Vorbereiten der Erstellung eines Trails für Ihre Organisation in der Konsole

Um einen Organisations-Trail mit dem zu erstellen AWS Management Console

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

   Sie müssen mit einer IAM Identität im Verwaltungs- oder delegierten Administratorkonto angemeldet sein und über ausreichende Berechtigungen verfügen, um einen Organisationspfad zu erstellen.

2. Wählen Sie Trails und anschließend Create Trail (Trail erstellen).

3. Geben Sie auf der Seite Create Trail in Trail nameeinen Namen für den Trail ein. Weitere Informationen finden Sie unter Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und Schlüssel KMS.

4. Wählen Sie Aktivieren für alle Konten in meiner Organisation aus. Diese Option wird nur angezeigt, wenn Sie sich mit einem Benutzer oder einer Rolle im Verwaltungskonto oder im Konto eines delegierten Administrators bei der Konsole anmelden. Zur Erstellung eines Organisations-Trails müssen dem Benutzer oder der Rolle ausreichende Berechtigungen zugewiesen sein.

5. Wählen Sie in Speicherort für Neuen S3 Bucket erstellen, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet.

   Anmerkung

   Wenn Sie Vorhandenen S3 Bucket verwenden ausgewählt haben, geben Sie einen Bucket im Namen des Trail-Protokoll-Buckets an oder wählen Sie Durchsuchen, um einen Bucket auszuwählen. Sie können einen Bucket auswählen, der zu einem beliebigen Konto gehört. Die Bucket-Richtlinie muss jedoch die CloudTrail Schreibberechtigung für diesen Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt Amazon S3 S3-Bucket-Richtlinie für CloudTrail.

   Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als Präfix bezeichnet), um Ihre CloudTrail Logs zu speichern. Geben Sie das Präfix in Präfix ein.

6. Wählen Sie für SSEKMSProtokolldateiverschlüsselung die Option Aktiviert aus, wenn Sie Ihre Protokolldateien mit SSE - KMS Verschlüsselung statt mit SSE -S3-Verschlüsselung verschlüsseln möchten. Der Standard ist aktiviert. Wenn Sie die SSE KMS --Verschlüsselung nicht aktivieren, werden Ihre Logs mit der SSE -S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE - KMS Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS) verwenden. Weitere Informationen zur SSE -S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (-S3) verwenden. SSE

   Wenn Sie die KMS Verschlüsselung aktivieren, wählen Sie „SSENeu“ oder „Bestehend“. AWS KMS key Geben Sie AWS KMS unter Alias einen Alias im folgenden Format an alias/MyAliasName. Weitere Informationen finden Sie unterEine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden.

   Anmerkung

   Sie können auch einen Schlüssel ARN aus einem anderen Konto eingeben. Weitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden. Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien ermöglichen und den von Ihnen angegebenen Benutzern das Lesen von Protokolldateien in unverschlüsselter Form ermöglichen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.

7. Konfigurieren Sie unter Zusätzliche Einstellungen Folgendes.

   1. Wähen Sie für Protokolldateivalidierung Aktiviert, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach CloudTrail der Übermittlung nicht geändert haben. Weitere Informationen finden Sie unter Überprüfen der Integrität der CloudTrail Protokolldatei.

   2. Wählen Sie für die Zustellung von SNS Benachrichtigungen die Option Aktiviert aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket gesendet wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNSBenachrichtigungen werden für jede Protokolldatei gesendet, nicht für jedes Ereignis. Weitere Informationen finden Sie unter Konfiguration von SNS Amazon-Benachrichtigungen für CloudTrail.

      Wenn Sie SNS Benachrichtigungen aktivieren, wählen Sie unter Neues SNS Thema erstellen die Option Neu aus, um ein Thema zu erstellen, oder wählen Sie Bestehend, um ein vorhandenes Thema zu verwenden. Wenn Sie einen Trail erstellen, der für alle Regionen gilt, werden SNS Benachrichtigungen für Protokolldateizustellungen aus allen Regionen an das einzelne SNS Thema gesendet, das Sie erstellen.

      Wenn Sie „Neu“ wählen CloudTrail , geben Sie einen Namen für das neue Thema an, oder Sie können einen Namen eingeben. Wenn Sie „Bestehend“ wählen, wählen Sie ein SNS Thema aus der Dropdownliste aus. Sie können auch ein Thema ARN aus einer anderen Region oder von einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter SNSAmazon-Themenrichtlinie für CloudTrail.

      Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können über die SNS Amazon-Konsole abonnieren. Aufgrund der Häufigkeit von Benachrichtigungen empfehlen wir Ihnen, das Abonnement so zu konfigurieren, dass eine SQS Amazon-Warteschlange verwendet wird, um Benachrichtigungen programmgesteuert zu verarbeiten. Weitere Informationen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide.

8. Konfigurieren Sie optional, CloudTrail dass Protokolldateien an Logs gesendet werden, indem Sie unter CloudWatch Logs die Option Aktiviert CloudWatch wählen. Weitere Informationen finden Sie unter Ereignisse an CloudWatch Logs senden.

   Anmerkung

   Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Protokollgruppe „Logs“ für einen Organization Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der UpdateTrail API Operationen AWS CLI oder CloudTrail CreateTrail oder konfigurieren.

   1. Wenn Sie die Integration mit CloudWatch Logs aktivieren, wählen Sie Neu, um eine neue Protokollgruppe zu erstellen, oder Existierend, um eine bestehende zu verwenden. Wenn Sie „Neu“ wählen CloudTrail , geben Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben.

   2. Wenn Sie Vorhanden wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.

   3. Wählen Sie Neu, um eine neue IAM Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie Existiert, um eine bestehende IAM Rolle aus der Drop-down-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das Richtliniendokument erweitern. Weitere Informationen über diese Rolle finden Sie unter Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung.

      Anmerkung

      Wenn Sie einen Trail konfigurieren, können Sie einen S3-Bucket und ein SNS Amazon-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.

9. Für Tags können Sie bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie sowohl Ihre CloudTrail Trails als auch die Amazon S3 S3-Buckets identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail Ressourcen verwenden. Weitere Informationen erhalten Sie unter AWS Resource Groups und Tags.

10. Wählen Sie auf der Seite Protokollereignisse auswählen die Ereignistypen aus, die Sie protokollieren möchten. Führen Sie unter Management events (Verwaltungsereignisse) die folgenden Schritte aus.

    1. Wählen Sie für APIAktivitäten aus, ob Ihr Trail Leseereignisse, Schreibereignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter Verwaltungsereignisse.

    2. Wähle AWS KMS Ereignisse ausschließen, um Ereignisse aus deinem Trail herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung besteht darin, alle AWS KMS -Ereignissen einzuschließen.

       Die Option, AWS KMS Ereignisse zu protokollieren oder auszuschließen, ist nur verfügbar, wenn Sie Verwaltungsereignisse auf Ihrem Trail protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.

       AWS KMS Aktionen wie EncryptDecrypt, und erzeugen GenerateDataKey in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als Leseereignisse protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wie DisableDelete, und ScheduleKey (die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als Write-Ereignisse protokolliert.

       Um Ereignisse mit hohem Volume wie Encrypt, Decrypt und GenerateDataKey auszuschließen, aber dennoch relevante Ereignisse wie Disable, Delete und ScheduleKey zu protokollieren, wählen Sie Schreibverwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für AWS KMS -Ereignisse ausschließen.

    3. Wählen Sie RDSAPIAmazon-Datenereignisse ausschließen, um API Datenereignisse von Amazon Relational Database Service aus Ihrem Trail herauszufiltern. In der Standardeinstellung sind alle Amazon RDS API Data-Ereignisse enthalten. Weitere Informationen zu Amazon RDS API Data-Ereignissen finden Sie unter Logging Data API Calls with AWS CloudTrail im RDSAmazon-Benutzerhandbuch für Aurora.

11. Zum Protokollieren von Datenereignissen wählen Sie Datenereignisse aus. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung.

12. Wichtig

    Die Schritte 12 bis 16 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlen, was die Standardeinstellung ist. Mithilfe erweiterter Ereignisauswahlen können Sie mehr Datenereignistypen konfigurieren und genau steuern, welche Datenereignisse in Ihrem Trail erfasst werden. Wenn Sie Netzwerkaktivitätsereignisse protokollieren möchten (in der Vorschauversion), müssen Sie erweiterte Event-Selektoren verwenden. Wenn Sie einfache Event-Selektoren verwenden, führen Sie die Schritte unter aus und kehren Sie dann zu Schritt 17 dieses Verfahrens zurück. Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen

    Wählen Sie für Datenereignistyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu den verfügbaren Datenereignistypen finden Sie unter Datenereignisse.

    Anmerkung

    Um Datenereignisse für von Lake Formation erstellte AWS Glue Tabellen zu protokollieren, wählen Sie Lake Formation.

13. Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.

    Anmerkung

    Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie nach Abschluss der Erstellung des Trails erstellen. Es ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS

    Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Protokolldatenereignisse für Amazon-S3-Buckets in anderen Regionen in Ihrem AWS -Konto protokolliert.

    Wenn Sie einen Trail für alle Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.

    Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.

14. (Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern.

15. Erstellen Sie in den erweiterten Ereignisselektoren einen Ausdruck für die spezifischen Ressourcen, für die Sie Datenereignisse protokollieren möchten. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

    1. Wählen Sie aus den folgenden Feldern.

       • readOnly- readOnly kann so eingestellt werden, dass er einem Wert von oder entspricht. true false Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. Get*- oder Describe*-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl read- als auch write-Ereignisse zu protokollieren, fügen Sie keinen readOnly-Selektor hinzu.

       • eventName – eventName kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. PutBucketGetItem, oderGetSnapshotBlock.

       • resources.ARN- Sie können einen beliebigen Operator mit verwendenresources.ARN, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben. resources.type

         Die folgende Tabelle zeigt das jeweils resources.type gültige ARN Format.

         Anmerkung

         Sie können das resources.ARN Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall istARNs.

         resources.type	Ressourcen. ARN
         AWS::DynamoDB::Table1	arn:partition:dynamodb:region:account_ID:table/table_name
         AWS::Lambda::Function	arn:partition:lambda:region:account_ID:function:function_name
         AWS::S3::Object2	arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
         AWS::AppConfig::Configuration	arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
         AWS::B2BI::Transformer	arn:partition:b2bi:region:account_ID:transformer/transformer_ID
         AWS::Bedrock::AgentAlias	arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
         AWS::Bedrock::FlowAlias	arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
         AWS::Bedrock::Guardrail	arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
         AWS::Bedrock::KnowledgeBase	arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
         AWS::Bedrock::Model	Das ARN muss in einem der folgenden Formate vorliegen: arn:partition:bedrock:region::foundation-model/resource_ID arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID arn:partition:bedrock:region:account_ID:custom-model/resource_ID
         AWS::Cassandra::Table	arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
         AWS::CloudFront::KeyValueStore	arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
         AWS::CloudTrail::Channel	arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
         AWS::CodeWhisperer::Customization	arn:partition:codewhisperer:region:account_ID:customization/customization_ID
         AWS::CodeWhisperer::Profile	arn:partition:codewhisperer:region:account_ID:profile/profile_ID
         AWS::Cognito::IdentityPool	arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
         AWS::DataExchange::Asset	arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
         AWS::Deadline::Fleet	arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
         AWS::Deadline::Job	arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
         AWS::Deadline::Queue	arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
         AWS::Deadline::Worker	arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
         AWS::DynamoDB::Stream	arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
         AWS::EC2::Snapshot	arn:partition:ec2:region::snapshot/snapshot_ID
         AWS::EMRWAL::Workspace	arn:partition:emrwal:region:account_ID:workspace/workspace_name
         AWS::FinSpace::Environment	arn:partition:finspace:region:account_ID:environment/environment_ID
         AWS::Glue::Table	arn:partition:glue:region:account_ID:table/database_name/table_name
         AWS::GreengrassV2::ComponentVersion	arn:partition:greengrass:region:account_ID:components/component_name
         AWS::GreengrassV2::Deployment	arn:partition:greengrass:region:account_ID:deployments/deployment_ID
         AWS::GuardDuty::Detector	arn:partition:guardduty:region:account_ID:detector/detector_ID
         AWS::IoT::Certificate	arn:partition:iot:region:account_ID:cert/certificate_ID
         AWS::IoT::Thing	arn:partition:iot:region:account_ID:thing/thing_ID
         AWS::IoTSiteWise::Asset	arn:partition:iotsitewise:region:account_ID:asset/asset_ID
         AWS::IoTSiteWise::TimeSeries	arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
         AWS::IoTTwinMaker::Entity	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
         AWS::IoTTwinMaker::Workspace	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
         AWS::KendraRanking::ExecutionPlan	arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
         AWS::Kinesis::Stream	arn:partition:kinesis:region:account_ID:stream/stream_name
         AWS::Kinesis::StreamConsumer	arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
         AWS::KinesisVideo::Stream	arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
         AWS::MachineLearning::MlModel	arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
         AWS::ManagedBlockchain::Network	arn:partition:managedblockchain:::networks/network_name
         AWS::ManagedBlockchain::Node	arn:partition:managedblockchain:region:account_ID:nodes/node_ID
         AWS::MedicalImaging::Datastore	arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
         AWS::NeptuneGraph::Graph	arn:partition:neptune-graph:region:account_ID:graph/graph_ID
         AWS::One::UKey	arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
         AWS::One::User	arn:partition:one:region:account_ID:user/user_ID
         AWS::PaymentCryptography::Alias	arn:partition:payment-cryptography:region:account_ID:alias/alias
         AWS::PaymentCryptography::Key	arn:partition:payment-cryptography:region:account_ID:key/key_ID
         AWS::PCAConnectorAD::Connector	arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
         AWS::PCAConnectorSCEP::Connector	arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
         AWS::QApps:QApp	arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
         AWS::QBusiness::Application	arn:partition:qbusiness:region:account_ID:application/application_ID
         AWS::QBusiness::DataSource	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
         AWS::QBusiness::Index	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
         AWS::QBusiness::WebExperience	arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
         AWS::RDS::DBCluster	arn:partition:rds:region:account_ID:cluster/cluster_name
         AWS::RUM::AppMonitor	arn:partition:rum:region:account_ID:appmonitor/app_monitor_name
         AWS::S3::AccessPoint3	arn:partition:s3:region:account_ID:accesspoint/access_point_name
         AWS::S3Express::Object	arn:partition:s3express:region:account_ID:bucket/bucket_name
         AWS::S3ObjectLambda::AccessPoint	arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
         AWS::S3Outposts::Object	arn:partition:s3-outposts:region:account_ID:object_path
         AWS::SageMaker::Endpoint	arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
         AWS::SageMaker::ExperimentTrialComponent	arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
         AWS::SageMaker::FeatureGroup	arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
         AWS::SCN::Instance	arn:partition:scn:region:account_ID:instance/instance_ID
         AWS::ServiceDiscovery::Namespace	arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
         AWS::ServiceDiscovery::Service	arn:partition:servicediscovery:region:account_ID:service/service_ID
         AWS::SNS::PlatformEndpoint	arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
         AWS::SNS::Topic	arn:partition:sns:region:account_ID:topic_name
         AWS::SocialMessaging::PhoneNumberId	arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
         AWS::SQS::Queue	arn:partition:sqs:region:account_ID:queue_name
         AWS::SSM::ManagedNode	Das ARN muss in einem der folgenden Formate vorliegen: arn:partition:ssm:region:account_ID:managed-instance/instance_ID arn:partition:ec2:region:account_ID:instance/instance_ID
         AWS::SSMMessages::ControlChannel	arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
         AWS::StepFunctions::StateMachine	Das ARN muss in einem der folgenden Formate vorliegen: arn:partition:states:region:account_ID:stateMachine:stateMachine_name arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
         AWS::SWF::Domain	arn:partition:swf:region:account_ID:/domain/domain_name
         AWS::ThinClient::Device	arn:partition:thinclient:region:account_ID:device/device_ID
         AWS::ThinClient::Environment	arn:partition:thinclient:region:account_ID:environment/environment_ID
         AWS::Timestream::Database	arn:partition:timestream:region:account_ID:database/database_name
         AWS::Timestream::Table	arn:partition:timestream:region:account_ID:database/database_name/table/table_name
         AWS::VerifiedPermissions::PolicyStore	arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

         ¹ Bei Tabellen mit aktivierten Streams enthält das resources-Feld im Datenereignis sowohl AWS::DynamoDB::Stream als auch AWS::DynamoDB::Table. Wenn Sie AWS::DynamoDB::Table als resources.type angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie dem eventName Feld einen Filter hinzu.

         ² Um alle Datenereignisse für alle Objekte in einem bestimmten S3-Bucket zu protokollieren, verwenden Sie den StartsWith Operator und geben Sie nur den Bucket ARN als passenden Wert an. Der abschließende Schrägstrich ist beabsichtigt; schließen Sie ihn nicht aus.

         ³ Um Ereignisse für alle Objekte in einem S3-Zugriffspunkt zu protokollieren, empfehlen wir, nur den Access Point zu verwendenARN, den Objektpfad nicht einzubeziehen und die NotStartsWith Operatoren StartsWith oder zu verwenden.

       Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.

    2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator nicht mit beginnt, und fügen Sie ihn dann entweder in einen S3-Bucket ARN ein oder suchen Sie nach den S3-Buckets, für die Sie keine Ereignisse protokollieren möchten.

       Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.

       Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet

       Anmerkung

       Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.

    3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht ARN in einem Selektor an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.

16. Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 12 bis zu diesem Schritt, um erweiterte Ereignisselektoren für den Datenereignistyp zu konfigurieren.

17. Um Netzwerkaktivitätsereignisse zu protokollieren, wählen Sie Netzwerkaktivitätsereignisse. Netzwerkaktivitätsereignisse ermöglichen es VPC Endpunktbesitzern, AWS API Anrufe aufzuzeichnen, die über ihre VPC Endgeräte von einem privaten Gerät VPC an den AWS-Service getätigt wurden. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung.

    Anmerkung

    Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.

    Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse zu protokollieren:

    1. Wählen Sie unter Quelle für Netzwerkaktivitätsereignisse die Quelle für Netzwerkaktivitätsereignisse aus.

    2. Wählen Sie unter Protokollselektorvorlage eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder Benutzerdefiniert wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. eventName undvpcEndpointId.

    3. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. Der Name des Selektors wird in der erweiterten Ereignisauswahl als Name aufgeführt und ist sichtbar, wenn Sie die Ansicht erweitern. JSON

    4. In der erweiterten Version erstellen Event-Selektoren Ausdrücke, indem sie Werte für Feld, Operator und Wert auswählen. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

       1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.

          • eventName— Sie können jeden Operator mit verwendeneventName. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, CreateKey z.

          • errorCode— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützterrorCode:VpceAccessDenied.

          • vpcEndpointId— Identifiziert den VPC Endpunkt, den der Vorgang durchlaufen hat. Sie können jeden beliebigen Operator mit verwendenvpcEndpointId.

       2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.

       3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.

    5. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „Netzwerkaktivitätsereignisauswahl hinzufügen“.

    6. Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als JSON Block anzuzeigen.

18. Wählen Sie Insights-Ereignisse, wenn Ihr Trail CloudTrail Insights-Ereignisse protokollieren soll.

    Wählen Sie unter Ereignistyp Insights-Ereignisse aus. Wählen Sie unter Insights-Ereignisse die APIAnrufrate, die APIFehlerrate oder beides aus. Sie müssen Write-Management-Ereignisse protokollieren, um Insights-Ereignisse für die APIAnrufrate protokollieren zu können. Sie müssen Verwaltungsereignisse vom Typ Lesen oder Schreiben protokollieren, um Insights-Ereignisse im Hinblick auf die APIFehlerquote protokollieren zu können.

    CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien festgestellt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter Protokollieren von Insights-Ereignissen. Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. Preise finden Sie unter CloudTrail AWS CloudTrail Preisgestaltung.

    Insights-Ereignisse werden in einen anderen Ordner übertragen, /CloudTrail-Insight der nach demselben S3-Bucket benannt ist, der auf der Seite mit den Trail-Details im Bereich Speicherort angegeben ist. CloudTrailerstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namen amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/ hat, lautet der Name mit dem Präfix als Zusatz amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/.

19. Wenn Sie die Auswahl der zu protokollierenden Ereignistypen abgeschlossen haben, wählen Sie Weiter aus.

20. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten in einem Abschnitt, um die in diesem Abschnitt angezeigten Trail-Einstellungen zu ändern. Wenn Sie bereit sind, den Trail zu erstellen, wählen Sie Trail erstellen.

21. Der neue Trail wird auf der Seite Trails angezeigt. Es kann bis zu 24 Stunden dauern, bis ein Organisations-Trail in allen Regionen und in allen Mitgliedskonten erstellt wird. Auf der Seite Trails werden die Trails in Ihrem Konto aus allen Regionen angezeigt. Veröffentlicht in etwa 5 Minuten CloudTrail Protokolldateien, in denen die in Ihrer Organisation getätigten AWS API Anrufe aufgeführt sind. Sie können die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket anzeigen.