Memperbarui jejak dengan CloudTrail konsol - AWS CloudTrail
Memperbarui pengaturan peristiwa data dengan pemilih acara dasar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui jejak dengan CloudTrail konsol

Bagian ini menjelaskan cara mengubah pengaturan jejak.

Untuk memperbarui jejak wilayah Tunggal untuk mencatat peristiwa Wilayah AWS di semua AWS partisi tempat Anda bekerja, atau memperbarui jejak Multi-wilayah untuk mencatat peristiwa hanya di satu Wilayah, Anda harus menggunakan. AWS CLI Untuk informasi selengkapnya tentang cara memperbarui jejak wilayah Tunggal untuk mencatat peristiwa di semua Wilayah, lihatMengonversi jejak yang berlaku untuk satu Wilayah untuk diterapkan ke semua Wilayah. Untuk informasi selengkapnya tentang cara memperbarui jejak Multi-wilayah untuk mencatat peristiwa di satu Wilayah, lihatMengubah jejak Multi-wilayah menjadi jalur Single-region.

Jika Anda telah mengaktifkan peristiwa CloudTrail manajemen di Amazon Security Lake, Anda diharuskan untuk mempertahankan setidaknya satu jejak organisasi yaitu Multi-wilayah dan mencatat keduanya read dan peristiwa write manajemen. Anda tidak dapat memperbarui jejak kualifikasi sedemikian rupa sehingga gagal memenuhi persyaratan Security Lake. Misalnya, dengan mengubah jejak ke wilayah Tunggal, atau dengan mematikan pencatatan read atau acara write pengelolaan.

catatan

CloudTrail memperbarui jejak organisasi di akun anggota meskipun validasi sumber daya gagal. Contoh kegagalan validasi meliputi:

  • kebijakan bucket Amazon S3 yang salah

  • kebijakan SNS topik Amazon yang salah

  • ketidakmampuan untuk mengirimkan ke grup CloudWatch log Log

  • izin yang tidak memadai untuk mengenkripsi menggunakan kunci KMS

Akun anggota dengan CloudTrail izin dapat melihat kegagalan validasi apa pun untuk jejak organisasi dengan melihat halaman detail jejak di CloudTrail konsol, atau dengan menjalankan AWS CLI get-trail-statusperintah.

Untuk memperbarui jejak dengan AWS Management Console

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Di panel navigasi, pilih Jalur, lalu pilih nama jejak.

  3. Dalam Rincian umum, pilih Edit untuk mengubah pengaturan berikut. Anda tidak dapat mengubah nama jejak.

    • Terapkan jejak ke organisasi saya - Ubah apakah jejak ini adalah jejak AWS Organizations organisasi.

      catatan

      Hanya akun manajemen untuk organisasi yang dapat mengubah jejak organisasi menjadi jejak non-organisasi, atau mengubah jejak non-organisasi menjadi jejak organisasi.

    • Lokasi log jejak - Ubah nama bucket atau awalan S3 tempat Anda menyimpan log untuk jejak ini.

    • File log SSE - KMS enkripsi - Pilih untuk mengaktifkan atau menonaktifkan enkripsi file log dengan SSE - KMS bukan -S3. SSE

    • Validasi file log - Pilih untuk mengaktifkan atau menonaktifkan validasi integritas file log.

    • SNSpengiriman notifikasi - Pilih untuk mengaktifkan atau menonaktifkan pemberitahuan Amazon Simple Notification Service (AmazonSNS) bahwa file log telah dikirim ke bucket yang ditentukan untuk jejak.

    1. Untuk mengubah jejak ke jejak AWS Organizations organisasi, Anda dapat memilih untuk mengaktifkan jejak untuk semua akun di organisasi Anda. Untuk informasi selengkapnya, lihat Membuat jejak untuk organisasi.

    2. Untuk mengubah bucket yang ditentukan di lokasi Storage, pilih Create new S3 bucket untuk membuat bucket. Saat Anda membuat bucket, CloudTrail membuat dan menerapkan kebijakan bucket yang diperlukan. Jika Anda memilih untuk membuat bucket S3 baru, IAM kebijakan Anda harus menyertakan izin untuk s3:PutEncryptionConfiguration tindakan tersebut karena secara default enkripsi sisi server diaktifkan untuk bucket.

      catatan

      Jika Anda memilih Gunakan bucket S3 yang ada, tentukan bucket di nama bucket log Trail, atau pilih Browse untuk memilih bucket. Kebijakan bucket harus memberikan CloudTrail izin untuk menulis ke sana. Untuk informasi tentang mengedit kebijakan bucket secara manual, lihatKebijakan bucket Amazon S3 untuk CloudTrail.

      Untuk mempermudah menemukan log Anda, buat folder baru (juga dikenal sebagai awalan) di bucket yang ada untuk menyimpan CloudTrail log Anda. Masukkan awalan di Awalan.

    3. Untuk file Log SSE - KMS enkripsi, pilih Diaktifkan jika Anda ingin mengenkripsi file log Anda menggunakan KMS enkripsi SSE - bukan enkripsi SSE -S3. Defaultnya adalah Diaktifkan. Jika Anda tidak mengaktifkan SSE - KMS enkripsi, log Anda dienkripsi menggunakan enkripsi SSE -S3. Untuk informasi selengkapnya tentang SSE - KMS enkripsi, lihat Menggunakan enkripsi sisi server dengan AWS Key Management Service (SSE-). KMS Untuk informasi selengkapnya tentang enkripsi SSE -S3, lihat Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (-S3). SSE

      Jika Anda mengaktifkan SSE - KMS enkripsi, pilih New atau Existing AWS KMS key. Di AWS KMS Alias, tentukan alias, dalam format alias/MyAliasNameUntuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

      catatan

      Anda juga dapat ARN mengetikkan kunci dari akun lain. Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol. Kebijakan kunci harus memungkinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dalam bentuk tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

    4. Untuk validasi file Log, pilih Diaktifkan agar intisari log dikirimkan ke bucket S3 Anda. Anda dapat menggunakan file intisari untuk memverifikasi bahwa file log Anda tidak berubah setelah CloudTrail dikirimkan. Untuk informasi selengkapnya, lihat Memvalidasi CloudTrail integritas file log.

    5. Untuk pengiriman SNS notifikasi, pilih Diaktifkan untuk diberi tahu setiap kali log dikirimkan ke bucket Anda. CloudTrail menyimpan beberapa peristiwa dalam file log. SNSpemberitahuan dikirim untuk setiap file log, bukan untuk setiap acara. Untuk informasi selengkapnya, lihat Mengonfigurasi SNS notifikasi Amazon untuk CloudTrail.

      Jika Anda mengaktifkan SNS notifikasi, untuk Membuat SNS topik baru, pilih Baru untuk membuat topik, atau pilih Ada untuk menggunakan topik yang ada. Jika Anda membuat jejak yang berlaku untuk semua Wilayah, SNS pemberitahuan untuk pengiriman file log dari semua Wilayah dikirim ke satu SNS topik yang Anda buat.

      Jika Anda memilih Baru, CloudTrail menentukan nama untuk topik baru untuk Anda, atau Anda dapat mengetikkan nama. Jika Anda memilih Ada, pilih SNS topik dari daftar drop-down. Anda juga dapat memasukkan topik dari Wilayah lain atau dari akun dengan izin yang sesuai. ARN Untuk informasi selengkapnya, lihat Kebijakan SNS topik Amazon untuk CloudTrail.

      Jika Anda membuat topik, Anda harus berlangganan topik untuk diberitahu tentang pengiriman file log. Anda dapat berlangganan dari SNS konsol Amazon. Karena frekuensi notifikasi, kami menyarankan Anda mengonfigurasi langganan untuk menggunakan SQS antrian Amazon untuk menangani notifikasi secara terprogram. Untuk informasi selengkapnya, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.

  4. Di CloudWatch Log, pilih Edit untuk mengubah pengaturan pengiriman file CloudTrail log ke CloudWatch Log. Pilih Diaktifkan di CloudWatch Log untuk mengaktifkan pengiriman file log. Untuk informasi selengkapnya, lihat Mengirim acara ke CloudWatch Log.

    1. Jika Anda mengaktifkan integrasi dengan CloudWatch Log, pilih Baru untuk membuat grup log baru, atau Ada untuk menggunakan yang sudah ada. Jika Anda memilih Baru, CloudTrail menentukan nama untuk grup log baru untuk Anda, atau Anda dapat mengetikkan nama.

    2. Jika Anda memilih Ada, pilih grup log dari daftar drop-down.

    3. Pilih Baru untuk membuat IAM peran baru bagi izin untuk mengirim log ke CloudWatch Log. Pilih Ada untuk memilih IAM peran yang ada dari daftar drop-down. Pernyataan kebijakan untuk peran baru atau yang sudah ada ditampilkan saat Anda memperluas dokumen Kebijakan. Untuk informasi selengkapnya tentang peran ini, silakan lihat Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

      catatan

      • Saat mengonfigurasi jejak, Anda dapat memilih bucket S3 dan SNS topik milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.

      • Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan AWS CLI CloudTrail CreateTrail atau UpdateTrail API operasi.

  5. Di Tag, pilih Edit untuk mengubah, menambah, atau menghapus tag di jejak. Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke jejak Anda. Tag dapat membantu Anda mengidentifikasi CloudTrail jejak dan bucket Amazon S3 yang CloudTrail berisi file log. Anda kemudian dapat menggunakan grup sumber daya untuk CloudTrail sumber daya Anda. Untuk informasi selengkapnya, silakan lihat AWS Resource Groups dan Tanda.

  6. Di acara Manajemen, pilih Edit untuk mengubah pengaturan pencatatan peristiwa manajemen.

    1. Untuk APIaktivitas, pilih apakah Anda ingin jejak Anda mencatat peristiwa Baca, Menulis peristiwa, atau keduanya. Untuk informasi selengkapnya, lihat Acara manajemen.

    2. Pilih Kecualikan AWS KMS acara untuk memfilter AWS Key Management Service (AWS KMS) peristiwa dari jejak Anda. Pengaturan default adalah untuk memasukkan semua AWS KMS acara.

      Opsi untuk mencatat atau mengecualikan AWS KMS peristiwa hanya tersedia jika Anda mencatat peristiwa manajemen di jejak Anda. Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.

      AWS KMS tindakan sepertiEncrypt,Decrypt, dan GenerateDataKey biasanya menghasilkan volume besar (lebih dari 99%) peristiwa. Tindakan ini sekarang dicatat sebagai peristiwa Baca. Volume rendah, AWS KMS tindakan yang relevan sepertiDisable,Delete, dan ScheduleKey (yang biasanya menyumbang kurang dari 0,5% dari volume AWS KMS peristiwa) dicatat sebagai peristiwa Tulis.

      Untuk mengecualikan peristiwa bervolume tinggi sepertiEncrypt,Decrypt, danGenerateDataKey, tetapi masih mencatat peristiwa yang relevan sepertiDisable, Delete danScheduleKey, pilih untuk mencatat peristiwa manajemen Tulis, dan kosongkan kotak centang untuk Kecualikan AWS KMS peristiwa.

    3. Pilih Kecualikan API peristiwa RDS Data Amazon untuk memfilter peristiwa Amazon Relational Database Service API Data dari jejak Anda. Pengaturan default adalah untuk menyertakan semua API peristiwa Amazon RDS Data. Untuk informasi selengkapnya tentang API peristiwa RDS Data Amazon, lihat Mencatat API panggilan Data dengan AWS CloudTrail di Panduan RDS Pengguna Amazon untuk Aurora.

  7. penting

    Langkah 7-11 adalah untuk mengonfigurasi peristiwa data menggunakan pemilih acara lanjutan, yang merupakan default. Penyeleksi acara tingkat lanjut memungkinkan Anda mengonfigurasi lebih banyak jenis peristiwa data dan menawarkan kontrol halus atas peristiwa data mana yang ditangkap jejak Anda. Jika Anda berencana untuk mencatat peristiwa aktivitas jaringan (dalam pratinjau), Anda harus menggunakan pemilih acara lanjutan. Jika Anda menggunakan pemilih acara dasar, lihatMemperbarui pengaturan peristiwa data dengan pemilih acara dasar, lalu kembali ke langkah 12 dari prosedur ini.

    Dalam peristiwa Data, pilih Edit untuk mengubah pengaturan pencatatan peristiwa data. Secara default, jejak tidak mencatat peristiwa data. Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

    Untuk tipe peristiwa Data, pilih jenis sumber daya tempat Anda ingin mencatat peristiwa data. Untuk informasi selengkapnya tentang tipe peristiwa data yang tersedia, lihatPeristiwa data.

    catatan

    Untuk mencatat peristiwa data untuk AWS Glue tabel yang dibuat oleh Lake Formation, pilih Lake Formation.

  8. Pilih templat pemilih log. CloudTrail termasuk template standar yang mencatat semua peristiwa data untuk jenis sumber daya. Untuk membuat template pemilih log kustom, pilih Kustom.

    catatan

    Memilih template yang telah ditentukan untuk bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun Anda dan bucket apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun Anda, bahkan jika aktivitas tersebut dilakukan pada bucket milik AWS akun lain.

    Jika jejak hanya berlaku untuk satu Wilayah, memilih templat yang telah ditentukan sebelumnya yang mencatat semua bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di akun Anda. AWS

    Jika Anda membuat jejak untuk semua Wilayah, memilih templat yang telah ditentukan untuk fungsi Lambda memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di akun AWS Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah tersebut di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah tersebut setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.

    Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun Anda, bahkan jika aktivitas tersebut dilakukan pada fungsi milik AWS akun lain.

  9. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

  10. Di Advanced event selectors, buat ekspresi untuk sumber daya spesifik tempat Anda ingin mencatat peristiwa data. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

    1. Pilih dari bidang berikut.

      • readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.

      • eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

      • resources.ARN- Anda dapat menggunakan operator apa pun denganresources.ARN, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type. ARN

        Tabel berikut menunjukkan ARN format yang valid untuk masing-masingresources.type.

        catatan

        Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.

        resources.type sumber daya. ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias 
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail 
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Bedrock::Model

        ARNHarus dalam salah satu format berikut:

        • arn:partition:bedrock:region::foundation-model/resource_ID

        • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

        • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DataExchange::Asset 
        arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
        AWS::Deadline::Fleet 
        arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
        AWS::Deadline::Job 
        arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
        AWS::Deadline::Queue 
        arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
        AWS::Deadline::Worker 
        arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream 
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer 
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel 
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey 
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User 
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias 
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key 
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector 
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp 
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor 
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        		 
        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SocialMessaging::PhoneNumberId

        arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARNHarus dalam salah satu format berikut:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARNHarus dalam salah satu format berikut:

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 Untuk tabel dengan aliran diaktifkan, resources bidang dalam peristiwa data berisi keduanya AWS::DynamoDB::Stream danAWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table untukresources.type, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di eventName bidang.

        2 Untuk mencatat semua peristiwa data untuk semua objek dalam bucket S3 tertentu, gunakan StartsWith operator, dan sertakan hanya bucket ARN sebagai nilai yang cocok. Slash trailing disengaja; jangan mengecualikannya.

        3 Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan NotStartsWith operator StartsWith atau.

      Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Tindakan, sumber daya, dan kunci kondisi di Panduan AWS Identity and Access Management Pengguna.

    2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.

      Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.

      Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

      catatan

      Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

    3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

  11. Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 3 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.

  12. Dalam peristiwa aktivitas jaringan, pilih Edit untuk mengubah pengaturan pencatatan peristiwa aktivitas jaringan. Secara default, jejak tidak mencatat peristiwa aktivitas jaringan. Biaya tambahan berlaku untuk peristiwa aktivitas jaringan logging. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

    catatan

    Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.

    Untuk mencatat peristiwa aktivitas jaringan, lakukan hal berikut:

    1. Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.

    2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti eventName danvpcEndpointId.

    3. (Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

    4. Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

      1. Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.

        • eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey.

        • errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukung errorCode adalahVpceAccessDenied.

        • vpcEndpointId— Mengidentifikasi VPC titik akhir yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.

      2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.

      3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.

    5. Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.

    6. Secara opsional, perluas JSONtampilan untuk melihat pemilih acara lanjutan Anda sebagai JSON blok.

  13. Di acara Wawasan, pilih Edit jika Anda ingin jejak Anda mencatat peristiwa CloudTrail Wawasan.

    Di Jenis acara, pilih Acara Wawasan.

    Di acara Insights, pilih rasio API panggilan, tingkat API kesalahan, atau keduanya. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Wawasan untuk tingkat API panggilan. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk mengetahui tingkat API kesalahan.

    CloudTrail Wawasan menganalisis peristiwa manajemen untuk aktivitas yang tidak biasa, dan mencatat peristiwa saat anomali terdeteksi. Secara default, jejak tidak mencatat peristiwa Wawasan. Untuk informasi selengkapnya tentang peristiwa Wawasan, lihatAcara Logging Insights. Biaya tambahan berlaku untuk acara logging Insights. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

    Peristiwa Insights dikirimkan ke folder berbeda bernama /CloudTrail-Insight bucket S3 yang sama yang ditentukan di area lokasi penyimpanan halaman detail jejak. CloudTrailmenciptakan awalan baru untuk Anda. Misalnya, jika bucket S3 tujuan Anda saat ini diberi namaamzn-s3-demo-bucket/AWSLogs/CloudTrail/, nama bucket S3 dengan awalan baru akan diberi nama. amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/

  14. Setelah Anda selesai mengubah pengaturan di jejak Anda, pilih Perbarui jejak.

Memperbarui pengaturan peristiwa data dengan pemilih acara dasar

Anda dapat menggunakan pemilih acara lanjutan untuk mengonfigurasi semua jenis peristiwa data serta peristiwa aktivitas jaringan (dalam pratinjau). Penyeleksi acara tingkat lanjut memungkinkan Anda membuat penyeleksi berbutir halus untuk mencatat hanya peristiwa yang menarik.

Jika Anda menggunakan pemilih peristiwa dasar untuk mencatat peristiwa data, Anda dibatasi untuk mencatat peristiwa data untuk bucket, fungsi AWS Lambda , dan tabel Amazon DynamoDB Amazon S3. Anda tidak dapat memfilter pada eventName bidang menggunakan pemilih acara dasar. Anda juga tidak dapat mencatat peristiwa aktivitas jaringan.

Penyeleksi acara dasar untuk peristiwa data di jejak

Gunakan prosedur berikut untuk mengonfigurasi pengaturan peristiwa data menggunakan pemilih acara dasar.

  1. Dalam peristiwa Data, pilih Edit untuk mengubah pengaturan pencatatan peristiwa data. Dengan pemilih peristiwa dasar, Anda dapat menentukan peristiwa data pencatatan untuk bucket Amazon S3 AWS Lambda , fungsi, ynamoDBtables D, atau kombinasi sumber daya tersebut. Jenis peristiwa data tambahan didukung dengan pemilih acara tingkat lanjut. Secara default, jejak tidak mencatat peristiwa data. Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk informasi selengkapnya, lihat Peristiwa data. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

    Untuk ember Amazon S3:

    1. Untuk sumber peristiwa Data, pilih S3.

    2. Anda dapat memilih untuk mencatat Semua bucket S3 saat ini dan masa depan, atau Anda dapat menentukan masing-masing bucket atau fungsi. Secara default, peristiwa data dicatat untuk semua bucket S3 saat ini dan masa depan.

      catatan

      Menjaga opsi All current and future S3 bucket default memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun Anda dan bucket apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun Anda, bahkan jika aktivitas tersebut dilakukan pada bucket milik AWS akun lain.

      Jika jejak hanya berlaku untuk satu Wilayah, memilih Semua bucket S3 saat ini dan masa depan memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di akun Anda. AWS

    3. Jika Anda meninggalkan default, Semua bucket S3 saat ini dan masa depan, pilih untuk mencatat peristiwa Baca, Menulis peristiwa, atau keduanya.

    4. Untuk memilih bucket individual, kosongkan kotak centang Baca dan Tulis untuk Semua bucket S3 saat ini dan masa depan. Dalam pemilihan bucket Individual, telusuri bucket untuk mencatat peristiwa data. Untuk menemukan bucket tertentu, ketikkan awalan bucket untuk bucket yang Anda inginkan. Anda dapat memilih beberapa ember di jendela ini. Pilih Tambahkan bucket untuk mencatat peristiwa data untuk bucket lainnya. Pilih untuk mencatat peristiwa Baca, sepertiGetObject, Menulis peristiwa, sepertiPutObject, atau keduanya.

      Pengaturan ini lebih diutamakan daripada setelan individual yang Anda konfigurasikan untuk masing-masing bucket. Misalnya, jika Anda menentukan peristiwa Pencatatan Baca untuk semua bucket S3, lalu memilih untuk menambahkan bucket tertentu untuk pencatatan peristiwa data, Baca sudah dipilih untuk bucket yang Anda tambahkan. Anda tidak dapat menghapus pilihan. Anda hanya dapat mengonfigurasi opsi untuk Menulis.

      Untuk menghapus ember dari logging, pilih X.

  2. Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.

  3. Untuk fungsi Lambda:

    1. Untuk sumber peristiwa Data, pilih Lambda.

    2. Dalam fungsi Lambda, pilih Semua wilayah untuk mencatat semua fungsi Lambda, atau fungsi Input ARN untuk mencatat peristiwa data pada fungsi tertentu.

      Untuk mencatat peristiwa data untuk semua fungsi Lambda di AWS akun Anda, pilih Log semua fungsi saat ini dan masa depan. Pengaturan ini lebih diutamakan daripada pengaturan individual yang Anda konfigurasikan untuk fungsi individual. Semua fungsi dicatat, bahkan jika semua fungsi tidak ditampilkan.

      catatan

      Jika Anda membuat jejak untuk semua Wilayah, pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah tersebut di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah tersebut setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.

      Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun Anda, bahkan jika aktivitas tersebut dilakukan pada fungsi milik AWS akun lain.

    3. Jika Anda memilih fungsi Input as ARN, masukkan ARN fungsi Lambda.

      catatan

      Jika Anda memiliki lebih dari 15.000 fungsi Lambda di akun Anda, Anda tidak dapat melihat atau memilih semua fungsi di CloudTrail konsol saat membuat jejak. Anda masih dapat memilih opsi untuk mencatat semua fungsi, meskipun tidak ditampilkan. Jika Anda ingin mencatat peristiwa data untuk fungsi tertentu, Anda dapat menambahkan fungsi secara manual jika Anda mengetahuinyaARN. Anda juga dapat menyelesaikan pembuatan jejak di konsol, lalu menggunakan dan put-event-selectors perintah untuk mengonfigurasi pencatatan peristiwa data untuk fungsi Lambda tertentu. AWS CLI Untuk informasi selengkapnya, lihat Mengelola jalur dengan AWS CLI.

  4. Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.

  5. Untuk tabel DynamoDB:

    1. Untuk sumber peristiwa Data, pilih DynamoDB.

    2. Dalam pemilihan tabel DynamoDB, pilih Browse untuk memilih tabel, atau tempel tabel DynamoDB yang dapat Anda akses. ARN ARNTabel DynamoDB dalam format berikut:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Untuk menambahkan tabel lain, pilih Tambah baris, dan telusuri tabel atau tempel di tabel yang dapat Anda akses. ARN

  6. Untuk mengonfigurasi peristiwa Wawasan dan pengaturan lain untuk jejak Anda, kembali ke prosedur sebelumnya dalam topik ini,. Memperbarui jejak dengan CloudTrail konsol