o fim da atividade incomum.

Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendo do seu caso de uso.

Para registrar eventos do CloudTrail Insights, você deve habilitar explicitamente os eventos do Insights em um armazenamento de dados de trilhas ou eventos novo ou existente. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de eventos para eventos do Insights com o console.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para ter mais informações, consulte AWS CloudTrail Preços.

Histórico de eventos

CloudTrail o histórico de eventos fornece um registro visível, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento em um CloudTrail Região da AWS. Você pode usar esse histórico para obter visibilidade das ações realizadas em seu AWS conta no AWS Management Console, AWS SDKs, ferramentas de linha de comando e outras AWS serviços. Você pode personalizar sua visualização do histórico de eventos no CloudTrail console selecionando quais colunas serão exibidas. Para obter mais informações, consulte Trabalhando com o histórico de CloudTrail eventos.

Trilhas

Uma trilha é uma configuração que permite a entrega de CloudTrail eventos para um bucket do S3, com entrega opcional para a CloudWatch Logs e a Amazon EventBridge. Você pode usar uma trilha para escolher os CloudTrail eventos que deseja entregar, criptografar seus arquivos de registro de CloudTrail eventos com um AWS KMS chave e configure as SNS notificações da Amazon para entrega de arquivos de log. Para obter mais informações sobre como criar e gerenciar uma trilha, consulte Criando uma trilha para o seu Conta da AWS.

Trilhas multirregionais e de região única

Você pode criar trilhas multirregionais e de uma única região para seu Conta da AWS.

Trilhas multirregionais

Quando você cria uma trilha multirregional, CloudTrail registra eventos em todas Regiões da AWS no AWS partição na qual você está trabalhando e entrega os arquivos de log de CloudTrail eventos para um bucket do S3 que você especificar. Se um Região da AWS é adicionada depois que você cria uma trilha multirregional, essa nova região é incluída automaticamente e os eventos nessa região são registrados. Criar uma trilha de várias regiões é uma prática recomendada, pois você captura atividades em todas as regiões da conta. Todas as trilhas que você cria usando o CloudTrail console são multirregionais. Você pode converter uma trilha de região única em uma trilha de várias regiões usando o AWS CLI. Para obter mais informações, consulte Criar uma trilha no console Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões e.

Trilhas de uma única região

Ao criar uma trilha de região única, CloudTrail registra os eventos somente nessa região. Em seguida, ele entrega os arquivos de log de CloudTrail eventos para um bucket do Amazon S3 que você especificar. Você só pode criar uma trilha de região única usando o AWS CLI. Se você criar trilhas únicas adicionais, poderá fazer com que essas trilhas entreguem arquivos de log de CloudTrail eventos para o mesmo bucket do S3 ou para buckets separados. Essa é a opção padrão quando você cria uma trilha usando o AWS CLI ou CloudTrail API o. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.

nota

Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.

Uma trilha multirregional tem as seguintes vantagens:

• As configurações da trilha se aplicam de forma consistente em todos Regiões da AWS.

• Você recebe CloudTrail eventos de todos Regiões da AWS em um único bucket do Amazon S3 e, opcionalmente, em um grupo de CloudWatch logs de registros.

• Você gerencia a configuração de trilhas para todos Regiões da AWS de um único local.

Quando você aplica uma trilha a todos AWS Regiões, CloudTrail usa a trilha que você cria em uma região específica para criar trilhas com configurações idênticas em todas as outras regiões do AWS partição na qual você está trabalhando.

Isso causa os seguintes efeitos:

• CloudTrail fornece arquivos de log para a atividade da conta de todos AWS Regiões para o único bucket do Amazon S3 que você especifica e, opcionalmente, para um grupo de CloudWatch logs de registros.

• Se você configurou um SNS tópico da Amazon para a trilha, SNS notificações sobre entregas de arquivos de log em todos AWS As regiões são enviadas para esse único SNS tópico.

Independentemente de a trilha ser multirregional ou monorregional, os eventos enviados para a Amazon EventBridge são recebidos no ônibus de eventos de cada região, em vez de em um único ônibus de eventos.

Várias trilhas por região

Se você tiver grupos de usuários diferentes, porém relacionados, como desenvolvedores, equipe de segurança e auditores de TI, poderá criar várias trilhas por região. Isso permite que cada grupo receba sua própria cópia dos arquivos de log.

CloudTrail suporta cinco trilhas por região. Uma trilha multirregional conta como uma trilha por região.

Veja a seguir um exemplo de uma região com cinco trilhas:

• Você duas trilhas na região Oeste dos EUA (Norte da Califórnia) que se aplicam somente a essa região.

• Você cria mais duas trilhas multirregionais na região Oeste dos EUA (Norte da Califórnia).

• Você cria outra trilha multirregional na região Ásia-Pacífico (Sydney). Esta trilha também existe como uma trilha na região Oeste dos EUA (Norte da Califórnia).

Você pode ver uma lista de trilhas em um Região da AWS na página Trails do CloudTrail console. Para obter mais informações, consulte Atualizando uma trilha com o CloudTrail console. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Trilhas organizacionais

Uma trilha da organização é uma configuração que permite a entrega de CloudTrail eventos na conta de gerenciamento e em todas as contas de membros em um AWS Organizations organização para o mesmo bucket do Amazon S3, CloudWatch Logs e Amazon. EventBridge Criar uma trilha da organização ajuda você a definir uma estratégia de registro de eventos uniforme para sua organização.

Todas as trilhas organizacionais criadas usando o console são trilhas organizacionais de várias regiões que registram eventos do sistema ativado Regiões da AWS em cada conta de membro na organização. Para registrar eventos em todos AWS partições em sua organização, crie uma trilha organizacional multirregional em cada partição. Você pode criar uma trilha organizacional de uma única região ou de várias regiões usando o AWS CLI. Se você criar uma trilha de região única, registrará a atividade somente na trilha Região da AWS (também conhecida como Região de Origem).

Embora a maioria Regiões da AWS estão habilitados por padrão para o seu Conta da AWS, você deve ativar manualmente determinadas regiões (também chamadas de regiões opcionais). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de ativar e desativar regiões no AWS Account Management Guia de referência. Para ver a lista de regiões CloudTrail compatíveis, consulteCloudTrail Regiões suportadas.

Quando você cria uma trilha da organização, uma cópia da trilha com o nome que você dá a ela é criada nas contas dos membros que pertencem à sua organização.

• Se a trilha da organização for para uma única região e a região de origem da trilha não for uma região OPT, uma cópia da trilha será criada na região de origem da trilha da organização na conta de cada membro.

• Se a trilha da organização for para uma única região e a região de origem da trilha for uma região OPT, uma cópia da trilha será criada na região de origem da trilha da organização nas contas dos membros que habilitaram essa região.

• Se a trilha da organização for multirregional e a região de origem da trilha não for uma região opcional, uma cópia da trilha será criada em cada uma habilitada Região da AWS em cada conta de membro. Quando uma conta de membro ativa uma região de adesão, uma cópia da trilha multirregional é criada na região recém-selecionada para a conta membro após a conclusão da ativação dessa região.

• Se a trilha da organização for multirregional e a região de origem for uma região opcional, as contas dos membros não enviarão atividades para a trilha da organização, a menos que optem pela Região da AWS onde a trilha multirregional foi criada. Por exemplo, se você criar uma trilha multirregional e escolher a região da Europa (Espanha) como a região de origem da trilha, somente as contas dos membros que habilitaram a região da Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização.

nota

CloudTrail cria trilhas organizacionais nas contas dos membros, mesmo que a validação de um recurso falhe. Exemplos de falhas de validação incluem:

• uma política incorreta de bucket do Amazon S3

• uma política de SNS tópicos incorreta da Amazon

• incapacidade de entregar para um grupo de CloudWatch registros de registros

• permissão insuficiente para criptografar usando uma chave KMS

Uma conta membro com CloudTrail permissões pode ver qualquer falha de validação de uma trilha da organização visualizando a página de detalhes da trilha no CloudTrail console ou executando o AWS CLI get-trail-statuscomando.

Os usuários com CloudTrail permissões nas contas dos membros poderão ver as trilhas da organização (incluindo a trilhaARN) ao entrarem no AWS CloudTrail console de seu AWS contas, ou quando elas são executadas AWS CLI comandos como describe-trails (embora as contas dos membros devam usar o ARN para a trilha da organização, e não o nome, ao usar o AWS CLI). No entanto, os usuários nas contas dos membros não terão permissões suficientes para excluir trilhas da organização, ativar ou desativar o login, alterar os tipos de eventos registrados ou alterar as trilhas da organização de qualquer forma. Para obter mais informações sobre AWS Organizations, consulte Organizations Terminology and Concepts. Para obter mais informações sobre como criar e trabalhar com trilhas da organização, consulte Criar uma trilha para uma organização.

CloudTrail Armazenamentos de dados de lagos e eventos

CloudTrail O Lake permite que você execute consultas detalhadas SQL sobre seus eventos e registre eventos de fontes externas AWS, inclusive de seus próprios aplicativos e de parceiros integrados com CloudTrail o. Você não precisa ter uma trilha configurada em sua conta para usar o CloudTrail Lake.

Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos com base nos critérios que você seleciona aplicando seletores de eventos avançados. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos. Você pode salvar consultas do Lake para uso futuro e visualizar resultados de consultas por até sete dias. Você também pode salvar os resultados da consulta em um bucket do S3. CloudTrail Lake também pode armazenar eventos de uma organização em AWS Organizations em um armazenamento de dados de eventos ou eventos de várias regiões e contas. CloudTrail O Lake faz parte de uma solução de auditoria que ajuda você a realizar investigações de segurança e solucionar problemas. Para ter mais informações, consulte Trabalhando com AWS CloudTrail Lago e CloudTrail Conceitos e terminologia do lago.

CloudTrail Percepções

CloudTrail Ajuda do Insights AWS os usuários identificam e respondem a volumes incomuns de API chamadas ou erros registrados nas API chamadas analisando continuamente os eventos CloudTrail de gerenciamento. Um evento do Insights é um registro de níveis incomuns de API atividade de write gerenciamento ou níveis incomuns de erros retornados na API atividade de gerenciamento. Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos do CloudTrail Insights. No console, é possível optar por registrar em log eventos do Insights ao criar ou atualizar uma trilha ou um armazenamento de dados de eventos. Ao usar o CloudTrail API, você pode registrar eventos do Insights editando as configurações de uma trilha existente ou armazenamento de dados de eventos com PutInsightSelectorsAPIo. Cobranças adicionais se aplicam ao registro de eventos do CloudTrail Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Registrar eventos do Insights e AWS CloudTrail Preços.

Tags

Uma tag é uma chave definida pelo cliente e um valor opcional que pode ser atribuído a AWS recursos, como CloudTrail trilhas, armazenamentos de dados de eventos e canais, buckets S3 usados para armazenar arquivos de CloudTrail log, AWS Organizations organizações e unidades organizacionais e muito mais. Ao adicionar as mesmas tags às trilhas e aos buckets do S3 que você usa para armazenar arquivos de log das trilhas, você pode facilitar o gerenciamento, a pesquisa e a filtragem desses recursos com AWS Resource Groups. Você pode implementar estratégias de marcação para ajudá-lo a encontrar e gerenciar seus recursos de forma consistente, eficaz e fácil. Para obter mais informações, consulte Melhores práticas para marcação AWS Recursos.

AWS Security Token Service e CloudTrail

AWS Security Token Service (AWS STS) é um serviço que tem um endpoint global e também oferece suporte a endpoints específicos da região. Um endpoint é URL aquele que é o ponto de entrada para solicitações de serviços da web. Por exemplo, https://cloudtrail.us-west-2.amazonaws.com é o ponto de entrada regional do Oeste dos EUA (Oregon) para o AWS CloudTrail serviço. Os endpoints regionais ajudam a reduzir a latência em suas aplicações.

Quando você usa um AWS STS Ponto final específico da região, a trilha nessa região oferece somente o AWS STS eventos que ocorrem nessa região. Por exemplo, se você estiver usando o endpointsts.us-west-2.amazonaws.com, a trilha em us-west-2 fornece somente o AWS STS eventos que se originam de us-west-2. Para obter mais informações sobre AWS STS endpoints regionais, consulte Ativação e desativação AWS STS em um AWS Região no Guia do IAM usuário.

Para obter uma lista completa de AWS endpoints regionais, consulte AWS Regiões e endpoints no Referência geral da AWS. Para obter detalhes sobre eventos globais AWS STS endpoint, consulteEventos de serviços globais.

Eventos de serviços globais

Importante

Em 22 de novembro de 2021, AWS CloudTrail mudou a forma como as trilhas capturam eventos de serviços globais. Agora, eventos criados pela Amazon CloudFront, AWS Identity and Access Management e AWS STS são registrados na região em que foram criados, a região Leste dos EUA (Norte da Virgínia), us-east-1. Isso faz com que a forma como CloudTrail trata esses serviços seja consistente com a de outros AWS serviços globais. Para continuar recebendo eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia), certifique-se de converter as trilhas de região única que usam eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia) para trilhas de várias regiões. Para obter mais informações sobre como capturar eventos de serviços globais, consulte Como habilitar e desabilitar o registro de eventos de serviços globais que aparece adiante nesta seção.

Por outro lado, o histórico de eventos no CloudTrail console e o aws cloudtrail lookup-events comando mostrarão esses eventos no Região da AWS onde eles ocorreram.

Para a maioria dos serviços, os eventos são registrados na região em que a ação ocorreu. Para serviços globais, como AWS Identity and Access Management (IAM), AWS STS, e na Amazon CloudFront, os eventos são entregues em qualquer trilha que inclua serviços globais.

Para a maioria dos serviços globais, os eventos são registrados como ocorridos em uma região Leste dos EUA (Norte da Virgínia), mas alguns eventos de serviço globais são registrados como ocorridos em outras regiões, como a região Leste dos EUA (Ohio) ou a região Oeste dos EUA (Oregon).

Para evitar o recebimento de eventos de serviços globais duplicados, lembre-se do seguinte:

• Os eventos de serviço global são entregues por padrão às trilhas criadas usando o CloudTrail console. Os eventos resumo são fornecidos ao bucket da trilha.

• Se você tiver várias trilhas de região única, considere a possibilidade de configurar suas trilhas para que os eventos de serviços globais sejam fornecidos somente em uma das trilhas. Para obter mais informações, consulte Como habilitar e desabilitar o registro de eventos de serviços globais.

• Quando você altera a configuração de uma trilha de registrar todas as regiões para registrar uma única região, o registro em log de eventos de serviços globais é desativado automaticamente para essa trilha. Do mesmo modo, quando você altera a configuração de uma trilha de registrar uma região única para registrar todas as regiões, o registro em log de eventos de serviços globais é ativado automaticamente para essa trilha.

  Para obter mais informações sobre como alterar o registro de eventos de serviços globais de uma trilha, consulte Como habilitar e desabilitar o registro de eventos de serviços globais.

Exemplo:

1. Você cria uma trilha no CloudTrail console. Por padrão, essa trilha registra eventos de serviços globais.

2. Você tem várias trilhas de região única.

3. Não é necessário incluir serviços globais para as trilhas de região única. Os eventos de serviços globais são fornecidos à primeira trilha. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.

nota

Quando você cria ou atualiza uma trilha com o AWS CLI, AWS SDKs CloudTrail API, ou você pode especificar se deseja incluir ou excluir eventos de serviço global para trilhas. Você não pode configurar o registro global de eventos do serviço a partir do CloudTrail console.