Copiando eventos da trilha para o CloudTrail lago

Você pode copiar eventos de trilha existentes para um armazenamento de dados de eventos do CloudTrail Lake para criar um point-in-time instantâneo dos eventos registrados na trilha. Copiar eventos da trilha não interfere na capacidade da trilha de registrar eventos e não modifica a trilha de nenhuma forma.

Você pode copiar eventos de trilha para um armazenamento de dados de eventos existente configurado para CloudTrail eventos ou pode criar um novo armazenamento de dados de CloudTrail eventos e escolher a opção Copiar eventos de trilha como parte da criação do armazenamento de dados de eventos. Para obter mais informações sobre cópia de eventos de trilhas para um armazenamento de dados de eventos existente, consulte Copie eventos de trilha para um armazenamento de dados de eventos existente usando o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

Copiar eventos de trilha para um armazenamento de dados de eventos do CloudTrail Lake permite que você execute consultas sobre os eventos copiados. CloudTrail As consultas do Lake oferecem uma visão mais profunda e personalizável dos eventos do que pesquisas simples de chaves e valores no histórico de eventos ou em execução. LookupEvents Para obter mais informações sobre CloudTrail Lake, consulteTrabalhando com AWS CloudTrail Lake.

Se estiver copiando eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da respectiva organização. Não é possível copiar eventos de trilha usando uma conta de administrador delegado para uma organização.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

Ao copiar eventos de trilha para um armazenamento de dados de eventos do CloudTrail Lake, você incorre em cobranças com base na quantidade de dados não compactados que o armazenamento de dados de eventos ingere.

Ao copiar eventos de trilha para o CloudTrail Lake, CloudTrail descompacta os registros armazenados no formato gzip (compactado) e, em seguida, copia os eventos contidos nos registros para seu armazenamento de dados de eventos. O tamanho dos dados não compactados pode ser maior do que o tamanho real do armazenamento do S3. Para obter uma estimativa geral do tamanho dos dados não compactados, é possível multiplicar o tamanho dos registros no bucket do S3 por 10.

É possível pode reduzir os custos especificando um intervalo de tempo mais restrito para os eventos copiados. Se você planeja usar apenas o armazenamento de dados de eventos para consultar seus eventos copiados, poderá desativar a ingestão de eventos para evitar cobranças em eventos futuros. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

Cenários

A tabela a seguir descreve alguns cenários comuns para copiar eventos de trilha e como você realiza cada cenário usando o console.

Cenário	Como faço isso no console?
Analise e consulte eventos históricos de trilhas em CloudTrail Lake sem ingerir novos eventos	Crie um novo armazenamento de dados de eventos e escolha a opção Copiar eventos da trilha como parte da criação do armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção Ingerir eventos (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.
Substitua sua trilha existente por um armazenamento de dados de eventos do CloudTrail Lake	Crie um armazenamento de dados de eventos com os mesmos seletores de eventos que sua trilha para garantir que o armazenamento de dados de eventos tenha a mesma cobertura da trilha. Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de datas para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos. Após a criação do armazenamento de dados de eventos, você poderá desativar o registro em log da trilha para evitar cobranças adicionais.

Considerações para copiar eventos de trilhas

Considere os seguintes fatores ao copiar eventos de trilhas.

• Ao copiar eventos de trilha, CloudTrail usa a operação da GetObjectAPI do S3 para recuperar os eventos de trilha no bucket do S3 de origem. Há algumas classes de armazenamento arquivadas no S3, como os níveis de S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts e S3 Intelligent-Tiering Deep Archive que não são acessíveis via GetObject. Para copiar eventos de trilhas armazenados nessas classes de armazenamento arquivadas, primeiro é necessário restaurar uma cópia usando a operação RestoreObject do S3. Para obter informações sobre como restaurar objetos arquivados, consulte Restaurar objetos arquivados no Guia do usuário do Amazon S3.

• Quando você copia eventos de trilha para um armazenamento de dados de eventos, CloudTrail copia todos os eventos de trilha, independentemente da configuração dos tipos de eventos do armazenamento de dados de eventos de destino, seletores de eventos avançados ou Região da AWS.

• Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso.

  • Opção de preço: a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte Preço do AWS CloudTrail e Opções de preços do armazenamento de dados de eventos.

  • Período de retenção: o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados do evento. CloudTrail copia somente eventos de trilha que tenham um período de retenção eventTime dentro do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (período de retenção = oldest-event-in-days+ number-days-to-retain). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.

• Se você estiver copiando eventos de trilha para um armazenamento de dados de eventos para investigação e não quiser ingerir nenhum evento futuro, poderá interromper a ingestão no armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção Ingerir eventos (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.

• Antes de copiar os eventos da trilha, desative todas as listas de controle de acesso (ACLs) anexadas ao bucket do S3 de origem e atualize a política do bucket do S3 para o armazenamento de dados de eventos de destino. Para obter mais informações sobre a atualização da política de bucket do S3, consulte Política de buckets do Amazon S3 para copiar eventos da trilha. Para obter mais informações sobre a desabilitação de ACLs, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

• CloudTrail copia somente eventos de trilha de arquivos de log compactados Gzip que estão no bucket S3 de origem. CloudTrail não copia eventos de trilha de arquivos de log não compactados ou arquivos de log que foram compactados usando um formato diferente de Gzip.

• Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos.

• Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os CloudTrail prefixos dentro do CloudTrail prefixo, e não verifica os prefixos de outros serviços. AWS Se quiser copiar CloudTrail eventos contidos em outro prefixo, você deve escolher o prefixo ao copiar eventos de trilha.

• Para copiar eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da organização. Não é possível usar a conta de administrador delegado para copiar eventos de trilhas para um armazenamento de dados de eventos da organização.

Permissões necessárias para copiar eventos da trilha

Antes de copiar os eventos da trilha, verifique se você tem todas as permissões necessárias para sua função do IAM. Se você escolher um perfil do IAM existente para copiar os eventos da trilha, atualizar as permissões do perfil do IAM será o suficiente. Se você optar por criar uma nova função do IAM, CloudTrail forneça todas as permissões necessárias para a função.

Se o bucket do S3 de origem usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS permita CloudTrail descriptografar dados no bucket. Se o bucket do S3 de origem usar várias chaves KMS, você deverá atualizar a política de cada chave CloudTrail para permitir a descriptografia dos dados no bucket.

Tópicos

• Permissões do IAM para copiar eventos da trilha
• Política de buckets do Amazon S3 para copiar eventos da trilha
• Política de chaves do KMS para descriptografar dados no bucket do S3 de origem

Permissões do IAM para copiar eventos da trilha

Ao copiar os eventos da trilha, você tem a opção de criar um perfil do IAM ou usar um perfil do IAM existente. Quando você escolhe uma nova função do IAM, CloudTrail cria uma função do IAM com as permissões necessárias e nenhuma ação adicional é necessária de sua parte.

Se você escolher uma função existente, certifique-se de que as políticas da função do IAM CloudTrail permitam copiar eventos de trilha do bucket S3 de origem. Esta seção fornece exemplos das políticas de confiança e permissões do perfil do IAM necessárias.

O exemplo a seguir fornece a política de permissões, que CloudTrail permite copiar eventos de trilha do bucket S3 de origem. Substitua DOC-EXAMPLE-BUCKET, myAccountId, region, prefix e eventDataStore Id pelos valores apropriados para sua configuração. O myAccountID é o ID da AWS conta usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

Substitua key-region, keyAccountID e keyID pelos valores da chave do KMS usada para criptografar o bucket do S3 de origem. Você poderá omitir a instrução AWSCloudTrailImportKeyAccess se o bucket do S3 de origem não usar uma chave KMS para criptografia.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

O exemplo a seguir fornece a política de confiança do IAM, que CloudTrail permite assumir uma função do IAM para copiar eventos de trilha do bucket S3 de origem. Substitua myAccountId, region e eventDataStoreArn pelos valores apropriados para sua configuração. O myAccountID é o Conta da AWS ID usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}
                

Política de buckets do Amazon S3 para copiar eventos da trilha

Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.

Antes de copiar eventos de trilha, você deve atualizar a política de bucket do S3 CloudTrail para permitir a cópia de eventos de trilha do bucket do S3 de origem.

Você pode adicionar a seguinte declaração à política de bucket do S3 para conceder essas permissões. Substitua roLearn e DOC-EXAMPLE-BUCKET pelos valores apropriados para sua configuração.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
  ]
},

Política de chaves do KMS para descriptografar dados no bucket do S3 de origem

Se o bucket do S3 de origem usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS forneça CloudTrail kms:GenerateDataKey as permissões kms:Decrypt e as permissões necessárias para copiar eventos de trilha de um bucket do S3 com a criptografia SSE-KMS ativada. Se o bucket do S3 de origem usar várias chaves do KMS, será necessário atualizar a política de cada chave. A atualização da política de chaves do KMS permite CloudTrail descriptografar dados no bucket S3 de origem, executar verificações de validação para garantir que os eventos estejam em conformidade com os CloudTrail padrões e copiar eventos para o armazenamento de dados de eventos do Lake. CloudTrail

O exemplo a seguir fornece a política de chaves do KMS, que permite CloudTrail descriptografar os dados no bucket S3 de origem. Substitua roLearn, DOC-EXAMPLE-BUCKET, myAccountId, region e Id pelos valores apropriados para sua configuração. eventDataStore O myAccountID é o ID da AWS conta usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}
                

Copie eventos de trilha para um armazenamento de dados de eventos existente usando o CloudTrail console

Use o procedimento a seguir para copiar eventos de trilha para um armazenamento de dados de eventos existentes. Para obter informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

nota

Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso.

• Opção de preço: a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte Preço do AWS CloudTrail e Opções de preços do armazenamento de dados de eventos.

• Período de retenção: o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados do evento. CloudTrail copia somente eventos de trilha que tenham um período de retenção eventTime dentro do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (período de retenção = oldest-event-in-days+ number-days-to-retain). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.

Para copiar eventos de trilhas para um armazenamento de dados de eventos

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

2. Escolha Trilhas no painel de navegação esquerdo do CloudTrail console.

3. Na página Trails (Trilhas), escolha a trilha e, em seguida, escolha Copy events to Lake (Copiar eventos para o Lake). Se o bucket S3 de origem da trilha usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS permita CloudTrail descriptografar dados no bucket. Se o bucket do S3 de origem usar várias chaves KMS, você deverá atualizar a política de cada chave CloudTrail para permitir a descriptografia de dados no bucket. Para obter mais informações sobre a atualização da política de chaves do KMS, consulte Política de chaves do KMS para descriptografar dados no bucket do S3 de origem.

4. (Opcional) Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os CloudTrail prefixos dentro do CloudTrail prefixo, e não verifica os prefixos de outros serviços. AWS Se você quiser copiar CloudTrail eventos contidos em outro prefixo, escolha Inserir URI do S3 e, em seguida, escolha Procurar no S3 para navegar até o prefixo.

   A política de bucket do S3 deve conceder CloudTrail acesso a eventos de trilha de cópia. Para obter mais informações sobre a atualização da política de bucket do S3, consulte Política de buckets do Amazon S3 para copiar eventos da trilha.

5. Em Especificar um intervalo de tempo de eventos, escolha o intervalo de tempo para copiar os eventos. CloudTrail verifica o prefixo e o nome do arquivo de log para verificar se o nome contém uma data entre as datas de início e término escolhidas antes de tentar copiar os eventos da trilha. É possível escolher entre Relative range (Intervalo relativo) e Absolute range (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.

   nota

   CloudTrail copia somente eventos de trilha que tenham um período de retenção eventTime dentro do armazenamento de dados de eventos. Por exemplo, se o período de retenção de um armazenamento de dados de eventos for de 90 dias, não CloudTrail copiará nenhum evento de trilha com eventTime mais de 90 dias.

   • Se você escolher Intervalo relativo, poderá optar por copiar eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou um intervalo personalizado. CloudTrail copia os eventos registrados dentro do período de tempo escolhido.

   • Se você escolher Intervalo absoluto, poderá escolher uma data específica de início e término. CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.

6. Em Delivery location (Local de entrega), escolha o armazenamento de dados de eventos de destino na lista suspensa.

7. Em Permissions (Permissões), escolha uma das opções de perfil do IAM a seguir. Ao escolher um perfil do IAM existente, verifique se a política de perfil do IAM fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões do perfil do IAM, consulte Permissões do IAM para copiar eventos da trilha.

   • Escolha Create a new role (recommended) (Criar uma nova função [recomendado]) para criar um novo perfil do IAM. Em Enter IAM role name (Inserir nome do perfil do IAM), insira um nome exclusivo para o perfil. CloudTrail cria automaticamente as permissões necessárias para essa nova função.

   • Escolha Usar um ARN de função personalizada do IAM para usar uma função personalizada do IAM que não esteja listada. Em Enter IAM role ARN (Inserir ARN do perfil do IAM), insira o ARN do perfil.

   • Escolha uma função do IAM existente na lista suspensa.

8. Escolha Copy events (Copiar eventos).

9. Será necessário confirmar a cópia. Quando estiver pronto para confirmar, escolha Copy trail events to Lake (Copiar eventos da trilha para o Lake) e, em seguida, escolha Copy events (Copiar eventos).

10. Na página Copy details (Copiar detalhes), é possível ver o status da cópia e revisar quaisquer falhas. Quando uma cópia de evento de trilha é concluída, seu Copy status (Status de cópia) é definido como Completed (Concluída) se não houve erros ou como Failed (Falha) se houve algum erro.

    nota

    Os detalhes apresentados na página de detalhes da cópia do evento não estão em tempo real. Os valores reais dos detalhes, como Prefixes copied (prefixos copiados), podem ser maiores do que os apresentados na página. CloudTrail atualiza os detalhes de forma incremental ao longo da cópia do evento.

11. Se o Copy status (Status da cópia) for Failed (Falha), corrija os erros mostrados em Copy failures (Falhas ao copiar) e, em seguida, escolha Retry copy (Tentar cópia novamente). Quando você tenta fazer uma cópia novamente, CloudTrail retoma a cópia no local em que a falha ocorreu.

Para obter mais informações sobre como visualizar os detalhes de uma cópia de evento de trilha, consulte Veja os detalhes da cópia do evento com o CloudTrail console.