Filtrado de los eventos de datos mediante selectores de eventos avanzados - AWS CloudTrail
¿Cómo CloudTrail se evalúan las condiciones múltiples de un campoFiltrado de eventos de datos por eventNameFiltrado de eventos de datos por resources.ARNFiltrado de eventos de datos por el valor readOnly

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Filtrado de los eventos de datos mediante selectores de eventos avanzados

En esta sección se describe cómo puede usar los selectores de eventos avanzados para crear selectores detallados que le ayuden a controlar los costos al registrar únicamente los eventos de datos específicos que le interesen.

Por ejemplo:

  • Puedes incluir o excluir API llamadas específicas añadiendo un filtro en el eventName campo.

  • Puede incluir o excluir el registro de recursos específicos si agrega un filtro en el campo resources.ARN. Por ejemplo, si estuviera registrando eventos de datos de S3, podría excluir el registro del bucket de S3 de su registro de seguimiento.

  • Puede optar por registrar únicamente los eventos de solo escritura o los eventos de solo lectura si agrega un filtro en el campo readOnly.

La siguiente tabla proporciona información adicional sobre los campos configurables para los selectores de eventos avanzados.

Campo Obligatorio Operadores válidos Descripción

eventCategory

Equals

Este campo está configurado en Data para registrar eventos de datos.

Soportado en los senderos:

Compatible con los almacenes de datos de eventos:

resources.type

Equals

Este campo se usa para seleccionar el tipo de recurso cuyos eventos de datos quiere registrar. La tabla Eventos de datos muestra los valores posibles.

Compatible con senderos:

Compatible con los almacenes de datos de eventos:

readOnly

No

Equals

Se trata de un campo opcional que se utiliza para incluir o excluir eventos de datos en función del valor readOnly. Un valor de true registra eventos de solo lectura. Un valor de false registra eventos de solo escritura. Si no agrega este campo, CloudTrail registra los eventos de lectura y escritura.

Compatible con los senderos:

Compatible con los almacenes de datos de eventos:

eventName

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Se trata de un archivo opcional que se utiliza para filtrar o filtrar cualquier evento de datos registrado CloudTrail, como o. PutBucket GetSnapshotBlock

Si utiliza el AWS CLI, puede especificar varios valores separando cada valor con una coma.

Si utiliza la consola, puede especificar varios valores creando una condición para cada eventName que quiera usar para filtrar.

Compatible con los senderos: sí

Compatible con los almacenes de datos de eventos:

resources.ARN

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Se trata de un campo opcional que se utiliza para excluir o incluir eventos de datos de un recurso específico proporcionando el resources.ARN. Puedes usar cualquier operador conresources.ARN, pero si usas Equals oNotEquals, el valor debe coincidir exactamente con el ARN de un recurso válido para el resources.type que hayas especificado. Para registrar todos los eventos de datos de todos los objetos de un bucket de S3 específico, utilice el StartsWith operador e incluya solo el bucket ARN como valor coincidente.

Si utiliza el AWS CLI, puede especificar varios valores separando cada valor con una coma.

Si utiliza la consola, puede especificar varios valores creando una condición para cada resources.ARN que quiera usar para filtrar.

Compatible con los senderos: sí

Compatible con los almacenes de datos de eventos:

eventSource

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Puede usarlo para incluir o excluir fuentes de eventos específicas. Por lo general, eventSource es una forma abreviada del nombre del servicio sin espacios más.amazonaws.com. Por ejemplo, puedes configurar eventSource Equals que registre solo ec2.amazonaws.com los eventos de EC2 datos de Amazon.

Compatible con los senderos: no

Compatible con los almacenes de datos de eventos:

eventType

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Lo eventTypeque se debe incluir o excluir. Por ejemplo, puede configurar este campo NotEquals AwsServiceEvent para que excluya Servicio de AWS eventos.

Compatible con los senderos: no

Compatible con los almacenes de datos de eventos:

sessionCredentialFromConsole

No

Equals

NotEquals

Incluya o excluya los eventos que se originan en una AWS Management Console sesión. Este campo se puede establecer en Equals o NotEquals con un valor detrue.

Compatible con senderos: no

Compatible con los almacenes de datos de eventos:

userIdentity.arn

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Incluya o excluya eventos para las acciones realizadas por IAM identidades específicas. Para obtener más información, consulte CloudTrail userIdentity el elemento.

Soportado en senderos: No

Compatible con los almacenes de datos de eventos:

Para registrar eventos de datos mediante la CloudTrail consola, elija la opción Eventos de datos y, a continuación, seleccione el tipo de recurso de interés al crear o actualizar un banco de datos de senderos o eventos. La tabla de eventos de datos muestra los posibles tipos de recursos que puede elegir en la CloudTrail consola.

Selección del tipo de recurso SNStemático en la consola.

Para registrar eventos de datos con el AWS CLI, configure el --advanced-event-selector parámetro para establecer un valor eventCategory igual Data y un resources.type valor igual al valor del tipo de recurso para el que desea registrar los eventos de datos. La tabla Eventos de datos muestra los tipos de recursos disponibles.

Por ejemplo, si quiere registrar los eventos de datos de todos los grupos de identidades de Cognito, debe configurar el parámetro --advanced-event-selectors como se muestra a continuación:

--advanced-event-selectors '[
    {
       "Name": "Log Cognito data events on Identity pools",
       "FieldSelectors": [
         { "Field": "eventCategory", "Equals": ["Data"] },
         { "Field": "resources.type", "Equals": ["AWS::Cognito::IdentityPool"] }
       ]
     }
]'

El ejemplo anterior registra todos los eventos de datos de Cognito en los grupos de identidades. Puede refinar aún más los selectores de eventos avanzados para filtrar por los campos eventName, readOnly y resources.ARN y registrar eventos específicos que le interesen o excluir los que no le interesen.

Puede configurar los selectores de eventos avanzados para filtrar eventos de datos en función de varios campos. Por ejemplo, puede configurar selectores de eventos avanzados para registrar todas las DeleteObject API llamadas PutObject y llamadas de Amazon S3, pero excluir el registro de eventos de un bucket de S3 específico, como se muestra en el siguiente ejemplo. Reemplace amzn-s3-demo-bucket con el nombre de su bucket.

--advanced-event-selectors
'[
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  }
]'

También puede incluir varias condiciones para un campo. Para obtener información sobre cómo se evalúan varias condiciones, consulte ¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo.

Puede utilizar los selectores de eventos avanzados para registrar tanto eventos de administración como de datos. Para registrar los eventos de datos para varios tipos de recursos, agregue una instrucción del selector de campos para cada tipo de recurso cuyos eventos de datos quiera registrar.

nota

Los registros de seguimiento pueden usar selectores de eventos avanzados básicos, pero no ambos. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.

Los selectores no admiten el uso de caracteres comodín como. * Para hacer coincidir varios valores con una sola condición, puede usarStartsWith, EndsWithNotStartsWith, o NotEndsWith hacer coincidir explícitamente el principio o el final del campo de evento.

¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo

En el caso de los selectores de eventos avanzados, CloudTrail evalúa varias condiciones de un campo de la siguiente manera:

  • DESELECTlos operadores están juntosAND. Si se cumple alguna de las condiciones del DESELECT operador, el evento no se entrega. Estos son los DESELECT operadores válidos para los selectores de eventos avanzados:

    • NotEndsWith

    • NotEquals

    • NotStartsWith

  • SELECTlos operadores están agrupados en OR juntos. Estos son los SELECT operadores válidos para los selectores de eventos avanzados:

    • EndsWith

    • Equals

    • StartsWith

  • Las combinaciones de DESELECT operadores SELECT y siguen las reglas anteriores y ambos grupos se AND agrupan.

Ejemplo que muestra varias condiciones para el campo resources.ARN

En el siguiente ejemplo, la instrucción del selector de eventos recopila eventos de datos para el tipo de recurso AWS::S3::Object y aplica varias condiciones en el campo resources.ARN.

{
    "Name": "S3Select",
    "FieldSelectors": [
      {
        "Field": "eventCategory",
        "Equals": [
          "Data"
        ]
      },
      {
        "Field": "resources.type",
        "Equals": [
          "AWS::S3::Object"
        ]
      },
      {
        "Field": "resources.ARN",
        "Equals": [
          "arn:aws:s3:::amzn-s3-demo-bucket/object1"
        ],
        "StartsWith": [
          "arn:aws:s3:::amzn-s3-demo-bucket/"
        ],
        "EndsWith": [
          "object3"
        ],
        "NotStartsWith": [
          "arn:aws:s3:::amzn-s3-demo-bucket/deselect"
        ],
        "NotEndsWith": [
          "object5"
        ],
        "NotEquals": [
          "arn:aws:s3:::amzn-s3-demo-bucket/object6"
        ]
      }
    ]
  }

En el ejemplo anterior, los eventos de datos de Amazon S3 para el recurso AWS::S3::Object se entregarán si:

  1. No se cumple ninguna de estas condiciones para el DESELECT operador:

    • el campo resources.ARN NotStartsWith el valor arn:aws:s3:::amzn-s3-demo-bucket/deselect

    • el campo resources.ARN NotEndsWith el valor object5

    • el campo resources.ARN NotEquals el valor arn:aws:s3:::amzn-s3-demo-bucket/object6

  2. Se cumple al menos una de las siguientes condiciones SELECT del operador:

    • el campo resources.ARN Equals el valor arn:aws:s3:::amzn-s3-demo-bucket/object1

    • el campo resources.ARN StartsWith el valor arn:aws:s3:::amzn-s3-demo-bucket/

    • el campo resources.ARN EndsWith el valor object3

Según la lógica de evaluación:

  1. Los eventos de datos de amzn-s3-demo-bucket/object1 se entregarán porque coincide con el valor del operador Equals y no coincide con ninguno de los valores de los operadores NotStartsWith, NotEndsWith y NotEquals.

  2. El evento de datos de amzn-s3-demo-bucket/object2 se entregará porque coincide con el valor del operador StartsWith y no coincide con ninguno de los valores de los operadores NotStartsWith, NotEndsWith y NotEquals.

  3. Los eventos de datos de amzn-s3-demo-bucket1/object3 se entregarán porque coincide con el operador EndsWith y no coincide con ninguno de los valores de los operadores NotStartsWith, NotEndsWith y NotEquals.

  4. Los eventos de datos de arn:aws:s3:::amzn-s3-demo-bucket/deselectObject4 no se entregarán porque coincide con la condición de NotStartsWith, aunque coincida con la condición del operador StartsWith.

  5. Los eventos de datos de arn:aws:s3:::amzn-s3-demo-bucket/object5 no se entregarán porque coincide con la condición de NotEndsWith, aunque coincida con la condición del operador StartsWith.

  6. Los eventos de datos de arn:aws:s3:::amzn-s3-demo-bucket/object6 no se entregarán porque coincide con la condición del operador NotEquals, aunque coincida con la condición del operador StartsWith.

Filtrado de eventos de datos por eventName

Con los selectores de eventos avanzados, puede incluir o excluir eventos en función del valor del campo eventName. Filtrar por eventName ellos puede ayudar a controlar los costos, ya que se evitan incurrir en costos cuando se registran eventos de datos, Servicio de AWS lo que permite admitir nuevos datosAPIs.

Puede utilizar cualquier operador con el campo eventName. Puede usarlo para filtrar o filtrar cualquier evento de datos registrado, como o. CloudTrail PutBucket GetSnapshotBlock

Filtrar eventos de datos mediante el eventNameAWS Management Console

Realice los siguientes pasos para filtrar en el eventName campo mediante la CloudTrail consola.

  1. Siga los pasos del procedimiento Creación de un registro de seguimiento o Creación de un almacén de datos de eventos.

  2. Cuando siga los pasos para crear el registro de seguimiento o el almacén de datos de eventos, seleccione lo siguiente:

    1. Seleccione Eventos de datos.

    2. Elija el tipo de recurso para el que desea registrar los eventos de datos.

    3. En Plantilla de selector de registros, seleccione Personalizado.

    4. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si amplía la JSONvista.

    5. En Selectores de eventos avanzados, haga lo siguiente para filtrar por eventName:

      1. En Campo, elija eventName.

      2. En Operador, elija el operador de condición. En este ejemplo, elegiremos equals porque queremos registrar una API llamada específica.

      3. En Valor, escriba el nombre del evento por el que quiere filtrar.

      4. Para filtrar por otro eventName, seleccione + Condición. Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo.

      Filtrado de eventos de datos de S3 por eventName

    6. Elija +Campo para agregar filtros a otros campos.

Filtrar eventos de datos eventName mediante el AWS CLI

Con el AWS CLI, puede filtrar el eventName campo para incluir o excluir eventos específicos.

Si va a actualizar un registro de seguimiento o un almacén de datos de eventos existente para registrar selectores de eventos adicionales, puede obtener los selectores de eventos actuales si ejecuta el comando get-event-selectors para un registro de seguimiento o el comando get-event-data-store para un almacén de datos de eventos. A continuación, actualice los selectores de eventos para agregar un selector de campo para cada tipo de recurso de datos que desee registrar.

En el siguiente ejemplo, se registran los eventos de datos de S3 en un registro de seguimiento. --advanced-event-selectorsEstán configurados para registrar solo los eventos de datos de las DeleteObject API llamadas GetObjectPutObject, y.

aws cloudtrail put-event-selectors \
--trail-name trailName \
--advanced-event-selectors '[
  {
    "Name": "Log GetObject, PutObject and DeleteObject S3 data events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["GetObject","PutObject","DeleteObject"] }
    ]
  }
]'

En el siguiente ejemplo, se crea un nuevo almacén de datos de eventos que registra los eventos de datos de EBS DirectAPIs, pero excluye las ListChangedBlocks API llamadas. Puede usar el update-event-data-storecomando para actualizar un banco de datos de eventos existente.

aws cloudtrail create-event-data-store \
--name "eventDataStoreName"
--advanced-event-selectors '[
    {
        "Name": "Log all EBS Direct API data events except ListChangedBlocks",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["Data"] },
            { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] },
            { "Field": "eventName", "NotEquals": ["ListChangedBlocks"] }
         ]
    }
]'

Filtrado de eventos de datos por resources.ARN

Con los selectores de eventos avanzados, puede filtrar por el valor del campo resources.ARN.

Puede usar cualquier operador conresources.ARN, pero si usa Equals oNotEquals, el valor debe coincidir exactamente con el ARN de un recurso válido para el resources.type valor que haya especificado. Para registrar todos los eventos de datos de todos los objetos de un bucket de S3 específico, utilice el StartsWith operador e incluya solo el bucket ARN como valor coincidente.

En la siguiente tabla se muestra el ARN formato válido de cada unoresources.type.

nota

No puede usar el resources.ARN campo para filtrar los tipos de recursos que no lo tienenARNs.

resources.type recursos. ARN
AWS::DynamoDB::Table1 
arn:partition:dynamodb:region:account_ID:table/table_name
AWS::Lambda::Function 
arn:partition:lambda:region:account_ID:function:function_name

AWS::S3::Object2

 
arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
AWS::AIOps::InvestigationGroup 
arn:partition:aiops:region:account_ID:investigation-group/investigation_group_ID
AWS::AppConfig::Configuration 
arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
AWS::AppSync::GraphQL 
arn:partition:appsync:region:account_ID:apis/GraphQL_API_ID
AWS::B2BI::Transformer 
arn:partition:b2bi:region:account_ID:transformer/transformer_ID
AWS::Backup::SearchJob 
arn:partition:backup-search:region:account_ID:search-job/search_job_ID
AWS::Bedrock::AgentAlias 
arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
AWS::Bedrock::AsyncInvoke 
arn:partition:bedrock:region:account_ID:async-invoke/async_invoke_ID
AWS::Bedrock::FlowAlias 
arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
AWS::Bedrock::Guardrail 
arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
AWS::Bedrock::InlineAgent 
arn:partition:bedrock:region:account_ID:INLINE_AGENT_UUID
AWS::Bedrock::KnowledgeBase 
arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
AWS::Bedrock::Model

ARNDebe estar en uno de los siguientes formatos:

  • arn:partition:bedrock:region::foundation-model/resource_ID

  • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

  • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
AWS::Cassandra::Table 
arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
AWS::CloudFront::KeyValueStore 
arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
AWS::CloudTrail::Channel 
arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
AWS::CodeGuruProfiler::ProfilingGroup 
arn:partition:codeguru-profiler:region:account_ID:profilingGroup/profiling_group_name
AWS::CodeWhisperer::Customization 
arn:partition:codewhisperer:region:account_ID:customization/customization_ID
AWS::CodeWhisperer::Profile 
arn:partition:codewhisperer:region:account_ID:profile/profile_ID
AWS::Cognito::IdentityPool 
arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
AWS::DataExchange::Asset 
arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
AWS::Deadline::Fleet 
arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
AWS::Deadline::Job 
arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
AWS::Deadline::Queue 
arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
AWS::Deadline::Worker 
arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
AWS::DynamoDB::Stream 
arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
AWS::EC2::Snapshot 
arn:partition:ec2:region::snapshot/snapshot_ID
AWS::EMRWAL::Workspace 
arn:partition:emrwal:region:account_ID:workspace/workspace_name
AWS::FinSpace::Environment 
arn:partition:finspace:region:account_ID:environment/environment_ID
AWS::Glue::Table 
arn:partition:glue:region:account_ID:table/database_name/table_name
AWS::GreengrassV2::ComponentVersion 
arn:partition:greengrass:region:account_ID:components/component_name
AWS::GreengrassV2::Deployment 
arn:partition:greengrass:region:account_ID:deployments/deployment_ID
AWS::GuardDuty::Detector 
arn:partition:guardduty:region:account_ID:detector/detector_ID
AWS::IoT::Certificate 
arn:partition:iot:region:account_ID:cert/certificate_ID
AWS::IoT::Thing 
arn:partition:iot:region:account_ID:thing/thing_ID
AWS::IoTSiteWise::Asset 
arn:partition:iotsitewise:region:account_ID:asset/asset_ID
AWS::IoTSiteWise::TimeSeries 
arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity 
arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
AWS::IoTTwinMaker::Workspace 
arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan 
arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream 
arn:partition:kinesis:region:account_ID:stream/stream_name
AWS::Kinesis::StreamConsumer 
arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
AWS::KinesisVideo::Stream 
arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
AWS::GeoMaps::Provider 
arn:partition:geo-maps:region::provider/provider_ID
AWS::GeoPlaces::Provider 
arn:partition:geo-places:region::provider/provider_ID
AWS::GeoRoutes::Provider 
arn:partition:geo-route:region::provider/provider_ID
AWS::MachineLearning::MlModel 
arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
AWS::ManagedBlockchain::Network 
arn:partition:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node 
arn:partition:managedblockchain:region:account_ID:nodes/node_ID
AWS::MedicalImaging::Datastore 
arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
AWS::MWAA::Environment 
arn:partition:airflow:region:account_ID:environment/environment_name
AWS::NeptuneGraph::Graph 
arn:partition:neptune-graph:region:account_ID:graph/graph_ID
AWS::One::UKey 
arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
AWS::One::User 
arn:partition:one:region:account_ID:user/user_ID
AWS::PaymentCryptography::Alias 
arn:partition:payment-cryptography:region:account_ID:alias/alias
AWS::PaymentCryptography::Key 
arn:partition:payment-cryptography:region:account_ID:key/key_ID
AWS::PCAConnectorAD::Connector 
arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
AWS::PCAConnectorSCEP::Connector 
arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
AWS::QApps::QApp 
arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
AWS::QApps::QAppSession 
arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID/session/session_UUID
AWS::QBusiness::Application 
arn:partition:qbusiness:region:account_ID:application/application_ID
AWS::QBusiness::DataSource 
arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
AWS::QBusiness::Index 
arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
AWS::QBusiness::WebExperience 
arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
AWS::QDeveloper::Integration 
arn:partition:qdeveloper:region:account_ID:integration/integration_ID
AWS::RDS::DBCluster 
arn:partition:rds:region:account_ID:cluster/cluster_name
AWS::ResourceExplorer2::ManagedView 
arn:partition:resource-explorer-2:region:account_ID:managed-view/view_name/view_UUID
AWS::ResourceExplorer2::View 
arn:partition:resource-explorer-2:region:account_ID:view/view_name/view_UUID
AWS::RUM::AppMonitor 
arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

AWS::S3::AccessPoint3

 
arn:partition:s3:region:account_ID:accesspoint/access_point_name

AWS::S3Express::Object

 
arn:partition:s3express:region:account_ID:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint 
arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
AWS::S3Outposts::Object 
arn:partition:s3-outposts:region:account_ID:object_path
AWS::S3Tables::Table 
arn:partition:s3tables:region:account_ID:bucket/bucket_name/table/table_ID
AWS::S3Tables::TableBucket 
arn:partition:s3tables:region:account_ID:bucket/bucket_name
AWS::SageMaker::Endpoint 
arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent 
arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup 
arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
AWS::SCN::Instance 
arn:partition:scn:region:account_ID:instance/instance_ID
AWS::SDB::Domain 
arn:partition:sdb:region:account_ID:domain/domain_name
AWS::ServiceDiscovery::Namespace 
arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
AWS::ServiceDiscovery::Service 
arn:partition:servicediscovery:region:account_ID:service/service_ID
AWS::Signer::SigningJob 
arn:partition:signer:region:account_ID:job_owner/signing-jobs/job_UUID
AWS::Signer::SigningProfile 
arn:partition:signer:region:account_ID:profile_owner/signing-profiles/profile_name
AWS::SitewiseAssistant::Conversation 
arn:partition:sitewise-assistant:region:account_ID:conversation/conversation_ID
AWS::SMSVoice::Message

arn:partition:sms-voice:region:account_ID:message/message_ID
AWS::SMSVoice::OriginationIdentity

arn:partition:sms-voice:region:account_ID:.*$
AWS::SNS::PlatformEndpoint 
arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
AWS::SNS::Topic 
arn:partition:sns:region:account_ID:topic_name
AWS::SocialMessaging::PhoneNumberId

arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
AWS::SocialMessaging::WabaId

arn:partition:social-messaging:region:account_ID:waba/waba_ID
AWS::SQS::Queue 
arn:partition:sqs:region:account_ID:queue_name
AWS::SSM::ManagedNode

ARNDebe estar en uno de los siguientes formatos:

  • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

  • arn:partition:ec2:region:account_ID:instance/instance_ID
AWS::SSMMessages::ControlChannel 
arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine

ARNDebe estar en uno de los siguientes formatos:

  • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

  • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
AWS::SWF::Domain 
arn:partition:swf:region:account_ID:/domain/domain_name
AWS::ThinClient::Device 
arn:partition:thinclient:region:account_ID:device/device_ID
AWS::ThinClient::Environment 
arn:partition:thinclient:region:account_ID:environment/environment_ID
AWS::Timestream::Database 
arn:partition:timestream:region:account_ID:database/database_name
AWS::Timestream::Table 
arn:partition:timestream:region:account_ID:database/database_name/table/table_name
AWS::VerifiedPermissions::PolicyStore 
arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

1 Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir eventos de flujos, agregue un filtro en el campo eventName.

2 Para registrar todos los eventos de datos de todos los objetos de un depósito de S3 específico, utilice el StartsWith operador e incluya solo el depósito ARN como valor coincidente. La barra diagonal final es intencional; no la excluya.

3 Para registrar los eventos de todos los objetos de un punto de acceso S3, le recomendamos que utilice solo el punto de accesoARN, no incluya la ruta del objeto y utilice los NotStartsWith operadores StartsWith o.

Filtrar los eventos de datos resources.ARN mediante el AWS Management Console

Realice los siguientes pasos para filtrar en el resources.ARN campo mediante la CloudTrail consola.

  1. Siga los pasos del procedimiento Creación de un registro de seguimiento o Creación de un almacén de datos de eventos.

  2. Cuando siga los pasos para crear el registro de seguimiento o el almacén de datos de eventos, seleccione lo siguiente:

    1. Seleccione Eventos de datos.

    2. Elija el tipo de recurso para el que desea registrar los eventos de datos.

    3. En Plantilla de selector de registros, seleccione Personalizado.

    4. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si amplía la JSONvista.

    5. En Selectores de eventos avanzados, haga lo siguiente para filtrar por resources.ARN:

      1. En Field, selecciona recursos. ARN.

      2. En Operador, elija el operador de condición. En este ejemplo, seleccionaremos comienza por porque queremos registrar los eventos de datos de un bucket de S3 específico.

      3. En Valor, introduzca el valor ARN para su tipo de recurso (por ejemplo,arn:aws:s3:::amzn-s3-demo-bucket).

      4. Para filtrar otro resources.ARN, seleccione + Condición. Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo.

      Filtrado de eventos de datos de S3 por resources.ARN

    6. Elija +Campo para agregar filtros a otros campos.

Filtrar eventos de datos resources.ARN mediante el AWS CLI

Con el AWS CLI, puede filtrar el resources.ARN campo para registrar los eventos de un campo específico ARN o excluir el registro de uno específicoARN.

Si va a actualizar un registro de seguimiento o un almacén de datos de eventos existente para registrar selectores de eventos adicionales, puede obtener los selectores de eventos actuales si ejecuta el comando get-event-selectors para un registro de seguimiento o el comando get-event-data-store para un almacén de datos de eventos. A continuación, actualice los selectores de eventos para agregar un selector de campo para cada tipo de recurso de datos que desee registrar.

El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya eventos de datos para todos los objetos de Amazon S3 en un bucket de S3 específico. El valor de los eventos de S3 para el campo resources.type es AWS::S3::Object. Como los ARN valores de los objetos de S3 y los cubos de S3 son ligeramente diferentes, debe añadir el StartsWith operador resources.ARN para capturar todos los eventos.

aws cloudtrail put-event-selectors \ 
--trail-name TrailName \ 
--region region \
--advanced-event-selectors \
'[
    {
        "Name": "S3EventSelector",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
            ]
    }
]'

Filtrado de eventos de datos por el valor readOnly

Con los selectores de eventos avanzados, puede filtrar según el valor del campo readOnly.

Solo puede utilizar el operador Equals con el campo readOnly. Puede establecer el valor readOnly en true o false. Si no agrega este campo, CloudTrail registra los eventos de lectura y escritura. Un valor de true registra eventos de solo lectura. Un valor de false registra eventos de solo escritura.

Filtrar los eventos de datos por readOnly valor mediante AWS Management Console

Realice los siguientes pasos para filtrar en el readOnly campo mediante la CloudTrail consola.

  1. Siga los pasos del procedimiento Creación de un registro de seguimiento o Creación de un almacén de datos de eventos.

  2. Cuando siga los pasos para crear el registro de seguimiento o el almacén de datos de eventos, seleccione lo siguiente:

    1. Seleccione Eventos de datos.

    2. Elija el tipo de recurso para el que desea registrar los eventos de datos.

    3. En Plantilla de selector de registros, elija la plantilla adecuada según su caso de uso.

      nota

      Las plantillas Registrar solo AWS Management Console eventos y Excluir eventos AWS iniciados por el servicio solo están disponibles para los almacenes de datos de eventos.

      Selección de la plantilla de selector de registros para eventos de datos
      Si tiene previsto hacer esto Elija esta plantilla de selector de registros

      Registrar únicamente eventos de lectura y no aplicar ningún otro filtro (por ejemplo, al valor resources.ARN).

      Registra solo los eventos de lectura

      Registrar únicamente eventos de escritura y no aplicar ningún otro filtro (por ejemplo, al valor resources.ARN).

      Registra solo eventos de escritura

      Filtrar por el valor readOnly y aplicar filtros adicionales (por ejemplo, al valor resources.ARN).

      Personalizada

      En Selectores de eventos avanzados, haga lo siguiente para filtrar por el valor readOnly:

      Registro de eventos de escritura

      1. Para Field, elija readOnly.

      2. En Operador, seleccione equals.

      3. En Valor, introduzca false.

      4. Elija +Campo para agregar filtros a otros campos.

      Registro eventos de lectura

      1. Para Campo, elija readOnly.

      2. En Operador, seleccione equals.

      3. En Valor, introduzca true.

      4. Elija +Campo para agregar filtros a otros campos.

Filtrar los eventos de datos por readOnly valor mediante el AWS CLI

Con el AWS CLI, puede filtrar en el readOnly campo.

Solo puede utilizar el operador Equals con el campo readOnly. Puede establecer el valor readOnly en true o false. Si no agrega este campo, CloudTrail registra los eventos de lectura y escritura. Un valor de true registra eventos de solo lectura. Un valor de false registra eventos de solo escritura.

Si va a actualizar un registro de seguimiento o un almacén de datos de eventos existente para registrar selectores de eventos adicionales, puede obtener los selectores de eventos actuales si ejecuta el comando get-event-selectors para un registro de seguimiento o el comando get-event-data-store para un almacén de datos de eventos. A continuación, actualice los selectores de eventos para agregar un selector de campo para cada tipo de recurso de datos que desee registrar.

El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que registre eventos de datos de solo lectura para todos los objetos de Amazon S3.

aws cloudtrail put-event-selectors \
--trail-name TrailName \
--region region \
--advanced-event-selectors '[
    {
            "Name": "Log read-only S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "readOnly", "Equals": ["true"] }
            ]
    }
]'

El siguiente ejemplo crea un nuevo banco de datos de eventos que registra solo los eventos de datos de solo escritura para EBS Direct. APIs Puede usar el update-event-data-storecomando para actualizar un banco de datos de eventos existente.

aws cloudtrail create-event-data-store \
--name "eventDataStoreName" \
--advanced-event-selectors \
'[
    {
            "Name": "Log write-only EBS Direct API data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] },
                { "Field": "readOnly", "Equals": ["false"] }
            ]
     }
]'