As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Eventos de dados de log
Esta seção descreve como registrar eventos de dados usando o CloudTrail console AWS CLIe.
Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos de dados em log. Há cobranças adicionais para eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail
Os eventos de dados fornecem informações sobre as operações do recurso executadas em um recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.
Exemplos de eventos de dados incluem:
-
APIAtividade em nível de objeto do Amazon S3 (por exemplo,,
GetObject
DeleteObject
, ePutObject
API operações) em objetos em buckets do S3. -
AWS Lambda atividade de execução da função (a
Invoke
API). -
CloudTrail
PutAuditEvents
atividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS. -
Amazon SNS
Publish
ePublishBatch
APIoperações em tópicos.
Você pode usar seletores de eventos avançados para criar seletores refinados, que ajudam a controlar os custos registrando apenas os eventos específicos de interesse para seus casos de uso. Por exemplo, você pode usar seletores de eventos avançados para registrar API chamadas específicas adicionando um filtro no eventName
campo. Para obter mais informações, consulte Filtrando eventos de dados usando seletores de eventos avançados.
nota
Os eventos registrados por suas trilhas estão disponíveis na Amazon EventBridge. Por exemplo, se você escolher registrar eventos de dados em log para objetos do S3, mas não eventos de gerenciamento, a trilha processará e registrará somente eventos de dados dos objetos do S3 especificados. Os eventos de dados desses objetos do S3 estão disponíveis na Amazon EventBridge. Para obter mais informações, consulte Eventos de AWS serviços no Guia do EventBridge usuário da Amazon.
Sumário
- Eventos de dados
- Eventos somente leitura e somente gravação
- Registrando eventos de dados com o AWS Management Console
- Registrando eventos de dados com o AWS Command Line Interface
- Filtrando eventos de dados usando seletores de eventos avançados
- Registrar de eventos de dados para conformidade de AWS Config
- Registrando eventos de dados com o AWS SDKs
Eventos de dados
A tabela a seguir mostra os tipos de eventos de dados disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de evento de dados (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type
valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando o ou. AWS CLI CloudTrail APIs
Para trilhas, você pode usar seletores de eventos básicos ou avançados para registrar eventos de dados para objetos do Amazon S3 em buckets de uso geral, funções Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). É possível usar somente seletores de eventos avançados para registrar em log os tipos de eventos de dados mostrados nas linhas restantes.
Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.
Serviço da AWS | Descrição | Tipo de evento de dados (console) | valor resources.type |
---|---|---|---|
Amazon DynamoDB | Atividade em APInível de item do Amazon DynamoDB em tabelas (por exemplo notaPara tabelas com fluxos habilitados, o campo |
DynamoDB |
|
AWS Lambda | AWS Lambda atividade de execução da função (a |
Lambda | AWS::Lambda::Function |
Amazon S3 | APIAtividade em nível de objeto do Amazon S3 (por exemplo,, |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig APIatividade para operações de configuração, como chamadas para |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS Intercâmbio de dados B2B | APIAtividade de intercâmbio de dados B2B para operações do Transformer, como chamadas para e. |
B2B Data Interchange | AWS::B2BI::Transformer |
Amazon Bedrock | APIAtividade do Amazon Bedrock em um alias de agente. | Alias de agente do Bedrock | AWS::Bedrock::AgentAlias |
Amazon Bedrock | APIAtividade do Amazon Bedrock em um alias de fluxo. | Alias de fluxo de base | AWS::Bedrock::FlowAlias |
Amazon Bedrock | APIAtividade do Amazon Bedrock em uma grade de proteção. | Corrimão Bedrock | AWS::Bedrock::Guardrail |
Amazon Bedrock | APIAtividade do Amazon Bedrock em uma base de conhecimento. | Base de conhecimento do Bedrock | AWS::Bedrock::KnowledgeBase |
Amazon CloudFront | CloudFront APIatividade em um KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map APIatividade em um namespace. | AWS Cloud Map namespace |
|
AWS Cloud Map | AWS Cloud Map APIatividade em um serviço. | AWS Cloud Map serviço |
|
AWS CloudTrail | CloudTrail |
CloudTrail canal | AWS::CloudTrail::Channel |
Amazon CloudWatch | CloudWatch APIAtividade da Amazon em métricas. |
CloudWatch métrica | AWS::CloudWatch::Metric |
Amazon CloudWatch RUM | CloudWatch RUMAPIAtividade da Amazon em monitores de aplicativos. |
RUMmonitor de aplicativos | AWS::RUM::AppMonitor |
Amazon CodeWhisperer | CodeWhisperer APIAtividade da Amazon em uma personalização. | CodeWhisperer personalização | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | CodeWhisperer APIAtividade da Amazon em um perfil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | APIAtividade do Amazon Cognito nos grupos de identidade do Amazon Cognito. |
Bancos de identidades do Cognito | AWS::Cognito::IdentityPool |
Amazon DynamoDB | Atividade do Amazon API DynamoDB em streams. |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) diretoAPIs, como |
Amazon EBS Direct APIs | AWS::EC2::Snapshot |
Amazon EMR | EMRAPIAtividade da Amazon em um espaço de trabalho de registro com gravação antecipada. | EMRespaço de trabalho de registro de gravação antecipada | AWS::EMRWAL::Workspace |
Amazon FinSpace | Amazon FinSpaceAPIatividade em ambientes. |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue APIatividade em tabelas criadas pelo Lake Formation. |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | GuardDuty APIAtividade na Amazon para um detector. |
GuardDuty detector | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging APIatividade em armazenamentos de dados. |
MedicalImaging armazenamento de dados | AWS::MedicalImaging::Datastore |
AWS IoT | Certificado de IoT | AWS::IoT::Certificate |
|
AWS IoT | AWS IoT APIatividade sobre coisas. |
Coisa de IoT | AWS::IoT::Thing |
AWS IoT Greengrass Version 2 | APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma versão componente. notaO Greengrass não registra eventos de acesso negado. |
Versão do componente IoT Greengrass | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma implantação. notaO Greengrass não registra eventos de acesso negado. |
Implantação do IoT Greengrass | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | Ativo de IoT SiteWise | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | Série temporal de IoT SiteWise | AWS::IoTSiteWise::TimeSeries |
|
AWS IoT TwinMaker | TwinMaker APIAtividade de IoT em uma entidade. |
Entidade de IoT TwinMaker | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | TwinMaker APIAtividade de IoT em um espaço de trabalho. |
Espaço de trabalho de IoT TwinMaker | AWS::IoTTwinMaker::Workspace |
Amazon Kendra Intelligent Ranking | Atividade do Amazon Kendra Intelligent API Ranking em planos de execução de rescore. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (para Apache Cassandra) | APIAtividade do Amazon Keyspaces em uma mesa. | Mesa Cassandra | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | Atividade do Kinesis API Data Streams em streams. | Stream do Kinesis | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Atividade do Kinesis API Data Streams em consumidores de stream. | Consumidor de streaming do Kinesis | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Atividade do Kinesis API Video Streams em streams de vídeo, como chamadas para e. GetMedia PutMedia |
Fluxo de vídeo do Kinesis | AWS::KinesisVideo::Stream |
Amazon Machine Learning | APIAtividade de Machine Learning em modelos de ML. | Aprendizagem automática MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | APIAtividade do Amazon Managed Blockchain em uma rede. |
Rede do Managed Blockchain | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Amazon Managed Blockchain JSON - RPC chama nós de Ethereum, como |
Managed Blockchain | AWS::ManagedBlockchain::Node |
Gráfico do Amazon Neptune | APIAtividades de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico de Netuno. |
Gráfico do Neptune | AWS::NeptuneGraph::Graph |
Amazon One Enterprise | APIAtividade do Amazon One Enterprise em umUKey. |
Amazon One UKey | AWS::One::UKey |
Amazon One Enterprise | APIAtividade do Amazon One Enterprise com usuários. |
Usuário do Amazon One | AWS::One::User |
AWS Payment Cryptography | AWS Payment Cryptography APIatividade em aliases. | Alias de criptografia de pagamento | AWS::PaymentCryptography::Alias |
AWS Payment Cryptography | AWS Payment Cryptography APIatividade nas teclas. | Chave de criptografia de pagamento | AWS::PaymentCryptography::Key |
AWS Private CA | AWS Private CA Conector para API atividade do Active Directory. |
AWS Private CA Conector para Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA Conector para SCEP API atividade. |
AWS Private CA Conector para SCEP | AWS::PCAConnectorSCEP::Connector |
Aplicativos Amazon Q | APIAtividade de dados no Amazon Q Apps. |
Aplicativos Amazon Q | AWS::QApps:QApp |
Amazon Q Business | APIAtividade do Amazon Q Business em um aplicativo. |
Aplicação do Amazon Q Business | AWS::QBusiness::Application |
Amazon Q Business | APIAtividade do Amazon Q Business em uma fonte de dados. |
Fonte de dados do Amazon Q Business | AWS::QBusiness::DataSource |
Amazon Q Business | APIAtividade do Amazon Q Business em um índice. |
Índice do Amazon Q Business | AWS::QBusiness::Index |
Amazon Q Business | APIAtividade do Amazon Q Business em uma experiência na web. |
Experiência na web do Amazon Q Business | AWS::QBusiness::WebExperience |
Amazon RDS | RDSAPIAtividade da Amazon em um cluster de banco de dados. |
RDSDados API - cluster de banco de dados | AWS::RDS::DBCluster |
Amazon S3 | APIAtividade do Amazon S3 em pontos de acesso. |
Ponto de acesso do S3 | AWS::S3::AccessPoint |
Amazon S3 | APIAtividade em nível de objeto do Amazon S3 (por exemplo,, |
S3 Express | AWS::S3Express::Object |
Amazon S3 | APIAtividade de pontos de acesso do Amazon S3 Object Lambda, como chamadas para e. |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 on Outposts | Atividade em nível de objeto do Amazon S3 on Outposts. API |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker | SageMaker InvokeEndpointWithResponseStream Atividade da Amazon em endpoints. |
SageMaker ponto final | AWS::SageMaker::Endpoint |
Amazon SageMaker | SageMaker APIAtividade da Amazon em lojas especiais. |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
Amazon SageMaker | SageMaker APIAtividade da Amazon em componentes de testes experimentais. |
SageMaker componente experimental de métricas | AWS::SageMaker::ExperimentTrialComponent |
Amazon SNS | SNS |
SNSendpoint da plataforma | AWS::SNS::PlatformEndpoint |
Amazon SNS | Amazon SNS |
SNStópico | AWS::SNS::Topic |
Amazon SQS | SQSAPIAtividade da Amazon em mensagens. |
SQS | AWS::SQS::Queue |
AWS Step Functions | APIAtividade do Step Functions em uma máquina de estado. |
Máquina de estado do Step Functions | AWS::StepFunctions::StateMachine |
Cadeia de Suprimentos AWS | Cadeia de Suprimentos AWS APIatividade em uma instância. |
Cadeia de suprimentos | AWS::SCN::Instance |
Amazon SWF | SWFdomínio | AWS::SWF::Domain |
|
AWS Systems Manager | APIAtividade do Systems Manager nos canais de controle. | Systems Manager (Gerenciador de sistemas) | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | APIAtividade do Systems Manager em nós gerenciados. | Nó gerenciado pelo Systems Manager | AWS::SSM::ManagedNode |
Amazon Timestream | Atividade do Amazon Query APITimestream em bancos de dados. |
Banco de dados do Timestream | AWS::Timestream::Database |
Amazon Timestream | Atividade do Amazon Query APITimestream nas tabelas. |
Tabela do Timestream | AWS::Timestream::Table |
Amazon Verified Permissions | APIAtividade de permissões verificadas da Amazon em um repositório de políticas. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | WorkSpaces APIAtividade do Thin Client em um dispositivo. | Dispositivo Thin Client | AWS::ThinClient::Device |
Amazon WorkSpaces Thin Client | WorkSpaces APIAtividade do Thin Client em um ambiente. | Ambiente Thin Client | AWS::ThinClient::Environment |
AWS X-Ray | Traço de raio-X | AWS::XRay::Trace |
Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente cada tipo de recurso para o qual deseja coletar atividades. Para ter mais informações, consulte Criando uma trilha com o CloudTrail console e Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.
Em uma trilha de região única, é possível registrar em log eventos de dados somente para recursos que pode acessar nessa região. Embora os buckets do S3 sejam globais, as AWS Lambda funções e as tabelas do DynamoDB são regionais.
Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços
Exemplos: registro de eventos de dados de objetos do Amazon S3
Registro de eventos de dados para todos os objetos do S3 em um bucket do S3
O exemplo a seguir demonstra como o registro funciona quando você configura o registro de todos os eventos de dados para um bucket do S3 chamado amzn-s3-demo-bucket
. Neste exemplo, o CloudTrail usuário especificou um prefixo vazio e a opção de registrar eventos de dados de leitura e gravação.
-
Um usuário carrega um objeto no
amzn-s3-demo-bucket
. -
A
PutObject
API operação é em nível de objeto do Amazon S3. API Ele é registrado como um evento de dados em CloudTrail. Como o CloudTrail usuário especificou um bucket do S3 com um prefixo vazio, os eventos que ocorrem em qualquer objeto desse bucket são registrados. A trilha ou o armazenamento de dados de eventos processa e registra o evento no log. -
Outro usuário carrega um objeto no
amzn-s3-demo-bucket2
. -
A
PutObject
API operação ocorreu em um objeto em um bucket do S3 que não foi especificado para o armazenamento de dados de trilhas ou eventos. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
Registro de eventos de dados de objetos específicos do S3
O exemplo a seguir demonstra como o registro em log funciona quando você configura uma trilha ou um armazenamento de dados de eventos para registrar eventos para objetos específicos do S3. Neste exemplo, o CloudTrail usuário especificou um bucket S3 chamadoamzn-s3-demo-bucket3
, com o prefixo my-images
e a opção de registrar somente eventos de gravação de dados.
-
Um usuário exclui um objeto que começa com o prefixo
my-images
no bucket, comoarn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
. -
A
DeleteObject
API operação é em nível de objeto do Amazon S3. API Ele é registrado como um evento de gravação de dados em CloudTrail. O evento ocorreu em um objeto que corresponde ao bucket do S3 e ao prefixo especificado na trilha ou no armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos processa e registra o evento no log. -
Outro usuário exclui um objeto com um prefixo diferente no bucket do S3, como
arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi
. -
O evento ocorreu em um objeto que não corresponde ao prefixo especificado na sua trilha ou no armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
-
Um usuário chama a
GetObject
API operação do objeto,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
. -
O evento ocorreu em um bucket e um prefixo especificados no armazenamento de dados da trilha ou do evento, mas em um nível de objeto do
GetObject
Amazon S3 do tipo de leitura. API Ele é registrado como um evento de leitura de dados em CloudTrail, e o armazenamento de dados de trilha ou evento não está configurado para registrar eventos de leitura. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
nota
Para trilhas, se você estiver registrando eventos de dados específicos para buckets do Amazon S3, recomendamos não usar um bucket do Amazon S3 para os quais você está registrando eventos de dados para receber os arquivos de log que você especificou na seção de eventos de dados para sua trilha. Usar o mesmo bucket do Amazon S3 faz com que sua trilha registre eventos de dados cada vez que os arquivos de log são entregues ao bucket do Amazon S3. Os arquivos de log são eventos agregados entregues em intervalos, de modo que esta não é uma proporção de 1:1 de evento para arquivo de log; o evento é registrado no próximo arquivo de log. Por exemplo, ao CloudTrail entregar registros, o PutObject
evento ocorre no bucket do S3. Se o bucket do S3 também é especificado na seção de eventos de dados, a trilha processa e registra o evento PutObject
como um evento de dados. Essa ação é outro evento PutObject
, e a trilha processa e registra o evento novamente.
Para evitar o registro de eventos de dados para o bucket do Amazon S3 em que você recebe arquivos de log, se você configurar uma trilha para registrar todos os eventos de dados do Amazon S3 em AWS sua conta, considere configurar a entrega de arquivos de log para um bucket do Amazon S3 que pertença a outra conta. AWS Para obter mais informações, consulte Recebendo arquivos de CloudTrail log de várias contas.
Registro de eventos de dados para objetos do S3 em outras contas AWS
Ao configurar sua trilha para registrar eventos de dados, você também pode especificar objetos do S3 que pertencem a outras AWS contas. Quando um evento ocorre em um objeto especificado, CloudTrail avalia se o evento corresponde a alguma trilha em cada conta. Se o evento corresponder às configurações de uma trilha, ela processará e registrará o evento dessa conta. Geralmente, tanto os API chamadores quanto os proprietários dos recursos podem receber eventos.
Se você tem um objeto do S3 e especifica esse objeto na sua trilha, ela registra eventos que ocorrem no objeto na sua conta. Como você possui o objeto, a trilha também registra eventos quando outras contas chamam o objeto.
Se você especificar um objeto do S3 na sua trilha e outra conta for a proprietária do objeto, a trilha registrará somente eventos que ocorrerem nesse objeto na sua conta. A trilha não registra eventos que ocorrem em outras contas.
Exemplo: registro de eventos de dados de um objeto do Amazon S3 para duas contas da AWS
O exemplo a seguir mostra como duas AWS contas são configuradas CloudTrail para registrar eventos para o mesmo objeto do S3.
-
Na sua conta, você quer que a trilha registre eventos de dados de todos os objetos no seu bucket do S3 chamado
amzn-s3-demo-bucket
. Configure a trilha especificando o bucket do S3 com um prefixo de objeto vazio. -
Bob tem uma conta separada que recebeu acesso ao bucket do S3. Bob também quer registrar eventos de dados de todos os objetos no mesmo bucket do S3. Ele configura sua trilha e especifica o mesmo bucket do S3 com um prefixo de objeto vazio.
-
Bob carrega um objeto no bucket do S3 com a
PutObject
API operação. -
Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob processa e registra o evento.
-
Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também processa e registra o mesmo evento. Como agora existem duas cópias do evento (uma registrada na trilha de Bob e outra registrada na sua), CloudTrail cobra por duas cópias do evento de dados.
-
Faça upload de um objeto do bucket do S3.
-
Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e registra o evento.
-
Como o evento não ocorreu na conta de Bob e ele não é dono do bucket S3, a trilha de Bob não registra o evento. CloudTrail cobra por apenas uma cópia desse evento de dados.
Exemplo: registro de eventos de dados para todos os buckets, incluindo um bucket S3 usado por duas contas AWS
O exemplo a seguir mostra o comportamento de registro quando Selecionar todos os buckets do S3 em sua conta está habilitado para trilhas que coletam eventos de dados em uma AWS conta.
-
Em sua conta, você deseja que sua trilha registre eventos de dados para todos os buckets do S3. Você configura a trilha escolhendo eventos de Read (Leitura), eventos de Write (Gravação) ou ambos para All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) em Data events (Eventos de dados).
-
Bob tem uma conta separada que recebeu acesso a um bucket do S3 em sua conta. Ele deseja registrar eventos de dados para o bucket ao qual ele tem acesso. Ele configura sua trilha para obter eventos de dados para todos os buckets do S3.
-
Bob carrega um objeto no bucket do S3 com a
PutObject
API operação. -
Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob processa e registra o evento.
-
Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também processa e registra o evento. Como agora existem duas cópias do evento (uma registrada na trilha de Bob e outra registrada na sua), CloudTrail cobra de cada conta uma cópia do evento de dados.
-
Faça upload de um objeto do bucket do S3.
-
Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e registra o evento.
-
Como o evento não ocorreu na conta de Bob e ele não é dono do bucket S3, a trilha de Bob não registra o evento. CloudTrail cobra por apenas uma cópia desse evento de dados em sua conta.
-
Um terceiro usuário, Mary, tem acesso ao bucket do S3 e executa uma operação
GetObject
no bucket. Ela tem uma trilha configurada para registrar eventos de dados em todos os buckets do S3 em sua respectiva conta. Como ela é a API chamadora, CloudTrail registra um evento de dados em sua trilha. Embora Bob tenha acesso ao bucket, ele não é o proprietário do recurso, então nenhum evento é registrado em sua trilha dessa vez. Como proprietário do recurso, você recebe um evento em sua trilha sobre aGetObject
operação que Mary convocou. CloudTrailcobra sua conta e a conta de Mary por cada cópia do evento de dados: uma na trilha de Mary e outra na sua.
Eventos somente leitura e somente gravação
Ao configurar a trilha ou o armazenamento de dados de eventos para registrar em log eventos de dados e de gerenciamento, é possível especificar se você deseja eventos somente leitura, eventos somente gravação, ou ambos.
-
Read
Os eventos de leitura incluem API operações que lêem seus recursos, mas não fazem alterações. Por exemplo, eventos somente para leitura incluem a Amazon EC2
DescribeSecurityGroups
eDescribeSubnets
API as operações. Essas operações retornam somente informações sobre seus EC2 recursos da Amazon e não alteram suas configurações. -
Write
Os eventos de gravação incluem API operações que modificam (ou podem modificar) seus recursos. Por exemplo, a Amazon EC2
RunInstances
eTerminateInstances
API as operações modificam suas instâncias.
Exemplo: registro de eventos de leitura e gravação para trilhas separadas
O exemplo a seguir mostra como você pode configurar trilhas para dividir a atividade de log de uma conta em buckets S3 separados: um bucket chamado amzn-s3-demo-bucket1 recebe eventos somente para leitura e um segundo amzn-s3-demo-bucket2 recebe eventos somente para gravação.
-
Você cria uma trilha e escolhe o bucket do S3 chamado
amzn-s3-demo-bucket1
para receber os arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de Read (Leitura) de dados e de gerenciamento. -
Você cria uma segunda trilha e escolhe o bucket do S3
amzn-s3-demo-bucket2
para receber os arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de Write (Gravação) de dados e de gerenciamento. -
A Amazon EC2
DescribeInstances
eTerminateInstances
API as operações ocorrem em sua conta. -
A
DescribeInstances
API operação é um evento somente para leitura e corresponde às configurações da primeira trilha. A trilha registra e fornece o evento aoamzn-s3-demo-bucket1
. -
A
TerminateInstances
API operação é um evento somente para gravação e corresponde às configurações da segunda trilha. A trilha registra e fornece o evento aoamzn-s3-demo-bucket2
.
Registrando eventos de dados com o AWS Management Console
Os procedimentos a seguir descrevem como atualizar um armazenamento de dados de eventos ou trilha existente para registrar eventos de dados usando o AWS Management Console. Para obter informações sobre como criar um armazenamento de dados de eventos para registrar eventos de dados, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console. Para obter informações sobre como criar uma trilha para registrar eventos de dados, consulte Criar uma trilha no console.
Para trilhas, as etapas para registrar eventos de dados variam de acordo com o uso de seletores de eventos avançados ou seletores de eventos básicos. Você pode registrar eventos de dados para todos os tipos de eventos de dados usando seletores de eventos avançados, mas se você usar seletores de eventos básicos, estará limitado a registrar eventos de dados para buckets e objetos de bucket do Amazon S3 AWS Lambda , funções e tabelas do Amazon DynamoDB.
Use o procedimento a seguir para atualizar um armazenamento de dados de eventos existente para registrar eventos de dados. Para obter mais informações sobre o uso de seletores de eventos avançados, consulte Filtrando eventos de dados usando seletores de eventos avançados este tópico.
-
Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.
-
Na página Armazenamentos de dados de eventos, escolha o armazenamento de dados de eventos que deseja atualizar.
nota
Você só pode habilitar eventos de dados em armazenamentos de dados de eventos que contenham CloudTrail eventos. Você não pode habilitar eventos de dados em CloudTrail armazenamentos de dados de eventos para itens de AWS Config configuração, eventos do CloudTrail Insights ou não AWS eventos.
-
Na página de detalhes da trilha, em Eventos de dados, escolha Editar.
-
Se você ainda não estiver registrando eventos de dados, escolha a opçãoData events (Eventos de dados).
-
Em Data event type (Tipo de evento de dados), escolha o tipo de recurso no qual você deseja registrar eventos de dados.
-
Escolha um modelo de seletor de registros. CloudTrail inclui modelos predefinidos que registram todos os eventos de dados do tipo de recurso. Para criar um modelo de seletor de log personalizado, escolha Custom (Personalizado).
-
(Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como
Name
no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON -
Em Advanced event selectors (Seletores de eventos avançados), crie uma expressão para os recursos específicos nos quais você deseja registrar eventos de dados. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.
-
Escolha um dos seguintes campos:
-
readOnly
-readOnly
pode ser definido como igual a um valor detrue
ou.false
Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, comoGet*
ouDescribe*
. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, comoPut*
,Delete*
ouWrite*
. Para registrar os eventosread
ewrite
, não adicione um seletorreadOnly
. -
eventName
-eventName
pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, comoPutBucket
GetItem
, ouGetSnapshotBlock
. -
resources.ARN
- Você pode usar qualquer operador comresources.ARN
, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de.resources.type
A tabela a seguir mostra o ARN formato válido para cada um
resources.type
.nota
Você não pode usar o
resources.ARN
campo para filtrar tipos de recursos que não têmARNs.resources.type recursos. ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
Eles ARN devem estar em um dos seguintes formatos:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
Eles ARN devem estar em um dos seguintes formatos:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Para tabelas com fluxos habilitados, o campo
resources
no evento de dados contémAWS::DynamoDB::Stream
eAWS::DynamoDB::Table
. Se você especificarAWS::DynamoDB::Table
comoresources.type
, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro noeventName
campo.2 Para registrar todos os eventos de dados de todos os objetos em um bucket específico do S3, use o
StartsWith
operador e inclua somente o bucket ARN como valor correspondente. A barra final é intencional; não a exclua.3 Para registrar eventos em todos os objetos em um ponto de acesso do S3, recomendamos que você use somente o ponto de acessoARN, não inclua o caminho do objeto e use os
NotStartsWith
operadoresStartsWith
ou. -
Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.
-
-
Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados no seu armazenamento de dados de eventos, você pode definir o campo como recursos. ARN, defina o operador para não começa com e, em seguidaARN, cole em um bucket do S3 ou procure os buckets do S3 nos quais você não deseja registrar eventos.
Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.
nota
É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como
eventName
. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor. -
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.
-
-
Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados). Repita as etapas de 6 até esta para configurar seletores de eventos avançados para o tipo de evento de dados.
-
Depois de revisar e verificar suas escolhas, escolha Salvar alterações.
No AWS Management Console, se sua trilha estiver usando seletores de eventos avançados, você poderá escolher entre modelos predefinidos que registram todos os eventos de dados em um recurso selecionado. Depois de escolher um modelo de seletor de log, você poderá personalizar o modelo para incluir apenas os eventos de dados que mais deseja ver. Para obter mais informações sobre o uso de seletores de eventos avançados, consulte Filtrando eventos de dados usando seletores de eventos avançados este tópico.
-
Nas páginas Painel ou Trilhas do CloudTrail console, escolha a trilha que você deseja atualizar.
-
Na página de detalhes da trilha, em Eventos de dados, escolha Editar.
-
Se você ainda não estiver registrando eventos de dados, escolha a opçãoData events (Eventos de dados).
-
Em Data event type (Tipo de evento de dados), escolha o tipo de recurso no qual você deseja registrar eventos de dados.
-
Escolha um modelo de seletor de registros. CloudTrail inclui modelos predefinidos que registram todos os eventos de dados do tipo de recurso. Para criar um modelo de seletor de log personalizado, escolha Custom (Personalizado).
nota
A escolha de um modelo predefinido para buckets do S3 permite o registro de eventos de dados de todos os buckets atualmente em sua AWS conta e de todos os buckets que você criar depois de concluir a criação da trilha. Ele também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em um bucket que pertença a outra AWS conta.
Se a trilha se aplicar somente a uma região, a escolha da opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Ele não registrará eventos de dados para buckets do Amazon S3 em outras regiões da sua conta. AWS
Se você estiver criando uma trilha para todas as regiões, a escolha de um modelo predefinido para as funções do Lambda permite o registro de eventos de dados para todas as funções atualmente em AWS sua conta e para quaisquer funções do Lambda que você possa criar em qualquer região depois de terminar de criar a trilha. Se você estiver criando uma trilha para uma única região (para trilhas, isso só pode ser feito usando o AWS CLI), essa seleção habilita o registro de eventos de dados para todas as funções atualmente nessa região em sua AWS conta e quaisquer funções Lambda que você possa criar nessa região depois de terminar de criar a trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.
O registro de eventos de dados para todas as funções também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em uma função que pertença a outra AWS conta.
-
(Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como
Name
no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON -
Em Advanced event selectors (Seletores de eventos avançados), crie uma expressão para os recursos específicos nos quais você deseja registrar eventos de dados. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.
-
Escolha um dos seguintes campos:
-
readOnly
-readOnly
pode ser definido como igual a um valor detrue
ou.false
Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, comoGet*
ouDescribe*
. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, comoPut*
,Delete*
ouWrite*
. Para registrar os eventosread
ewrite
, não adicione um seletorreadOnly
. -
eventName
-eventName
pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, comoPutBucket
GetItem
, ouGetSnapshotBlock
. -
resources.ARN
- Você pode usar qualquer operador comresources.ARN
, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de.resources.type
A tabela a seguir mostra o ARN formato válido para cada um
resources.type
.nota
Você não pode usar o
resources.ARN
campo para filtrar tipos de recursos que não têmARNs.resources.type recursos. ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
Eles ARN devem estar em um dos seguintes formatos:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
Eles ARN devem estar em um dos seguintes formatos:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Para tabelas com fluxos habilitados, o campo
resources
no evento de dados contémAWS::DynamoDB::Stream
eAWS::DynamoDB::Table
. Se você especificarAWS::DynamoDB::Table
comoresources.type
, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro noeventName
campo.2 Para registrar todos os eventos de dados de todos os objetos em um bucket específico do S3, use o
StartsWith
operador e inclua somente o bucket ARN como valor correspondente. A barra final é intencional; não a exclua.3 Para registrar eventos em todos os objetos em um ponto de acesso do S3, recomendamos que você use somente o ponto de acessoARN, não inclua o caminho do objeto e use os
NotStartsWith
operadoresStartsWith
ou. -
Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.
-
-
Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados em sua trilha, você pode definir o campo como recursos. ARN, defina o operador para não começa com e, em seguidaARN, cole em um bucket do S3 ou procure os buckets do S3 nos quais você não deseja registrar eventos.
Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.
nota
É possível ter, no máximo, 500 valores para todos os seletores em uma trilha. Isso inclui matrizes de vários valores para um seletor, como
eventName
. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor. -
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.
-
-
Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados). Repita as etapas de 4 até esta etapa para configurar seletores de eventos avançados para o tipo de evento de dados.
-
Depois de revisar e verificar suas escolhas, escolha Salvar alterações.
Use o procedimento a seguir para atualizar uma trilha existente para registrar eventos de dados usando seletores de eventos básicos.
-
Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/
. -
Abra a página Trilhas do CloudTrail console e escolha o nome da trilha.
nota
Embora seja possível editar uma trilha existente para registrar eventos de dados em log, como prática recomendada considere criar uma trilha separada especificamente para o log de eventos de dados.
-
Em Data events (Eventos de dados), escolha Edit (Editar).
-
Para Buckets do Amazon S3:
-
Em Data event source (Fonte do eventos de dados), escolha S3.
-
Você pode escolher registrar All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) ou pode especificar buckets ou funções individuais. Por padrão, os eventos de dados são registrados para todos os buckets do S3 atuais e futuros.
nota
Manter a opção padrão All current and future S3 buckets permite o registro de eventos de dados para todos os buckets atualmente em sua AWS conta e para todos os buckets que você criar depois de concluir a criação da trilha. Ele também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em um bucket que pertença a outra AWS conta.
Se você estiver criando uma trilha para uma única região (usando o AWS CLI), selecionar a opção Selecionar todos os buckets do S3 em sua conta habilita o registro de eventos de dados para todos os buckets na mesma região da sua trilha e quaisquer buckets que você criar posteriormente nessa região. Ele não registrará eventos de dados para buckets do Amazon S3 em outras regiões da sua conta. AWS
-
Se você deixar a opção padrão All current and future S3 buckets (Todos os buckets do S3 atuais e futuros), escolha para registrar eventos Read (Leitura), Write (Gravação) ou ambos.
-
Para selecionar buckets individuais, desmarque as caixas de seleção Read (Leitura) e Write (Gravação) em All current and future S3 buckets (Todos os buckets do S3 atuais e futuros). Em Individual bucket selection (Seleção de bucket individual), procure por um bucket no qual registrar eventos de dados. Para localizar períodos específicos, digite um prefixo de bucket para o bucket desejado. É possível selecionar vários buckets nesta janela. Escolha Add bucket (Adicionar bucket) para registrar eventos de dados em mais buckets. Escolha se você deseja registrar eventos de Read (Leitura), como
GetObject
, Write (Gravação), comoPutObject
, ou ambos.Essa configuração tem precedência sobre configurações individuais que você configura para buckets individuais. Por exemplo, se você especificar o registro de eventos de Read (Leitura) para todos os buckets do S3 e escolher adicionar um bucket específico ao registro de eventos de dados, Read (Leitura) já estará selecionada para o bucket adicionado. Você não pode limpar a seleção. Você pode somente configurar a opção para Write (Gravação).
Para remover um bucket do registro, escolha X.
-
-
Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados).
-
Funções do Lambda:
-
Em Data event source (Fonte do eventos de dados), escolha Lambda.
-
Na função Lambda, escolha Todas as regiões para registrar todas as funções do Lambda ou Função de entrada ARN para registrar eventos de dados em uma função específica.
Para registrar eventos de dados para todas as funções do Lambda em sua conta da AWS , selecione Log all current and future functions (Registrar todas as funções atuais e futuras). Essa configuração tem precedência sobre configurações individuais definidas para funções individuais. Todas as funções são registradas, mesmo se todas as funções não forem exibidas.
nota
Se estiver criando uma trilha para todas as regiões, essa seleção habilitará o registro de eventos de dados para todas as funções atualmente em sua conta da AWS e qualquer função Lambda que você venha a criar em qualquer região depois de concluir a criação da trilha. Se você estiver criando uma trilha para uma única região (feita usando o AWS CLI), essa seleção habilita o registro de eventos de dados para todas as funções atualmente nessa região em sua AWS conta e quaisquer funções Lambda que você possa criar nessa região depois de terminar de criar a trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.
O registro de eventos de dados para todas as funções também permite o registro da atividade de eventos de dados realizada por qualquer usuário ou função em sua AWS conta, mesmo que essa atividade seja realizada em uma função que pertença a outra AWS conta.
-
Se você escolher Função de entrada como ARN, insira a ARN de uma função Lambda.
nota
Se você tiver mais de 15.000 funções do Lambda em sua conta, não poderá visualizar ou selecionar todas as funções no console CloudTrail ao criar uma trilha. Você ainda poderá selecionar a opção de registrar todas as funções, mesmo se elas não forem exibidas. Se quiser registrar eventos de dados para funções específicas, você pode adicionar manualmente uma função, se souber delaARN. Você também pode concluir a criação da trilha no console e, em seguida, usar o put-event-selectors comando AWS CLI e o para configurar o registro de eventos de dados para funções específicas do Lambda. Para obter mais informações, consulte Gerenciando trilhas com o AWS CLI.
-
-
Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados).
-
Para tabelas do DynamoDB:
-
Em Data event source (Fonte do eventos de dados), escolha DynamoDB.
-
Na seleção de tabela do DynamoDB, escolha Procurar para selecionar uma tabela ou cole na tabela ARN do DynamoDB à qual você tenha acesso. Uma ARN tabela do DynamoDB usa o seguinte formato:
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Para adicionar outra tabela, escolha Adicionar linha e procure uma tabela ou cole na ARN tabela à qual você tenha acesso.
-
-
Escolha Salvar alterações.
Registrando eventos de dados com o AWS Command Line Interface
É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de dados em log usando a AWS CLI.
Tópicos
Registrando eventos de dados para trilhas com o AWS CLI
Você pode configurar suas trilhas para registrar eventos de gerenciamento e de dados usando a AWS CLI.
nota
-
Esteja ciente de que, se a sua conta estiver registrando mais de uma cópia de eventos de gerenciamento, você incorrerá em cobranças. Há sempre uma cobrança para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail
. -
Você pode usar seletores de eventos avançados ou seletores de eventos básicos, mas não ambos. Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
-
Se sua trilha usa seletores de eventos básicos, você só pode registrar os seguintes tipos de recursos:
-
AWS::DynamoDB::Table
-
AWS::Lambda::Function
-
AWS::S3::Object
Para registrar tipos de recursos adicionais, você precisará usar seletores de eventos avançados. Para converter uma trilha em seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores e, em seguida, adicione seletores para qualquer tipo de recurso para o qual você deseja registrar eventos de dados.
-
-
Você pode usar seletores de eventos avançados para filtrar com base no valor dos campos
eventName
,resources.ARN
ereadOnly
, permitindo que você registre somente os eventos de dados de interesse. Para obter mais informações sobre como configurar esses campos, consulte AdvancedFieldSelectorna AWS CloudTrail APIReferência e Filtrando eventos de dados usando seletores de eventos avançados neste tópico.
Para visualizar se a trilha está registrando eventos de dados e de gerenciamento, execute o comando get-event-selectors
aws cloudtrail get-event-selectors --trail-name
TrailName
O comando retorna os seletores de eventos da trilha.
Tópicos
Registar eventos utilizando seletores de eventos avançados
nota
Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos. Antes de configurar seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores e, em seguida, adicione seletores para qualquer tipo de recurso para o qual você deseja registrar eventos de dados.
O exemplo a seguir cria seletores de eventos avançados personalizados para uma trilha chamada TrailName
para incluir eventos de gerenciamento de leitura e gravação (omitindo o readOnly
seletor) PutObject
e eventos de DeleteObject
dados para todas as combinações de bucket/prefixo do Amazon S3, exceto para um bucket chamado e eventos de dados para uma função chamada. amzn-s3-demo-bucket
AWS Lambda MyLambdaFunction
Como estes são seletores de eventos avançados personalizados, cada conjunto de seletores tem um nome descritivo. Observe que uma barra final faz parte do ARN valor dos buckets do S3.
aws cloudtrail put-event-selectors --trail-name
TrailName
--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Registre todos os eventos do Amazon S3 para um bucket do Amazon S3 usando seletores de eventos avançados
nota
Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
O exemplo a seguir mostra como configurar a trilha para registrar eventos de dados de todos os objetos do Amazon S3 em um bucket do S3. O valor para eventos do S3 para o campo resources.type
é AWS::S3::Object
. Como os ARN valores dos objetos do S3 e dos buckets do S3 são um pouco diferentes, você deve adicionar o StartsWith
operador resources.ARN
para capturar todos os eventos.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::amzn-s3-demo-bucket
/"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition
:s3:::amzn-s3-demo-bucket
/" ] } ] } ] }
Registrar o Amazon S3 no AWS Outposts usando seletores de eventos avançados
nota
Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de dados para todos os objetos do Amazon S3 on Outposts em seu outpost.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ] }
Registar eventos utilizando seletores de eventos básicos
Este é um exemplo de resultado do comando get-event-selectors mostrando seletores de eventos básicos. Por padrão, quando você cria uma trilha usando o AWS CLI, uma trilha registra todos os eventos de gerenciamento. Por padrão, as trilhas não registram em log eventos de dados.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ] }
Para configurar a trilha para registrar eventos de gerenciamento e de dados, execute o comando put-event-selectors
O exemplo a seguir mostra como usar seletores de eventos básicos para configurar a trilha para incluir todos os eventos de gerenciamento e de dados para os objetos do S3 em dois prefixos de bucket do S3. Você pode especificar seletores de eventos de 1 a 5 para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.
nota
O número máximo de recursos de dados do S3 será 250, se você optar por limitar eventos de dados usando seletores de evento básicos.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1
/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2
;/prefix2"] }] }]'
O comando retorna os seletores de eventos configurados para a trilha.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket1
/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2
/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ] }
Registrando eventos de dados para armazenamentos de dados de eventos com o AWS CLI
É possível configurar seus armazenamentos de dados de eventos para incluir eventos de dados usando a AWS CLI. Use o comando create-event-data-store
update-event-data-store
Para verificar se o armazenamento de dados de eventos inclui eventos de dados, execute o comando get-event-data-store
aws cloudtrail get-event-data-store --event-data-store
EventDataStoreARN
O comando retorna as configurações do armazenamento de dados de eventos.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa", "Name": "ebs-data-events", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log all EBS direct APIs on EBS snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00" }
Tópicos
Incluir todos os eventos do Amazon S3 para um bucket
O exemplo a seguir mostra como criar um armazenamento de dados de eventos para incluir todos os eventos de dados de todos os objetos do Amazon S3 em um bucket do S3 específico. O valor para eventos do S3 para o campo resources.type
é AWS::S3::Object
. Como os ARN valores dos objetos do S3 e dos buckets do S3 são um pouco diferentes, você deve adicionar o StartsWith
operador resources.ARN
para capturar todos os eventos.
aws cloudtrail create-event-data-store --name "
EventDataStoreName
" --multi-region-enabled \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::amzn-s3-demo-bucket
/"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:
partition
:s3:::amzn-s3-demo-bucket
/" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00" }
Incluir o Amazon S3 em eventos do AWS Outposts
O exemplo a seguir mostra como criar um armazenamento de dados de eventos que inclua todos os eventos de dados para todos os objetos do Amazon S3 on Outposts em seu outpost.
aws cloudtrail create-event-data-store --name
EventDataStoreName
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00" }
Registrar de eventos de dados para conformidade de AWS Config
Se você estiver usando pacotes de AWS Config conformidade para ajudar sua empresa a manter a conformidade com padrões formalizados, como os exigidos pelo Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) ou pelo Instituto Nacional de Padrões e Tecnologia (NIST), os pacotes de conformidade para estruturas de conformidade geralmente exigem que você registre eventos de dados para buckets do Amazon S3, no mínimo. Os pacotes de conformidade para estruturas de conformidade incluem umaregra gerenciada chamada cloudtrail-s3-dataevents-enabled
que verifica o registro de eventos de dados do S3 em sua conta. Muitos pacotes de conformidade que não estão associados a estruturas de conformidade também exigem log de eventos de dados do S3. Veja a seguir exemplos de pacotes de conformidade que incluem essa regra.
Para obter uma lista completa dos exemplos de pacotes de conformidade disponíveis em AWS Config, consulte Modelos de amostra de pacotes de conformidade no Guia do desenvolvedor.AWS Config
Registrando eventos de dados com o AWS SDKs
Execute a GetEventSelectorsoperação para ver se sua trilha está registrando eventos de dados. Você pode configurar suas trilhas para registrar eventos de dados executando a PutEventSelectorsoperação. Para obter mais informações, consulte a AWS CloudTrail APIReferência.
Execute a GetEventDataStoreoperação para ver se seu armazenamento de dados de eventos está registrando eventos de dados. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de dados executando as UpdateEventDataStoreoperações CreateEventDataStoreou e especificando seletores de eventos avançados. Para obter mais informações, consulte Crie, atualize e gerencie armazenamentos de dados de eventos com o AWS CLI e a AWS CloudTrail APIReferência.