Membuat jejak untuk organisasi Anda di konsol - AWS CloudTrail
Langkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat jejak untuk organisasi Anda di konsol

Untuk membuat jejak organisasi dari CloudTrail konsol, Anda harus masuk ke konsol sebagai pengguna atau peran dalam manajemen atau akun administrator yang didelegasikan yang memiliki izin yang memadai. Jika Anda tidak masuk dengan akun administrator manajemen atau delegasi, Anda tidak akan melihat opsi untuk menerapkan jejak ke organisasi saat membuat atau mengedit jejak dari CloudTrail konsol.

Untuk membuat jejak organisasi dengan AWS Management Console

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

    Anda harus masuk menggunakan IAM identitas di manajemen atau akun administrator yang didelegasikan dengan izin yang memadai untuk membuat jejak organisasi.

  2. Pilih Jejak, lalu pilih Buat jejak.

  3. Pada halaman Create Trail, untuk nama Trail, ketikkan nama untuk jejak Anda. Untuk informasi selengkapnya, lihat Persyaratan penamaan untuk CloudTrail sumber daya, bucket S3, dan kunci KMS.

  4. Pilih Aktifkan untuk semua akun di organisasi saya. Anda hanya melihat opsi ini jika Anda masuk ke konsol dengan pengguna atau peran di akun administrator manajemen atau yang didelegasikan. Agar berhasil membuat jejak organisasi, pastikan bahwa pengguna atau peran memiliki izin yang memadai.

  5. Untuk lokasi Storage, pilih Create new S3 bucket untuk membuat bucket. Saat Anda membuat bucket, CloudTrail membuat dan menerapkan kebijakan bucket yang diperlukan.

    catatan

    Jika Anda memilih Gunakan bucket S3 yang ada, tentukan bucket di nama bucket log Trail, atau pilih Browse untuk memilih bucket. Anda dapat memilih bucket milik akun mana pun, namun kebijakan bucket harus memberikan CloudTrail izin untuk menulis ke akun tersebut. Untuk informasi tentang mengedit kebijakan bucket secara manual, lihatKebijakan bucket Amazon S3 untuk CloudTrail.

    Untuk mempermudah menemukan log Anda, buat folder baru (juga dikenal sebagai awalan) di bucket yang ada untuk menyimpan CloudTrail log Anda. Masukkan awalan di Awalan.

  6. Untuk file Log SSE - KMS enkripsi, pilih Diaktifkan jika Anda ingin mengenkripsi file log Anda menggunakan KMS enkripsi SSE - bukan enkripsi SSE -S3. Defaultnya adalah Diaktifkan. Jika Anda tidak mengaktifkan SSE - KMS enkripsi, log Anda dienkripsi menggunakan enkripsi SSE -S3. Untuk informasi selengkapnya tentang SSE - KMS enkripsi, lihat Menggunakan enkripsi sisi server dengan AWS Key Management Service (SSE-KMS). Untuk informasi selengkapnya tentang enkripsi SSE -S3, lihat Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (-S3). SSE

    Jika Anda mengaktifkan SSE - KMS enkripsi, pilih New atau Existing AWS KMS key. Di AWS KMS Alias, tentukan alias, dalam format alias/MyAliasNameUntuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol.

    catatan

    Anda juga dapat ARN mengetikkan kunci dari akun lain. Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan KMS kunci Anda dengan konsol. Kebijakan kunci harus memungkinkan CloudTrail untuk menggunakan kunci untuk mengenkripsi file log Anda, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log dalam bentuk tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

  7. Di Pengaturan tambahan, konfigurasikan yang berikut ini.

    1. Untuk validasi file Log, pilih Diaktifkan agar intisari log dikirimkan ke bucket S3 Anda. Anda dapat menggunakan file intisari untuk memverifikasi bahwa file log Anda tidak berubah setelah CloudTrail dikirimkan. Untuk informasi selengkapnya, lihat Memvalidasi CloudTrail integritas file log.

    2. Untuk pengiriman SNS notifikasi, pilih Diaktifkan untuk diberi tahu setiap kali log dikirimkan ke bucket Anda. CloudTrail menyimpan beberapa peristiwa dalam file log. SNSpemberitahuan dikirim untuk setiap file log, bukan untuk setiap acara. Untuk informasi selengkapnya, lihat Mengonfigurasi SNS notifikasi Amazon untuk CloudTrail.

      Jika Anda mengaktifkan SNS notifikasi, untuk Membuat SNS topik baru, pilih Baru untuk membuat topik, atau pilih Ada untuk menggunakan topik yang ada. Jika Anda membuat jejak yang berlaku untuk semua Wilayah, SNS pemberitahuan untuk pengiriman file log dari semua Wilayah dikirim ke satu SNS topik yang Anda buat.

      Jika Anda memilih Baru, CloudTrail menentukan nama untuk topik baru untuk Anda, atau Anda dapat mengetikkan nama. Jika Anda memilih Ada, pilih SNS topik dari daftar drop-down. Anda juga dapat memasukkan topik dari Wilayah lain atau dari akun dengan izin yang sesuai. ARN Untuk informasi selengkapnya, lihat Kebijakan SNS topik Amazon untuk CloudTrail.

      Jika Anda membuat topik, Anda harus berlangganan topik untuk diberitahu tentang pengiriman file log. Anda dapat berlangganan dari SNS konsol Amazon. Karena frekuensi notifikasi, kami menyarankan Anda mengonfigurasi langganan untuk menggunakan SQS antrian Amazon untuk menangani notifikasi secara terprogram. Untuk informasi selengkapnya, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.

  8. Secara opsional, konfigurasikan CloudTrail untuk mengirim file CloudWatch log ke Log dengan memilih Diaktifkan di CloudWatch Log. Untuk informasi selengkapnya, lihat Mengirim acara ke CloudWatch Log.

    catatan

    Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan AWS CLI CloudTrail CreateTrailatau UpdateTrail API operasi.

    1. Jika Anda mengaktifkan integrasi dengan CloudWatch Log, pilih Baru untuk membuat grup log baru, atau Ada untuk menggunakan yang sudah ada. Jika Anda memilih Baru, CloudTrail menentukan nama untuk grup log baru untuk Anda, atau Anda dapat mengetikkan nama.

    2. Jika Anda memilih Ada, pilih grup log dari daftar drop-down.

    3. Pilih Baru untuk membuat IAM peran baru bagi izin untuk mengirim log ke CloudWatch Log. Pilih Ada untuk memilih IAM peran yang ada dari daftar drop-down. Pernyataan kebijakan untuk peran baru atau yang sudah ada ditampilkan saat Anda memperluas dokumen Kebijakan. Untuk informasi selengkapnya tentang peran ini, silakan lihat Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

      catatan

      Saat mengonfigurasi jejak, Anda dapat memilih bucket S3 dan SNS topik Amazon yang menjadi milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.

  9. Untuk Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke jejak Anda. Tag dapat membantu Anda mengidentifikasi CloudTrail jejak dan bucket Amazon S3 yang CloudTrail berisi file log. Anda kemudian dapat menggunakan grup sumber daya untuk CloudTrail sumber daya Anda. Untuk informasi selengkapnya, silakan lihat AWS Resource Groups dan Tanda.

  10. Pada halaman Pilih peristiwa log, pilih jenis acara yang ingin Anda log. Untuk acara Manajemen, lakukan hal berikut.

    1. Untuk APIaktivitas, pilih apakah Anda ingin jejak Anda mencatat peristiwa Baca, Menulis peristiwa, atau keduanya. Untuk informasi selengkapnya, lihat Acara manajemen.

    2. Pilih Kecualikan AWS KMS acara untuk disaring AWS Key Management Service (AWS KMS) acara keluar dari jejak Anda. Pengaturan default adalah untuk menyertakan semua AWS KMS peristiwa.

      Pilihan untuk log atau kecualikan AWS KMS acara hanya tersedia jika Anda mencatat peristiwa manajemen di jejak Anda. Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah AWS KMS pengaturan pencatatan peristiwa.

      AWS KMS tindakan sepertiEncrypt,Decrypt, dan GenerateDataKey biasanya menghasilkan volume besar (lebih dari 99%) peristiwa. Tindakan ini sekarang dicatat sebagai peristiwa Baca. Volume rendah, relevan AWS KMS tindakan sepertiDisable,Delete, dan ScheduleKey (yang biasanya menyumbang kurang dari 0,5% AWS KMS volume peristiwa) dicatat sebagai peristiwa Tulis.

      Untuk mengecualikan peristiwa bervolume tinggi sepertiEncrypt,Decrypt, danGenerateDataKey, tetapi masih mencatat peristiwa yang relevan sepertiDisable, Delete danScheduleKey, pilih untuk mencatat peristiwa manajemen Tulis, dan kosongkan kotak centang untuk Kecualikan AWS KMS peristiwa.

    3. Pilih Kecualikan API peristiwa RDS Data Amazon untuk memfilter peristiwa Amazon Relational Database Service API Data dari jejak Anda. Pengaturan default adalah untuk menyertakan semua API peristiwa Amazon RDS Data. Untuk informasi selengkapnya tentang API peristiwa RDS Data Amazon, lihat Mencatat API panggilan Data dengan AWS CloudTraildi Panduan RDS Pengguna Amazon untuk Aurora.

  11. Untuk mencatat peristiwa data, pilih Peristiwa data. Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk informasi selengkapnya, silakan lihat AWS CloudTrail Harga.

  12. penting

    Langkah 12-16 adalah untuk mengonfigurasi peristiwa data menggunakan pemilih acara lanjutan, yang merupakan default. Penyeleksi acara tingkat lanjut memungkinkan Anda mengonfigurasi lebih banyak jenis peristiwa data dan menawarkan kontrol halus atas peristiwa data mana yang ditangkap jejak Anda. Jika Anda memilih untuk menggunakan pemilih acara dasar, selesaikan langkah-langkahnyaKonfigurasikan pengaturan peristiwa data menggunakan pemilih acara dasar, lalu kembali ke langkah 17 dari prosedur ini.

    Untuk tipe peristiwa Data, pilih jenis sumber daya tempat Anda ingin mencatat peristiwa data. Untuk informasi selengkapnya tentang tipe peristiwa data yang tersedia, lihatPeristiwa data.

    catatan

    Untuk mencatat peristiwa data untuk AWS Glue tabel yang dibuat oleh Lake Formation, pilih Lake Formation.

  13. Pilih templat pemilih log. CloudTrail termasuk template standar yang mencatat semua peristiwa data untuk jenis sumber daya. Untuk membuat template pemilih log kustom, pilih Kustom.

    catatan

    Memilih template yang telah ditentukan untuk bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun dan ember apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh IAM identitas apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada ember milik orang lain AWS akun.

    Jika jejak hanya berlaku untuk satu Wilayah, memilih templat yang telah ditentukan sebelumnya yang mencatat semua bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di AWS akun.

    Jika Anda membuat jejak untuk semua Wilayah, memilih templat yang telah ditentukan untuk fungsi Lambda memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah itu di Anda AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah itu setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.

    Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh IAM identitas apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada fungsi milik orang lain AWS akun.

  14. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

  15. Di Advanced event selectors, buat ekspresi untuk sumber daya spesifik tempat Anda ingin mencatat peristiwa data. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

    1. Pilih dari bidang berikut.

      • readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.

      • eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

      • resources.ARN- Anda dapat menggunakan operator apa pun denganresources.ARN, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type. ARN

        Tabel berikut menunjukkan ARN format yang valid untuk masing-masingresources.type.

        catatan

        Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.

        resources.type sumber daya. ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias 
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail 
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream 
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer 
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel 
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey 
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User 
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias 
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key 
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector 
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp 
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor 
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        		 
        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARNHarus dalam salah satu format berikut:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARNHarus dalam salah satu format berikut:

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 Untuk tabel dengan aliran diaktifkan, resources bidang dalam peristiwa data berisi keduanya AWS::DynamoDB::Stream danAWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table untukresources.type, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di eventName bidang.

        2 Untuk mencatat semua peristiwa data untuk semua objek dalam bucket S3 tertentu, gunakan StartsWith operator, dan sertakan hanya bucket ARN sebagai nilai yang cocok. Slash trailing disengaja; jangan mengecualikannya.

        3 Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan NotStartsWith operator StartsWith atau.

      Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Kunci tindakan, sumber daya, dan kondisi di AWS Identity and Access Management Panduan Pengguna.

    2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.

      Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.

      Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

      catatan

      Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

    3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

  16. Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 12 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.

  17. Pilih acara Insights jika Anda ingin jejak Anda mencatat peristiwa CloudTrail Wawasan.

    Di Jenis acara, pilih Acara Wawasan. Di acara Insights, pilih rasio API panggilan, tingkat API kesalahan, atau keduanya. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Wawasan untuk tingkat API panggilan. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk mengetahui tingkat API kesalahan.

    CloudTrail Wawasan menganalisis peristiwa manajemen untuk aktivitas yang tidak biasa, dan mencatat peristiwa saat anomali terdeteksi. Secara default, jejak tidak mencatat peristiwa Wawasan. Untuk informasi selengkapnya tentang peristiwa Wawasan, lihatAcara Logging Insights. Biaya tambahan berlaku untuk acara logging Insights. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

    Peristiwa Insights dikirimkan ke folder berbeda bernama /CloudTrail-Insight bucket S3 yang sama yang ditentukan di area lokasi penyimpanan halaman detail jejak. CloudTrailmenciptakan awalan baru untuk Anda. Misalnya, jika bucket S3 tujuan Anda saat ini diberi namaamzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/, nama bucket S3 dengan awalan baru akan diberi nama. amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/

  18. Setelah selesai memilih jenis acara untuk dicatat, pilih Berikutnya.

  19. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit di bagian untuk mengubah pengaturan jejak yang ditampilkan di bagian itu. Saat Anda siap untuk membuat jejak, pilih Buat jejak.

  20. Jejak baru muncul di halaman Trails. Jejak organisasi mungkin membutuhkan waktu hingga 24 jam untuk dibuat di semua Wilayah di semua akun anggota. Halaman Trails menunjukkan jejak di akun Anda dari semua Wilayah. Dalam waktu sekitar 5 menit, CloudTrail menerbitkan file log yang menunjukkan AWS APIpanggilan yang dilakukan di organisasi Anda. Anda dapat melihat file log di bucket Amazon S3 yang Anda tentukan.

catatan

Anda tidak dapat mengganti nama jejak setelah dibuat. Sebagai gantinya, Anda dapat menghapus jejak dan membuat yang baru.

Langkah selanjutnya

Setelah Anda membuat jejak Anda, Anda dapat kembali ke jejak untuk membuat perubahan:

catatan

Saat mengonfigurasi jejak, Anda dapat memilih bucket Amazon S3 dan SNS topik milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.