Eventos de dados Eventos somente leitura e somente gravação Registrando eventos de dados com o AWS Management Console Registrando eventos de dados com o AWS Command Line Interface Registrar de eventos de dados para conformidade de AWS Config Registrando eventos de dados com o AWS SDKs

Eventos de dados de log

Esta seção descreve como registrar eventos de dados usando o CloudTrail console AWS CLIe.

Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos de dados em log. Há cobranças adicionais para eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.

Os eventos de dados fornecem informações sobre as operações do recurso executadas em um recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.

Exemplos de eventos de dados incluem:

APIAtividade em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e PutObject API operações) em objetos em buckets do S3.
AWS Lambda atividade de execução da função (a InvokeAPI).
CloudTrail PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.
Amazon SNS Publishe PublishBatchAPIoperações em tópicos.

Você pode usar seletores de eventos avançados para criar seletores refinados, que ajudam a controlar os custos registrando apenas os eventos específicos de interesse para seus casos de uso. Por exemplo, você pode usar seletores de eventos avançados para registrar API chamadas específicas adicionando um filtro no eventName campo. Para obter mais informações, consulte Filtrando eventos de dados usando seletores de eventos avançados.

nota

Os eventos registrados por suas trilhas estão disponíveis na Amazon EventBridge. Por exemplo, se você escolher registrar eventos de dados em log para objetos do S3, mas não eventos de gerenciamento, a trilha processará e registrará somente eventos de dados dos objetos do S3 especificados. Os eventos de dados desses objetos do S3 estão disponíveis na Amazon EventBridge. Para obter mais informações, consulte Eventos de AWS serviços no Guia do EventBridge usuário da Amazon.

Sumário

Eventos de dados

A tabela a seguir mostra os tipos de eventos de dados disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de evento de dados (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando o ou. AWS CLI CloudTrail APIs

Para trilhas, você pode usar seletores de eventos básicos ou avançados para registrar eventos de dados para objetos do Amazon S3 em buckets de uso geral, funções Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). É possível usar somente seletores de eventos avançados para registrar em log os tipos de eventos de dados mostrados nas linhas restantes.

Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.

Serviço da AWS	Descrição	Tipo de evento de dados (console)	valor resources.type
Amazon DynamoDB	Atividade em APInível de item do Amazon DynamoDB em tabelas (por exemplo`PutItem`,, `DeleteItem` e operações). `UpdateItem` API nota Para tabelas com fluxos habilitados, o campo `resources` no evento de dados contém `AWS::DynamoDB::Stream` e `AWS::DynamoDB::Table`. Se você especificar `AWS::DynamoDB::Table` como `resources.type`, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no `eventName` campo.	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda atividade de execução da função (a `Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	APIAtividade em nível de objeto do Amazon S3 (por exemplo,, `GetObjectDeleteObject`, e `PutObject` API operações) em objetos em buckets de uso geral.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig APIatividade para operações de configuração, como chamadas para `StartConfigurationSession` `GetLatestConfiguration` e.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Intercâmbio de dados B2B	APIAtividade de intercâmbio de dados B2B para operações do Transformer, como chamadas para e. `GetTransformerJob` `StartTransformerJob`	B2B Data Interchange	`AWS::B2BI::Transformer`
Amazon Bedrock	APIAtividade do Amazon Bedrock em um alias de agente.	Alias de agente do Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	APIAtividade do Amazon Bedrock em um alias de fluxo.	Alias de fluxo de base	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	APIAtividade do Amazon Bedrock em uma grade de proteção.	Corrimão Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	APIAtividade do Amazon Bedrock em uma base de conhecimento.	Base de conhecimento do Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon CloudFront	CloudFront APIatividade em um KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map APIatividade em um namespace.	AWS Cloud Map namespace	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map APIatividade em um serviço.	AWS Cloud Map serviço	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`atividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.	CloudTrail canal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	CloudWatch APIAtividade da Amazon em métricas.	CloudWatch métrica	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	CloudWatch RUMAPIAtividade da Amazon em monitores de aplicativos.	RUMmonitor de aplicativos	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	CodeWhisperer APIAtividade da Amazon em uma personalização.	CodeWhisperer personalização	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	CodeWhisperer APIAtividade da Amazon em um perfil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	APIAtividade do Amazon Cognito nos grupos de identidade do Amazon Cognito.	Bancos de identidades do Cognito	`AWS::Cognito::IdentityPool`
Amazon DynamoDB	Atividade do Amazon API DynamoDB em streams.	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) diretoAPIs, como `PutSnapshotBlockGetSnapshotBlock`, e `ListChangedBlocks` em EBS snapshots da Amazon.	Amazon EBS Direct APIs	`AWS::EC2::Snapshot`
Amazon EMR	EMRAPIAtividade da Amazon em um espaço de trabalho de registro com gravação antecipada.	EMRespaço de trabalho de registro de gravação antecipada	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpaceAPIatividade em ambientes.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue APIatividade em tabelas criadas pelo Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty APIAtividade na Amazon para um detector.	GuardDuty detector	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging APIatividade em armazenamentos de dados.	MedicalImaging armazenamento de dados	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT APIatividade em certificados.	Certificado de IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT APIatividade sobre coisas.	Coisa de IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma versão componente. nota O Greengrass não registra eventos de acesso negado.	Versão do componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma implantação. nota O Greengrass não registra eventos de acesso negado.	Implantação do IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	SiteWise APIAtividade de IoT em ativos .	Ativo de IoT SiteWise	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise APIAtividade de IoT em séries temporais.	Série temporal de IoT SiteWise	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	TwinMaker APIAtividade de IoT em uma entidade.	Entidade de IoT TwinMaker	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker APIAtividade de IoT em um espaço de trabalho.	Espaço de trabalho de IoT TwinMaker	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking	Atividade do Amazon Kendra Intelligent API Ranking em planos de execução de rescore.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (para Apache Cassandra)	APIAtividade do Amazon Keyspaces em uma mesa.	Mesa Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	Atividade do Kinesis API Data Streams em streams.	Stream do Kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Atividade do Kinesis API Data Streams em consumidores de stream.	Consumidor de streaming do Kinesis	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Atividade do Kinesis API Video Streams em streams de vídeo, como chamadas para e. `GetMedia` `PutMedia`	Fluxo de vídeo do Kinesis	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	APIAtividade de Machine Learning em modelos de ML.	Aprendizagem automática MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	APIAtividade do Amazon Managed Blockchain em uma rede.	Rede do Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON - RPC chama nós de Ethereum, como `eth_getBalance` ou`eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Gráfico do Amazon Neptune	APIAtividades de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico de Netuno.	Gráfico do Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	APIAtividade do Amazon One Enterprise em umUKey.	Amazon One UKey	`AWS::One::UKey`
Amazon One Enterprise	APIAtividade do Amazon One Enterprise com usuários.	Usuário do Amazon One	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography APIatividade em aliases.	Alias de criptografia de pagamento	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography APIatividade nas teclas.	Chave de criptografia de pagamento	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Conector para API atividade do Active Directory.	AWS Private CA Conector para Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Conector para SCEP API atividade.	AWS Private CA Conector para SCEP	`AWS::PCAConnectorSCEP::Connector`
Aplicativos Amazon Q	APIAtividade de dados no Amazon Q Apps.	Aplicativos Amazon Q	`AWS::QApps:QApp`
Amazon Q Business	APIAtividade do Amazon Q Business em um aplicativo.	Aplicação do Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	APIAtividade do Amazon Q Business em uma fonte de dados.	Fonte de dados do Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	APIAtividade do Amazon Q Business em um índice.	Índice do Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	APIAtividade do Amazon Q Business em uma experiência na web.	Experiência na web do Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon RDS	RDSAPIAtividade da Amazon em um cluster de banco de dados.	RDSDados API - cluster de banco de dados	`AWS::RDS::DBCluster`
Amazon S3	APIAtividade do Amazon S3 em pontos de acesso.	Ponto de acesso do S3	`AWS::S3::AccessPoint`
Amazon S3	APIAtividade em nível de objeto do Amazon S3 (por exemplo,, `GetObjectDeleteObject`, e `PutObject` API operações) em objetos em buckets de diretório.	S3 Express	`AWS::S3Express::Object`
Amazon S3	APIAtividade de pontos de acesso do Amazon S3 Object Lambda, como chamadas para e. `CompleteMultipartUpload` `GetObject`	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 on Outposts	Atividade em nível de objeto do Amazon S3 on Outposts. API	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Atividade da Amazon em endpoints.	SageMaker ponto final	`AWS::SageMaker::Endpoint`
Amazon SageMaker	SageMaker APIAtividade da Amazon em lojas especiais.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	SageMaker APIAtividade da Amazon em componentes de testes experimentais.	SageMaker componente experimental de métricas	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	SNS`Publish`APIOperações da Amazon em endpoints da plataforma.	SNSendpoint da plataforma	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Amazon SNS `Publish`e `PublishBatch`APIoperações em tópicos.	SNStópico	`AWS::SNS::Topic`
Amazon SQS	SQSAPIAtividade da Amazon em mensagens.	SQS	`AWS::SQS::Queue`
AWS Step Functions	APIAtividade do Step Functions em uma máquina de estado.	Máquina de estado do Step Functions	`AWS::StepFunctions::StateMachine`
Cadeia de Suprimentos AWS	Cadeia de Suprimentos AWS APIatividade em uma instância.	Cadeia de suprimentos	`AWS::SCN::Instance`
Amazon SWF	SWFAPIAtividade da Amazon em domínios.	SWFdomínio	`AWS::SWF::Domain`
AWS Systems Manager	APIAtividade do Systems Manager nos canais de controle.	Systems Manager (Gerenciador de sistemas)	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	APIAtividade do Systems Manager em nós gerenciados.	Nó gerenciado pelo Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Atividade do Amazon `Query`APITimestream em bancos de dados.	Banco de dados do Timestream	`AWS::Timestream::Database`
Amazon Timestream	Atividade do Amazon `Query`APITimestream nas tabelas.	Tabela do Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	APIAtividade de permissões verificadas da Amazon em um repositório de políticas.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces APIAtividade do Thin Client em um dispositivo.	Dispositivo Thin Client	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces APIAtividade do Thin Client em um ambiente.	Ambiente Thin Client	`AWS::ThinClient::Environment`
AWS X-Ray	APIAtividade de raio-X em traços.	Traço de raio-X	`AWS::XRay::Trace`

Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente cada tipo de recurso para o qual deseja coletar atividades. Para ter mais informações, consulte Criando uma trilha com o CloudTrail console e Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

Em uma trilha de região única, é possível registrar em log eventos de dados somente para recursos que pode acessar nessa região. Embora os buckets do S3 sejam globais, as AWS Lambda funções e as tabelas do DynamoDB são regionais.

Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Exemplos: registro de eventos de dados de objetos do Amazon S3

Registro de eventos de dados para todos os objetos do S3 em um bucket do S3

O exemplo a seguir demonstra como o registro funciona quando você configura o registro de todos os eventos de dados para um bucket do S3 chamado amzn-s3-demo-bucket. Neste exemplo, o CloudTrail usuário especificou um prefixo vazio e a opção de registrar eventos de dados de leitura e gravação.

Um usuário carrega um objeto no amzn-s3-demo-bucket.
A PutObject API operação é em nível de objeto do Amazon S3. API Ele é registrado como um evento de dados em CloudTrail. Como o CloudTrail usuário especificou um bucket do S3 com um prefixo vazio, os eventos que ocorrem em qualquer objeto desse bucket são registrados. A trilha ou o armazenamento de dados de eventos processa e registra o evento no log.
Outro usuário carrega um objeto no amzn-s3-demo-bucket2.
A PutObject API operação ocorreu em um objeto em um bucket do S3 que não foi especificado para o armazenamento de dados de trilhas ou eventos. A trilha ou o armazenamento de dados de eventos não registra o evento no log.

Registro de eventos de dados de objetos específicos do S3

O exemplo a seguir demonstra como o registro em log funciona quando você configura uma trilha ou um armazenamento de dados de eventos para registrar eventos para objetos específicos do S3. Neste exemplo, o CloudTrail usuário especificou um bucket S3 chamadoamzn-s3-demo-bucket3, com o prefixo my-imagese a opção de registrar somente eventos de gravação de dados.

Um usuário exclui um objeto que começa com o prefixo my-images no bucket, como arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
A DeleteObject API operação é em nível de objeto do Amazon S3. API Ele é registrado como um evento de gravação de dados em CloudTrail. O evento ocorreu em um objeto que corresponde ao bucket do S3 e ao prefixo especificado na trilha ou no armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos processa e registra o evento no log.
Outro usuário exclui um objeto com um prefixo diferente no bucket do S3, como arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi.
O evento ocorreu em um objeto que não corresponde ao prefixo especificado na sua trilha ou no armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
Um usuário chama a GetObject API operação do objeto,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
O evento ocorreu em um bucket e um prefixo especificados no armazenamento de dados da trilha ou do evento, mas em um nível de objeto do GetObject Amazon S3 do tipo de leitura. API Ele é registrado como um evento de leitura de dados em CloudTrail, e o armazenamento de dados de trilha ou evento não está configurado para registrar eventos de leitura. A trilha ou o armazenamento de dados de eventos não registra o evento no log.

nota

Para trilhas, se você estiver registrando eventos de dados específicos para buckets do Amazon S3, recomendamos não usar um bucket do Amazon S3 para os quais você está registrando eventos de dados para receber os arquivos de log que você especificou na seção de eventos de dados para sua trilha. Usar o mesmo bucket do Amazon S3 faz com que sua trilha registre eventos de dados cada vez que os arquivos de log são entregues ao bucket do Amazon S3. Os arquivos de log são eventos agregados entregues em intervalos, de modo que esta não é uma proporção de 1:1 de evento para arquivo de log; o evento é registrado no próximo arquivo de log. Por exemplo, ao CloudTrail entregar registros, o PutObject evento ocorre no bucket do S3. Se o bucket do S3 também é especificado na seção de eventos de dados, a trilha processa e registra o evento PutObject como um evento de dados. Essa ação é outro evento PutObject, e a trilha processa e registra o evento novamente.

Para evitar o registro de eventos de dados para o bucket do Amazon S3 em que você recebe arquivos de log, se você configurar uma trilha para registrar todos os eventos de dados do Amazon S3 em AWS sua conta, considere configurar a entrega de arquivos de log para um bucket do Amazon S3 que pertença a outra conta. AWS Para obter mais informações, consulte Recebendo arquivos de CloudTrail log de várias contas.

Registro de eventos de dados para objetos do S3 em outras contas AWS

Ao configurar sua trilha para registrar eventos de dados, você também pode especificar objetos do S3 que pertencem a outras AWS contas. Quando um evento ocorre em um objeto especificado, CloudTrail avalia se o evento corresponde a alguma trilha em cada conta. Se o evento corresponder às configurações de uma trilha, ela processará e registrará o evento dessa conta. Geralmente, tanto os API chamadores quanto os proprietários dos recursos podem receber eventos.

Se você tem um objeto do S3 e especifica esse objeto na sua trilha, ela registra eventos que ocorrem no objeto na sua conta. Como você possui o objeto, a trilha também registra eventos quando outras contas chamam o objeto.

Se você especificar um objeto do S3 na sua trilha e outra conta for a proprietária do objeto, a trilha registrará somente eventos que ocorrerem nesse objeto na sua conta. A trilha não registra eventos que ocorrem em outras contas.

Exemplo: registro de eventos de dados de um objeto do Amazon S3 para duas contas da AWS

O exemplo a seguir mostra como duas AWS contas são configuradas CloudTrail para registrar eventos para o mesmo objeto do S3.

Na sua conta, você quer que a trilha registre eventos de dados de todos os objetos no seu bucket do S3 chamado amzn-s3-demo-bucket. Configure a trilha especificando o bucket do S3 com um prefixo de objeto vazio.
Bob tem uma conta separada que recebeu acesso ao bucket do S3. Bob também quer registrar eventos de dados de todos os objetos no mesmo bucket do S3. Ele configura sua trilha e especifica o mesmo bucket do S3 com um prefixo de objeto vazio.
Bob carrega um objeto no bucket do S3 com a PutObject API operação.
Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob processa e registra o evento.
Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também processa e registra o mesmo evento. Como agora existem duas cópias do evento (uma registrada na trilha de Bob e outra registrada na sua), CloudTrail cobra por duas cópias do evento de dados.
Faça upload de um objeto do bucket do S3.
Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e registra o evento.
Como o evento não ocorreu na conta de Bob e ele não é dono do bucket S3, a trilha de Bob não registra o evento. CloudTrail cobra por apenas uma cópia desse evento de dados.

Exemplo: registro de eventos de dados para todos os buckets, incluindo um bucket S3 usado por duas contas AWS

O exemplo a seguir mostra o comportamento de registro quando Selecionar todos os buckets do S3 em sua conta está habilitado para trilhas que coletam eventos de dados em uma AWS conta.

Em sua conta, você deseja que sua trilha registre eventos de dados para todos os buckets do S3. Você configura a trilha escolhendo eventos de Read (Leitura), eventos de Write (Gravação) ou ambos para All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) em Data events (Eventos de dados).
Bob tem uma conta separada que recebeu acesso a um bucket do S3 em sua conta. Ele deseja registrar eventos de dados para o bucket ao qual ele tem acesso. Ele configura sua trilha para obter eventos de dados para todos os buckets do S3.
Bob carrega um objeto no bucket do S3 com a PutObject API operação.
Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob processa e registra o evento.
Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também processa e registra o evento. Como agora existem duas cópias do evento (uma registrada na trilha de Bob e outra registrada na sua), CloudTrail cobra de cada conta uma cópia do evento de dados.
Faça upload de um objeto do bucket do S3.
Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e registra o evento.
Como o evento não ocorreu na conta de Bob e ele não é dono do bucket S3, a trilha de Bob não registra o evento. CloudTrail cobra por apenas uma cópia desse evento de dados em sua conta.
Um terceiro usuário, Mary, tem acesso ao bucket do S3 e executa uma operação GetObject no bucket. Ela tem uma trilha configurada para registrar eventos de dados em todos os buckets do S3 em sua respectiva conta. Como ela é a API chamadora, CloudTrail registra um evento de dados em sua trilha. Embora Bob tenha acesso ao bucket, ele não é o proprietário do recurso, então nenhum evento é registrado em sua trilha dessa vez. Como proprietário do recurso, você recebe um evento em sua trilha sobre a GetObject operação que Mary convocou. CloudTrailcobra sua conta e a conta de Mary por cada cópia do evento de dados: uma na trilha de Mary e outra na sua.

Eventos somente leitura e somente gravação

Ao configurar a trilha ou o armazenamento de dados de eventos para registrar em log eventos de dados e de gerenciamento, é possível especificar se você deseja eventos somente leitura, eventos somente gravação, ou ambos.

Read

Os eventos de leitura incluem API operações que lêem seus recursos, mas não fazem alterações. Por exemplo, eventos somente para leitura incluem a Amazon EC2 DescribeSecurityGroups e DescribeSubnets API as operações. Essas operações retornam somente informações sobre seus EC2 recursos da Amazon e não alteram suas configurações.
Write

Os eventos de gravação incluem API operações que modificam (ou podem modificar) seus recursos. Por exemplo, a Amazon EC2 RunInstances e TerminateInstances API as operações modificam suas instâncias.

Exemplo: registro de eventos de leitura e gravação para trilhas separadas

O exemplo a seguir mostra como você pode configurar trilhas para dividir a atividade de log de uma conta em buckets S3 separados: um bucket chamado amzn-s3-demo-bucket1 recebe eventos somente para leitura e um segundo amzn-s3-demo-bucket2 recebe eventos somente para gravação.

Você cria uma trilha e escolhe o bucket do S3 chamado amzn-s3-demo-bucket1 para receber os arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de Read (Leitura) de dados e de gerenciamento.
Você cria uma segunda trilha e escolhe o bucket do S3 amzn-s3-demo-bucket2 para receber os arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de Write (Gravação) de dados e de gerenciamento.
A Amazon EC2 DescribeInstances e TerminateInstances API as operações ocorrem em sua conta.
A DescribeInstances API operação é um evento somente para leitura e corresponde às configurações da primeira trilha. A trilha registra e fornece o evento ao amzn-s3-demo-bucket1.
A TerminateInstances API operação é um evento somente para gravação e corresponde às configurações da segunda trilha. A trilha registra e fornece o evento ao amzn-s3-demo-bucket2 .

Registrando eventos de dados com o AWS Management Console

Os procedimentos a seguir descrevem como atualizar um armazenamento de dados de eventos ou trilha existente para registrar eventos de dados usando o AWS Management Console. Para obter informações sobre como criar um armazenamento de dados de eventos para registrar eventos de dados, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console. Para obter informações sobre como criar uma trilha para registrar eventos de dados, consulte Criar uma trilha no console.

Para trilhas, as etapas para registrar eventos de dados variam de acordo com o uso de seletores de eventos avançados ou seletores de eventos básicos. Você pode registrar eventos de dados para todos os tipos de eventos de dados usando seletores de eventos avançados, mas se você usar seletores de eventos básicos, estará limitado a registrar eventos de dados para buckets e objetos de bucket do Amazon S3 AWS Lambda , funções e tabelas do Amazon DynamoDB.

Use o procedimento a seguir para atualizar um armazenamento de dados de eventos existente para registrar eventos de dados. Para obter mais informações sobre o uso de seletores de eventos avançados, consulte Filtrando eventos de dados usando seletores de eventos avançados este tópico.

Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.
No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.
Na página Armazenamentos de dados de eventos, escolha o armazenamento de dados de eventos que deseja atualizar.

nota
Você só pode habilitar eventos de dados em armazenamentos de dados de eventos que contenham CloudTrail eventos. Você não pode habilitar eventos de dados em CloudTrail armazenamentos de dados de eventos para itens de AWS Config configuração, eventos do CloudTrail Insights ou não AWS eventos.
Na página de detalhes da trilha, em Eventos de dados, escolha Editar.
Se você ainda não estiver registrando eventos de dados, escolha a opçãoData events (Eventos de dados).
Em Data event type (Tipo de evento de dados), escolha o tipo de recurso no qual você deseja registrar eventos de dados.
Escolha um modelo de seletor de registros. CloudTrail inclui modelos predefinidos que registram todos os eventos de dados do tipo de recurso. Para criar um modelo de seletor de log personalizado, escolha Custom (Personalizado).
(Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

Em Advanced event selectors (Seletores de eventos avançados), crie uma expressão para os recursos específicos nos quais você deseja registrar eventos de dados. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

Escolha um dos seguintes campos:

readOnly- readOnly pode ser definido como igual a um valor de true ou. false Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.
eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, como PutBucketGetItem, ouGetSnapshotBlock.

resources.ARN- Você pode usar qualquer operador comresources.ARN, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de. resources.type

A tabela a seguir mostra o ARN formato válido para cada umresources.type.

nota

Você não pode usar o resources.ARN campo para filtrar tipos de recursos que não têmARNs.

resources.type	recursos. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	Eles ARN devem estar em um dos seguintes formatos: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	Eles ARN devem estar em um dos seguintes formatos: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

¹ Para tabelas com fluxos habilitados, o campo resources no evento de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como resources.type, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no eventName campo.

² Para registrar todos os eventos de dados de todos os objetos em um bucket específico do S3, use o StartsWith operador e inclua somente o bucket ARN como valor correspondente. A barra final é intencional; não a exclua.

³ Para registrar eventos em todos os objetos em um ponto de acesso do S3, recomendamos que você use somente o ponto de acessoARN, não inclua o caminho do objeto e use os NotStartsWith operadores StartsWith ou.

Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.

Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados no seu armazenamento de dados de eventos, você pode definir o campo como recursos. ARN, defina o operador para não começa com e, em seguidaARN, cole em um bucket do S3 ou procure os buckets do S3 nos quais você não deseja registrar eventos.

Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.

nota
É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.

Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados). Repita as etapas de 6 até esta para configurar seletores de eventos avançados para o tipo de evento de dados.
Depois de revisar e verificar suas escolhas, escolha Salvar alterações.

No AWS Management Console, se sua trilha estiver usando seletores de eventos avançados, você poderá escolher entre modelos predefinidos que registram todos os eventos de dados em um recurso selecionado. Depois de escolher um modelo de seletor de log, você poderá personalizar o modelo para incluir apenas os eventos de dados que mais deseja ver. Para obter mais informações sobre o uso de seletores de eventos avançados, consulte Filtrando eventos de dados usando seletores de eventos avançados este tópico.

Nas páginas Painel ou Trilhas do CloudTrail console, escolha a trilha que você deseja atualizar.
Na página de detalhes da trilha, em Eventos de dados, escolha Editar.
Se você ainda não estiver registrando eventos de dados, escolha a opçãoData events (Eventos de dados).
Em Data event type (Tipo de evento de dados), escolha o tipo de recurso no qual você deseja registrar eventos de dados.
Escolha um modelo de seletor de registros. CloudTrail inclui modelos predefinidos que registram todos os eventos de dados do tipo de recurso. Para criar um modelo de seletor de log personalizado, escolha Custom (Personalizado).

nota
A escolha de um modelo predefinido para buckets do S3 permite o registro de eventos de dados de todos os buckets atualmente em sua AWS conta e de todos os buckets que você criar depois de concluir a criação da trilha. Ele também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em um bucket que pertença a outra AWS conta.
Se a trilha se aplicar somente a uma região, a escolha da opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Ele não registrará eventos de dados para buckets do Amazon S3 em outras regiões da sua conta. AWS
Se você estiver criando uma trilha para todas as regiões, a escolha de um modelo predefinido para as funções do Lambda permite o registro de eventos de dados para todas as funções atualmente em AWS sua conta e para quaisquer funções do Lambda que você possa criar em qualquer região depois de terminar de criar a trilha. Se você estiver criando uma trilha para uma única região (para trilhas, isso só pode ser feito usando o AWS CLI), essa seleção habilita o registro de eventos de dados para todas as funções atualmente nessa região em sua AWS conta e quaisquer funções Lambda que você possa criar nessa região depois de terminar de criar a trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.
O registro de eventos de dados para todas as funções também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em uma função que pertença a outra AWS conta.
(Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

Escolha um dos seguintes campos:

readOnly- readOnly pode ser definido como igual a um valor de true ou. false Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.
eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, como PutBucketGetItem, ouGetSnapshotBlock.

A tabela a seguir mostra o ARN formato válido para cada umresources.type.

nota

Você não pode usar o resources.ARN campo para filtrar tipos de recursos que não têmARNs.

resources.type	recursos. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	Eles ARN devem estar em um dos seguintes formatos: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	Eles ARN devem estar em um dos seguintes formatos: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.

Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados em sua trilha, você pode definir o campo como recursos. ARN, defina o operador para não começa com e, em seguidaARN, cole em um bucket do S3 ou procure os buckets do S3 nos quais você não deseja registrar eventos.

Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.

nota
É possível ter, no máximo, 500 valores para todos os seletores em uma trilha. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.

Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados). Repita as etapas de 4 até esta etapa para configurar seletores de eventos avançados para o tipo de evento de dados.
Depois de revisar e verificar suas escolhas, escolha Salvar alterações.

Use o procedimento a seguir para atualizar uma trilha existente para registrar eventos de dados usando seletores de eventos básicos.

Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.
Abra a página Trilhas do CloudTrail console e escolha o nome da trilha.

nota
Embora seja possível editar uma trilha existente para registrar eventos de dados em log, como prática recomendada considere criar uma trilha separada especificamente para o log de eventos de dados.
Em Data events (Eventos de dados), escolha Edit (Editar).
Para Buckets do Amazon S3:
1. Em Data event source (Fonte do eventos de dados), escolha S3.
2. Você pode escolher registrar All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) ou pode especificar buckets ou funções individuais. Por padrão, os eventos de dados são registrados para todos os buckets do S3 atuais e futuros.
  
  nota
  Manter a opção padrão All current and future S3 buckets permite o registro de eventos de dados para todos os buckets atualmente em sua AWS conta e para todos os buckets que você criar depois de concluir a criação da trilha. Ele também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em um bucket que pertença a outra AWS conta.
  Se você estiver criando uma trilha para uma única região (usando o AWS CLI), selecionar a opção Selecionar todos os buckets do S3 em sua conta habilita o registro de eventos de dados para todos os buckets na mesma região da sua trilha e quaisquer buckets que você criar posteriormente nessa região. Ele não registrará eventos de dados para buckets do Amazon S3 em outras regiões da sua conta. AWS
3. Se você deixar a opção padrão All current and future S3 buckets (Todos os buckets do S3 atuais e futuros), escolha para registrar eventos Read (Leitura), Write (Gravação) ou ambos.
4. Para selecionar buckets individuais, desmarque as caixas de seleção Read (Leitura) e Write (Gravação) em All current and future S3 buckets (Todos os buckets do S3 atuais e futuros). Em Individual bucket selection (Seleção de bucket individual), procure por um bucket no qual registrar eventos de dados. Para localizar períodos específicos, digite um prefixo de bucket para o bucket desejado. É possível selecionar vários buckets nesta janela. Escolha Add bucket (Adicionar bucket) para registrar eventos de dados em mais buckets. Escolha se você deseja registrar eventos de Read (Leitura), como GetObject, Write (Gravação), como PutObject, ou ambos.
  
  Essa configuração tem precedência sobre configurações individuais que você configura para buckets individuais. Por exemplo, se você especificar o registro de eventos de Read (Leitura) para todos os buckets do S3 e escolher adicionar um bucket específico ao registro de eventos de dados, Read (Leitura) já estará selecionada para o bucket adicionado. Você não pode limpar a seleção. Você pode somente configurar a opção para Write (Gravação).
  
  Para remover um bucket do registro, escolha X.
Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados).
Funções do Lambda:
1. Em Data event source (Fonte do eventos de dados), escolha Lambda.
2. Na função Lambda, escolha Todas as regiões para registrar todas as funções do Lambda ou Função de entrada ARN para registrar eventos de dados em uma função específica.
  
  Para registrar eventos de dados para todas as funções do Lambda em sua conta da AWS , selecione Log all current and future functions (Registrar todas as funções atuais e futuras). Essa configuração tem precedência sobre configurações individuais definidas para funções individuais. Todas as funções são registradas, mesmo se todas as funções não forem exibidas.
  
  nota
  Se estiver criando uma trilha para todas as regiões, essa seleção habilitará o registro de eventos de dados para todas as funções atualmente em sua conta da AWS e qualquer função Lambda que você venha a criar em qualquer região depois de concluir a criação da trilha. Se você estiver criando uma trilha para uma única região (feita usando o AWS CLI), essa seleção habilita o registro de eventos de dados para todas as funções atualmente nessa região em sua AWS conta e quaisquer funções Lambda que você possa criar nessa região depois de terminar de criar a trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.
  O registro de eventos de dados para todas as funções também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em uma função que pertença a outra AWS conta.
3. Se você escolher Função de entrada como ARN, insira a ARN de uma função Lambda.
  
  nota
  Se você tiver mais de 15.000 funções do Lambda em sua conta, não poderá visualizar ou selecionar todas as funções no console CloudTrail ao criar uma trilha. Você ainda poderá selecionar a opção de registrar todas as funções, mesmo se elas não forem exibidas. Se quiser registrar eventos de dados para funções específicas, você pode adicionar manualmente uma função, se souber delaARN. Você também pode concluir a criação da trilha no console e, em seguida, usar o put-event-selectors comando AWS CLI e o para configurar o registro de eventos de dados para funções específicas do Lambda. Para obter mais informações, consulte Gerenciando trilhas com o AWS CLI.
Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados).
Para tabelas do DynamoDB:
1. Em Data event source (Fonte do eventos de dados), escolha DynamoDB.
2. Na seleção de tabela do DynamoDB, escolha Procurar para selecionar uma tabela ou cole na tabela ARN do DynamoDB à qual você tenha acesso. Uma ARN tabela do DynamoDB usa o seguinte formato:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  Para adicionar outra tabela, escolha Adicionar linha e procure uma tabela ou cole na ARN tabela à qual você tenha acesso.
Escolha Salvar alterações.

Registrando eventos de dados com o AWS Command Line Interface

É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de dados em log usando a AWS CLI.

Tópicos

Registrando eventos de dados para trilhas com o AWS CLI
Registrando eventos de dados para armazenamentos de dados de eventos com o AWS CLI

Registrando eventos de dados para trilhas com o AWS CLI

Você pode configurar suas trilhas para registrar eventos de gerenciamento e de dados usando a AWS CLI.

nota

Esteja ciente de que, se a sua conta estiver registrando mais de uma cópia de eventos de gerenciamento, você incorrerá em cobranças. Há sempre uma cobrança para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.
Você pode usar seletores de eventos avançados ou seletores de eventos básicos, mas não ambos. Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
Se sua trilha usa seletores de eventos básicos, você só pode registrar os seguintes tipos de recursos:
- AWS::DynamoDB::Table
- AWS::Lambda::Function
- AWS::S3::Object
Para registrar tipos de recursos adicionais, você precisará usar seletores de eventos avançados. Para converter uma trilha em seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores e, em seguida, adicione seletores para qualquer tipo de recurso para o qual você deseja registrar eventos de dados.
Você pode usar seletores de eventos avançados para filtrar com base no valor dos campos eventName, resources.ARN e readOnly, permitindo que você registre somente os eventos de dados de interesse. Para obter mais informações sobre como configurar esses campos, consulte AdvancedFieldSelectorna AWS CloudTrail APIReferência e Filtrando eventos de dados usando seletores de eventos avançados neste tópico.

Para visualizar se a trilha está registrando eventos de dados e de gerenciamento, execute o comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

O comando retorna os seletores de eventos da trilha.

Tópicos

Registar eventos utilizando seletores de eventos avançados
Registre todos os eventos do Amazon S3 para um bucket do Amazon S3 usando seletores de eventos avançados
Registrar o Amazon S3 no AWS Outposts usando seletores de eventos avançados
Registar eventos utilizando seletores de eventos básicos

Registar eventos utilizando seletores de eventos avançados

nota

Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos. Antes de configurar seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores e, em seguida, adicione seletores para qualquer tipo de recurso para o qual você deseja registrar eventos de dados.

O exemplo a seguir cria seletores de eventos avançados personalizados para uma trilha chamada TrailName para incluir eventos de gerenciamento de leitura e gravação (omitindo o readOnly seletor) PutObject e eventos de DeleteObject dados para todas as combinações de bucket/prefixo do Amazon S3, exceto para um bucket chamado e eventos de dados para uma função chamada. amzn-s3-demo-bucket AWS Lambda MyLambdaFunction Como estes são seletores de eventos avançados personalizados, cada conjunto de seletores tem um nome descritivo. Observe que uma barra final faz parte do ARN valor dos buckets do S3.


aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

O exemplo retorna os seletores de eventos avançados configurados para a trilha.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registre todos os eventos do Amazon S3 para um bucket do Amazon S3 usando seletores de eventos avançados

nota

Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.

O exemplo a seguir mostra como configurar a trilha para registrar eventos de dados de todos os objetos do Amazon S3 em um bucket do S3. O valor para eventos do S3 para o campo resources.type é AWS::S3::Object. Como os ARN valores dos objetos do S3 e dos buckets do S3 são um pouco diferentes, você deve adicionar o StartsWith operador resources.ARN para capturar todos os eventos.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Este comando retorna a saída de exemplo a seguir.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                }
            ]
        }
    ]
}

Registrar o Amazon S3 no AWS Outposts usando seletores de eventos avançados

nota

Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.

O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de dados para todos os objetos do Amazon S3 on Outposts em seu outpost.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

Este comando retorna a saída de exemplo a seguir.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Registar eventos utilizando seletores de eventos básicos

Este é um exemplo de resultado do comando get-event-selectors mostrando seletores de eventos básicos. Por padrão, quando você cria uma trilha usando o AWS CLI, uma trilha registra todos os eventos de gerenciamento. Por padrão, as trilhas não registram em log eventos de dados.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Para configurar a trilha para registrar eventos de gerenciamento e de dados, execute o comando put-event-selectors.

O exemplo a seguir mostra como usar seletores de eventos básicos para configurar a trilha para incluir todos os eventos de gerenciamento e de dados para os objetos do S3 em dois prefixos de bucket do S3. Você pode especificar seletores de eventos de 1 a 5 para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.

nota

O número máximo de recursos de dados do S3 será 250, se você optar por limitar eventos de dados usando seletores de evento básicos.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'

O comando retorna os seletores de eventos configurados para a trilha.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Registrando eventos de dados para armazenamentos de dados de eventos com o AWS CLI

É possível configurar seus armazenamentos de dados de eventos para incluir eventos de dados usando a AWS CLI. Use o comando create-event-data-store para criar um novo armazenamento de dados de eventos para registrar eventos de dados em log. Use o comando update-event-data-store para atualizar os seletores de eventos avançados para um armazenamento de dados de eventos existente.

Para verificar se o armazenamento de dados de eventos inclui eventos de dados, execute o comando get-event-data-store.


aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

O comando retorna as configurações do armazenamento de dados de eventos.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Tópicos

Incluir todos os eventos do Amazon S3 para um bucket
Incluir o Amazon S3 em eventos do AWS Outposts

Incluir todos os eventos do Amazon S3 para um bucket

O exemplo a seguir mostra como criar um armazenamento de dados de eventos para incluir todos os eventos de dados de todos os objetos do Amazon S3 em um bucket do S3 específico. O valor para eventos do S3 para o campo resources.type é AWS::S3::Object. Como os ARN valores dos objetos do S3 e dos buckets do S3 são um pouco diferentes, você deve adicionar o StartsWith operador resources.ARN para capturar todos os eventos.


aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Este comando retorna a saída de exemplo a seguir.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00"
}

Incluir o Amazon S3 em eventos do AWS Outposts

O exemplo a seguir mostra como criar um armazenamento de dados de eventos que inclua todos os eventos de dados para todos os objetos do Amazon S3 on Outposts em seu outpost.


aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

Este comando retorna a saída de exemplo a seguir.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Registrar de eventos de dados para conformidade de AWS Config

Se você estiver usando pacotes de AWS Config conformidade para ajudar sua empresa a manter a conformidade com padrões formalizados, como os exigidos pelo Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) ou pelo Instituto Nacional de Padrões e Tecnologia (NIST), os pacotes de conformidade para estruturas de conformidade geralmente exigem que você registre eventos de dados para buckets do Amazon S3, no mínimo. Os pacotes de conformidade para estruturas de conformidade incluem umaregra gerenciada chamada cloudtrail-s3-dataevents-enabled que verifica o registro de eventos de dados do S3 em sua conta. Muitos pacotes de conformidade que não estão associados a estruturas de conformidade também exigem log de eventos de dados do S3. Veja a seguir exemplos de pacotes de conformidade que incluem essa regra.

Para obter uma lista completa dos exemplos de pacotes de conformidade disponíveis em AWS Config, consulte Modelos de amostra de pacotes de conformidade no Guia do desenvolvedor.AWS Config

Registrando eventos de dados com o AWS SDKs

Execute a GetEventSelectorsoperação para ver se sua trilha está registrando eventos de dados. Você pode configurar suas trilhas para registrar eventos de dados executando a PutEventSelectorsoperação. Para obter mais informações, consulte a AWS CloudTrail APIReferência.

Execute a GetEventDataStoreoperação para ver se seu armazenamento de dados de eventos está registrando eventos de dados. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de dados executando as UpdateEventDataStoreoperações CreateEventDataStoreou e especificando seletores de eventos avançados. Para obter mais informações, consulte Crie, atualize e gerencie armazenamentos de dados de eventos com o AWS CLI e a AWS CloudTrail APIReferência.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Eventos de gerenciamento

Filtrando eventos de dados usando seletores de eventos avançados