Copiar eventos de trilhas para um armazenamento de dados de eventos - AWS CloudTrail
Considerações para copiar eventos de trilhasPermissões necessárias para copiar eventos da trilha

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Copiar eventos de trilhas para um armazenamento de dados de eventos

Você pode copiar eventos da trilha para um armazenamento de dados de eventos do CloudTrail Lake para criar um point-in-time instantâneo dos eventos registrados na trilha. Copiar os eventos de uma trilha não interfere na capacidade da trilha de registrar eventos e não modifica a trilha de nenhuma forma.

Você pode copiar eventos de trilha para um armazenamento de dados de eventos existente configurado para CloudTrail eventos ou pode criar um novo armazenamento de dados de CloudTrail eventos e escolher a opção Copiar eventos de trilha como parte da criação do armazenamento de dados de eventos. Para obter mais informações sobre cópia de eventos de trilhas para um armazenamento de dados de eventos existente, consulte Copie eventos de trilha para um armazenamento de dados de eventos existente com o console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

Se estiver copiando eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da respectiva organização. Não é possível copiar eventos de trilha usando uma conta de administrador delegado para uma organização.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

Ao copiar eventos de trilha para um armazenamento de dados de eventos do CloudTrail Lake, você incorre em cobranças com base na quantidade de dados não compactados que o armazenamento de dados de eventos ingere.

Ao copiar eventos de trilha para o CloudTrail Lake, CloudTrail descompacta os registros armazenados no formato gzip (compactado) e, em seguida, copia os eventos contidos nos registros para seu armazenamento de dados de eventos. O tamanho dos dados não compactados pode ser maior do que o tamanho real do armazenamento do S3. Para obter uma estimativa geral do tamanho dos dados não compactados, é possível multiplicar o tamanho dos registros no bucket do S3 por 10.

É possível pode reduzir os custos especificando um intervalo de tempo mais restrito para os eventos copiados. Se você planeja usar apenas o armazenamento de dados de eventos para consultar seus eventos copiados, poderá desativar a ingestão de eventos para evitar cobranças em eventos futuros. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

Cenários

A tabela a seguir descreve alguns cenários comuns para copiar eventos de trilha e como você realiza cada cenário usando o console.

Cenário Como faço isso no console?

Analise e consulte eventos históricos de trilhas em CloudTrail Lake sem ingerir novos eventos

Crie um novo armazenamento de dados de eventos e escolha a opção Copiar eventos da trilha como parte da criação do armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção Ingerir eventos (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.

Substitua sua trilha existente por um armazenamento de dados de eventos do CloudTrail Lake

Crie um armazenamento de dados de eventos com os mesmos seletores de eventos que sua trilha para garantir que o armazenamento de dados de eventos tenha a mesma cobertura da trilha.

Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de datas para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos.

Após a criação do armazenamento de dados de eventos, você poderá desativar o registro em log da trilha para evitar cobranças adicionais.
Tópicos

Considerações para copiar eventos de trilhas

Considere os seguintes fatores ao copiar eventos de trilhas.

  • Ao copiar eventos de trilha, CloudTrail usa a operação da GetObjectAPI do S3 para recuperar os eventos de trilha no bucket do S3 de origem. Há algumas classes de armazenamento arquivadas no S3, como os níveis de S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts e S3 Intelligent-Tiering Deep Archive que não são acessíveis via GetObject. Para copiar eventos de trilhas armazenados nessas classes de armazenamento arquivadas, primeiro é necessário restaurar uma cópia usando a operação RestoreObject do S3. Para obter informações sobre como restaurar objetos arquivados, consulte Restaurar objetos arquivados no Guia do usuário do Amazon S3.

  • Quando você copia eventos de trilha para um armazenamento de dados de eventos, CloudTrail copia todos os eventos de trilha, independentemente da configuração dos tipos de eventos do armazenamento de dados de eventos de destino, seletores de eventos avançados ou Região da AWS.

  • Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso.

    • Opção de preço: a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte Preço do AWS CloudTrail e Opções de preços do armazenamento de dados de eventos.

    • Período de retenção: o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados do evento. CloudTrail copia somente eventos de trilha que tenham um período de retenção eventTime dentro do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (período de retenção = oldest-event-in-days+ number-days-to-retain). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.

  • Se você estiver copiando eventos de trilha para um armazenamento de dados de eventos para investigação e não quiser ingerir nenhum evento futuro, poderá interromper a ingestão no armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção Ingerir eventos (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.

  • Antes de copiar os eventos da trilha, desative todas as listas de controle de acesso (ACLs) anexadas ao bucket do S3 de origem e atualize a política do bucket do S3 para o armazenamento de dados de eventos de destino. Para obter mais informações sobre a atualização da política de bucket do S3, consulte Política de buckets do Amazon S3 para copiar eventos da trilha. Para obter mais informações sobre a desabilitação de ACLs, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

  • CloudTrail copia somente eventos de trilha de arquivos de log compactados Gzip que estão no bucket S3 de origem. CloudTrail não copia eventos de trilha de arquivos de log não compactados ou arquivos de log que foram compactados usando um formato diferente de Gzip.

  • Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos.

  • Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os CloudTrail prefixos dentro do CloudTrail prefixo, e não verifica os prefixos de outros serviços. AWS Se quiser copiar CloudTrail eventos contidos em outro prefixo, você deve escolher o prefixo ao copiar eventos de trilha.

  • Para copiar eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da organização. Não é possível usar a conta de administrador delegado para copiar eventos de trilhas para um armazenamento de dados de eventos da organização.

Permissões necessárias para copiar eventos da trilha

Antes de copiar os eventos da trilha, verifique se você tem todas as permissões necessárias para sua função do IAM. Se você escolher um perfil do IAM existente para copiar os eventos da trilha, atualizar as permissões do perfil do IAM será o suficiente. Se você optar por criar uma nova função do IAM, CloudTrail forneça todas as permissões necessárias para a função.

Se o bucket do S3 de origem usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS permita CloudTrail descriptografar dados no bucket. Se o bucket do S3 de origem usar várias chaves KMS, você deverá atualizar a política de cada chave CloudTrail para permitir a descriptografia de dados no bucket.

Permissões do IAM para copiar eventos da trilha

Ao copiar os eventos da trilha, você tem a opção de criar um perfil do IAM ou usar um perfil do IAM existente. Quando você escolhe uma nova função do IAM, CloudTrail cria uma função do IAM com as permissões necessárias e nenhuma ação adicional é necessária de sua parte.

Se você escolher uma função existente, certifique-se de que as políticas da função do IAM CloudTrail permitam copiar eventos de trilha do bucket S3 de origem. Esta seção fornece exemplos das políticas de confiança e permissões do perfil do IAM necessárias.

O exemplo a seguir fornece a política de permissões, que CloudTrail permite copiar eventos de trilha do bucket S3 de origem. Substitua DOC-EXAMPLE-BUCKET, myAccountId, region, prefix e eventDataStore Id pelos valores apropriados para sua configuração. O myAccountID é o ID da AWS conta usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

Substitua key-region, keyAccountID e keyID pelos valores da chave do KMS usada para criptografar o bucket do S3 de origem. Você poderá omitir a instrução AWSCloudTrailImportKeyAccess se o bucket do S3 de origem não usar uma chave KMS para criptografia.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

O exemplo a seguir fornece a política de confiança do IAM, que CloudTrail permite assumir uma função do IAM para copiar eventos de trilha do bucket S3 de origem. Substitua myAccountId, region e eventDataStoreArn pelos valores apropriados para sua configuração. O myAccountID é o Conta da AWS ID usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Política de buckets do Amazon S3 para copiar eventos da trilha

Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.

Antes de copiar eventos de trilha, você deve atualizar a política de bucket do S3 CloudTrail para permitir a cópia de eventos de trilha do bucket do S3 de origem.

Você pode adicionar a seguinte declaração à política de bucket do S3 para conceder essas permissões. Substitua roLearn e DOC-EXAMPLE-BUCKET pelos valores apropriados para sua configuração.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
  ]
},

Política de chaves do KMS para descriptografar dados no bucket do S3 de origem

Se o bucket do S3 de origem usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS forneça CloudTrail kms:GenerateDataKey as permissões kms:Decrypt e as permissões necessárias para copiar eventos de trilha de um bucket do S3 com a criptografia SSE-KMS ativada. Se o bucket do S3 de origem usar várias chaves do KMS, será necessário atualizar a política de cada chave. A atualização da política de chaves do KMS permite CloudTrail descriptografar dados no bucket S3 de origem, executar verificações de validação para garantir que os eventos estejam em conformidade com os CloudTrail padrões e copiar eventos para o armazenamento de dados de eventos do Lake. CloudTrail

O exemplo a seguir fornece a política de chaves do KMS, que permite CloudTrail descriptografar os dados no bucket S3 de origem. Substitua roLearn, DOC-EXAMPLE-BUCKET, myAccountId, region e Id pelos valores apropriados para sua configuração. eventDataStore O myAccountID é o ID da AWS conta usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}