Crie uma trilha para registrar eventos de gerenciamento

Para sua primeira trilha, recomendamos criar uma trilha que registre todos os eventos de gerenciamento e não registre nenhum evento de dados ou eventos do Insights. Os exemplos de eventos de gerenciamento incluem eventos de segurança, como os eventos do CreateUser e AttachRolePolicy do IAM, eventos de recurso, como RunInstances e CreateBucket e muito mais. Você criará um bucket do Amazon S3 onde armazenará os arquivos de log da trilha como parte da criação da trilha no CloudTrail console.

nota

AWS Control Tower configura uma nova CloudTrail trilha registrando eventos de gerenciamento quando você configura uma landing zone. É uma trilha no nível da organização, o que significa que ela registra todos os eventos de gerenciamento da conta de gerenciamento e de todas as contas dos membros da organização. Para obter mais informações, consulte Sobre o login AWS Control Tower no Guia AWS CloudTrail do usuário.

Este tutorial pressupõe que você está criando a primeira trilha. Dependendo do número de trilhas que você tem em sua AWS conta e de como essas trilhas são configuradas, o procedimento a seguir pode ou não gerar despesas. CloudTrail armazena arquivos de log em um bucket do Amazon S3, o que gera custos. Para obter mais informações sobre preços, consulte Preços do AWS CloudTrail e Preços do Amazon S3.

Para criar uma trilha

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

2. No seletor de região, escolha a AWS região em que você deseja que sua trilha seja criada. Essa é a região inicial da trilha.

   nota

   A região de origem é a única Região da AWS em que você pode atualizar a trilha depois de criada.

3. Na página inicial do CloudTrail serviço, na página Trilhas ou na seção Trilhas da página Painel, escolha Criar trilha.

4. Em Nome da trilha, dê um nome à sua trilha, como eventos de gerenciamento. Como prática recomendada, use um nome que identifique rapidamente a finalidade da trilha. Nesse caso, você está criando uma trilha que registra eventos de gerenciamento.

5. Mantenha a configuração padrão para Habilitar para todas as contas em minha organização. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no Organizations.

6. Em Storage location (Local de armazenamento), escolha Create a S3 bucket (Criar um bucket do S3) para criar um bucket. Quando você cria um bucket, CloudTrail cria e aplica as políticas de bucket necessárias. Se você optar por criar um novo bucket do S3, sua política do IAM precisará incluir permissão para a s3:PutEncryptionConfiguration ação porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Dê ao seu bucket um nome que o torne fácil de identificar.

   Para facilitar a localização de seus registros, crie uma nova pasta (também conhecida como prefixo) em um bucket existente para armazenar seus CloudTrail registros.

   nota

   O nome do bucket do Amazon S3 deve ser exclusivo globalmente. Para obter mais informações, consulte as Regras para nomear buckets no Guia do usuário do Amazon Simple Storage Service.

7. Desmarque a caixa de seleção para desabilitar a Log file SSE-KMS encryption (Criptografia SSE-KMS do arquivo de log). Por padrão, os arquivos de log são criptografados com criptografia SSE-S3. Para obter mais informações sobre essa configuração, consulte Uso da criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3).

8. Deixe as configurações padrão em Additional settings (Configurações adicionais).

9. Deixe as configurações padrão para CloudWatch Registros. Por enquanto, não envie registros para o Amazon CloudWatch Logs.

10. (Opcional) Em Tags, adicione uma ou mais tags personalizadas (pares chave-valor) à sua trilha. As tags podem ajudá-lo a identificar suas CloudTrail trilhas e outros recursos, como os buckets do Amazon S3 que contêm CloudTrail arquivos de log. Por exemplo, você poderia anexar uma tag com o nome Compliance e o valor Auditing.

    nota

    Embora você possa adicionar tags às trilhas ao criá-las no CloudTrail console e criar um bucket do Amazon S3 para armazenar seus arquivos de log no CloudTrail console, você não pode adicionar tags ao bucket do Amazon S3 a partir do console. CloudTrail Para obter mais informações sobre como visualizar e alterar as propriedades de um bucket do Amazon S3, inclusive adicionar tags a um bucket, consulte o Manual do usuário do Amazon S3.

    Quando terminar de criar as tags, escolha Next (Próximo).

11. Na página Choose log events (Escolher eventos de log), selecione os tipos de log. Para essa trilha, mantenha o padrão, Management events (Eventos de gerenciamento). Em Management events (Eventos de gerenciamento), escolha para registrar eventos de Read (Leitura) e Write (Gravação) se ainda não estiverem selecionados. Deixe as caixas de seleção Excluir AWS KMS eventos e Excluir eventos da API de dados do Amazon RDS vazias para registrar todos os eventos de gerenciamento.

    

12. Mantenha as configurações padrão para Eventos de dados e Eventos do Insights. Essa trilha não registrará nenhum dado ou evento do CloudTrail Insights. Escolha Próximo.

13. Na página Review and create (Analisar e criar), revise as configurações que você escolheu para sua trilha. Selecione Edit (Editar) para voltar e fazer alterações em uma seção. Quando estiver pronto para criar a trilha, escolha Create trail (Criar trilha).

14. A página Trails (Trilhas) mostra sua nova trilha na tabela. Observe que a trilha está definida como Multi-region trail (Trilha de várias regiões) por padrão, e esse registro está ativado para a trilha por padrão.

    

Para obter mais informações sobre trilhas, consulteTrabalhando com CloudTrail trilhas.