Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva ai AWS CloudTrail tutorial
Se non lo conosci AWS CloudTrail, questi tutorial possono aiutarti a imparare a usare le sue funzionalità. Per utilizzare CloudTrail le funzionalità, devi disporre delle autorizzazioni adeguate. Questa pagina descrive le politiche gestite disponibili CloudTrail e fornisce informazioni su come concedere le autorizzazioni.
**Topics**
+ [
## Concedi le autorizzazioni di utilizzo CloudTrail
](#tutorial-grant-permissions)
+ [
# Visualizza la cronologia degli eventi
](tutorial-event-history.md)
+ [
# Crea un percorso per registrare gli eventi di gestione
](tutorial-trail.md)
+ [
# Crea un archivio dati di eventi per gli eventi di dati S3
](tutorial-lake-S3.md)
## Concedi le autorizzazioni di utilizzo CloudTrail
Per creare, aggiornare e gestire CloudTrail risorse come percorsi, archivi di dati di eventi e canali, devi concedere le autorizzazioni di utilizzo. CloudTrail Questa sezione fornisce informazioni sulle politiche gestite disponibili per CloudTrail.
**Nota**
Le autorizzazioni concesse agli utenti per eseguire attività di CloudTrail amministrazione non sono le stesse autorizzazioni CloudTrail necessarie per inviare file di log ai bucket Amazon S3 o inviare notifiche ad argomenti di Amazon SNS. Per ulteriori informazioni su queste autorizzazioni, consulta [Policy sui bucket Amazon S3 per CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Se configuri l'integrazione con Amazon CloudWatch Logs, richiede CloudTrail anche un ruolo che può assumere per fornire eventi a un gruppo di log di Amazon CloudWatch Logs. È necessario creare il ruolo che CloudTrail utilizza. Per ulteriori informazioni, consultare [Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) e [Invio di eventi ai CloudWatch registri](send-cloudtrail-events-to-cloudwatch-logs.md).
Le seguenti politiche AWS gestite sono disponibili per CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Questa policy fornisce l'accesso completo alle CloudTrail azioni sulle CloudTrail risorse, come percorsi, archivi di dati sugli eventi e canali. Questa politica fornisce le autorizzazioni necessarie per creare, aggiornare ed eliminare CloudTrail percorsi, archivi dati di eventi e canali.
Questa policy fornisce anche le autorizzazioni per gestire il bucket Amazon S3, il gruppo di log CloudWatch per Logs e un argomento Amazon SNS per un trail. Tuttavia, la policy `AWSCloudTrail_FullAccess` gestita non fornisce le autorizzazioni per eliminare il bucket Amazon S3, il gruppo di log CloudWatch per Logs o un argomento di Amazon SNS. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
**Nota**
La **AWSCloudTrail\$1FullAccess**policy non è pensata per essere condivisa su larga scala tra i tuoi Account AWS. Gli utenti con questo ruolo hanno la possibilità di disattivare o riconfigurare le funzioni di auditing più sensibili e importanti negli Account AWS. Per questo motivo, è necessario applicare questa policy solo agli amministratori degli account. È necessario controllare e monitorare attentamente l'uso di questa policy.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Questo criterio concede le autorizzazioni per visualizzare la CloudTrail console, inclusi gli eventi recenti e la cronologia degli eventi. Questa policy consente inoltre di visualizzare percorsi, datastore di eventi e canali esistenti. I ruoli e gli utenti con questa policy possono [scaricare la cronologia degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), ma non possono creare o aggiornare percorsi, datastore di eventi o canali.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
# Visualizza la cronologia degli eventi
Questa sezione descrive come utilizzare la pagina **della cronologia degli CloudTrail eventi** sulla CloudTrail console per visualizzare gli ultimi 90 giorni di gestione degli eventi di gestione Account AWS per quelli correnti Regione AWS.
**Per visualizzare la **cronologia degli eventi****
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione scegliere **Event history** (Cronologia eventi). Consultare un elenco filtrato di eventi, con gli eventi più recenti visualizzati per primi. Il filtro predefinito per gli eventi è di **Read-only** (Sola lettura), impostato su **false** (Falso). È possibile rimuovere il filtro scegliendo la **X** alla sua destra. Puoi cercare gli eventi nella **Cronologia degli eventi** filtrando gli eventi in base a un singolo attributo.
![\[La pagina della cronologia degli CloudTrail eventi che evidenzia il filtro di sola lettura\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)
1. Scegli un attributo in base al quale filtrare e inserisci il valore completo per l'attributo. CloudTrail non è possibile filtrare in base a un valore parziale. Ad esempio, per visualizzare tutti gli eventi di accesso alla console, scegli il filtro **Nome evento** e specifica **ConsoleLogin**il valore dell'attributo.
![\[La pagina della cronologia degli CloudTrail eventi è stata filtrata in base all'ConsoleLoginevento.\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)
Oppure, per visualizzare gli eventi di CloudTrail gestione recenti, scegliete **Origine evento** e specificate`cloudtrail.amazonaws.com`. Per informazioni sugli eventi a cui un servizio si registra CloudTrail, consulta l'API Reference del servizio.
![\[La pagina della cronologia CloudTrail degli eventi è stata filtrata in base a una fonte di eventi specifica\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/event-history-event-source.png)
1. Per visualizzare un evento di gestione specifico, scegli il nome dell'evento. Nella pagina dei dettagli dell'evento, è possibile visualizzare i dettagli dell'evento, visualizzare le risorse di riferimento e visualizzare il record dell'evento.
1. Per confrontare gli eventi, seleziona fino a cinque eventi compilando le relative caselle di controllo sul margine sinistro della tabella **Event history** (Cronologia eventi). È possibile visualizzare i dettagli degli eventi selezionati side-by-side nella tabella **Confronta i dettagli degli eventi**.
1. È possibile salvare la cronologia eventi scaricandola come file in formato JSON o CSV. Il download della cronologia eventi può richiedere alcuni minuti.
![\[La pagina della cronologia degli CloudTrail eventi che mostra le opzioni di download\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)
Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](view-cloudtrail-events.md).
# Crea un percorso per registrare gli eventi di gestione
Per il primo itinerario, consigliamo di creare un percorso che registri tutti gli eventi di [gestione e non registri gli eventi](cloudtrail-concepts.md#cloudtrail-concepts-management-events) [relativi ai dati o gli eventi](cloudtrail-concepts.md#cloudtrail-concepts-data-events) Insights. Esempi di eventi di gestione includono eventi di sicurezza come gli eventi IAM `CreateUser` e `AttachRolePolicy`, eventi delle risorse come `RunInstances` e `CreateBucket` e molto altro. Creerai un bucket Amazon S3 in cui archivierai i file di registro per il percorso come parte della creazione del percorso nella console. CloudTrail
**Nota**
AWS Control Tower imposta un nuovo evento di gestione del CloudTrail trail logging quando si configura una landing zone. È un percorso a livello di organizzazione, il che significa che registra tutti gli eventi di gestione per l'account di gestione e tutti gli account dei membri dell'organizzazione. *Per ulteriori informazioni, vedere [Informazioni sull'accesso nella AWS Control Tower Guida per](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html) l'utente.AWS CloudTrail *
Questo tutorial presuppone che si stia creando il primo percorso. A seconda del numero di percorsi presenti nell' AWS account e della configurazione di tali percorsi, la procedura seguente potrebbe comportare o meno dei costi. CloudTrail archivia i file di log in un bucket Amazon S3, il che comporta dei costi. Per ulteriori informazioni sui prezzi, consultare [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
**Come creare un trail**
1. Accedi a Console di gestione AWS e apri la console all' CloudTrail indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Nel selettore della **regione**, scegli la AWS regione in cui desideri creare il percorso. Questa è la regione di origine del percorso.
**Nota**
La regione di origine è l'unica Regione AWS in cui è possibile aggiornare il percorso dopo la sua creazione.
1. Nella home page del CloudTrail servizio, nella pagina **Percorsi** o nella sezione **Percorsi** della pagina **Dashboard**, scegli **Crea percorso**.
1. Nel **Trail name (Nome trail)**, dai un nome al tuo percorso, ad esempio *management-events*. Come best practice, è consigliabile utilizzare un nome che identifichi in modo rapido lo scopo del percorso. In questo caso, si crea un percorso che registra gli eventi di gestione.
1. Lascia l'impostazione predefinita per **Abilita per tutti gli account della mia organizzazione**. Questa opzione non sarà disponibile per la modifica, a meno che siano stati configurati account in Organizations.
1. Per **Storage location** (Posizione di archiviazione), scegliere **Create new S3 bucket** (Crea nuovo bucket S3) per creare un bucket. Quando crei un bucket, CloudTrail crea e applica le politiche del bucket richieste. Se scegli di creare un nuovo bucket S3, la tua policy IAM deve includere l'autorizzazione per l'`s3:PutEncryptionConfiguration`azione perché per impostazione predefinita la crittografia lato server è abilitata per il bucket. Assegna al bucket un nome che lo renda facile da identificare.
Per facilitare la ricerca dei log, crea una nuova cartella (nota anche come *prefisso*) in un bucket esistente per archiviare i log. CloudTrail
**Nota**
Il nome del bucket Amazon S3 deve essere univoco a livello globale. Per ulteriori informazioni, consulta [Regole per la denominazione dei bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
1. Deselezionare la casella di controllo per disabilitare **Log file SSE-KMS encryption** (Crittografia SSE-KMS dei file di log). Per impostazione predefinita, i file di log sono crittografati con la crittografia SSE-S3. Per ulteriori informazioni su questa impostazione, consulta [Usare la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
1. Lascia le impostazioni predefinite in **Additional settings** (Impostazioni aggiuntive).
1. **Lascia le impostazioni predefinite per i log. CloudWatch ** Per ora, non inviare log ad Amazon CloudWatch Logs.
1. (Facoltativo) In **Tags**, puoi aggiungere fino a 50 coppie di chiavi di tag per aiutarti a identificare, ordinare e controllare l'accesso al tuo percorso. I tag possono aiutarti a identificare i CloudTrail percorsi e altre risorse, come i bucket Amazon S3 che contengono CloudTrail file di registro. Ad esempio, è possibile allegare un tag con il nome **Compliance** e il valore **Auditing**.
**Nota**
Sebbene sia possibile aggiungere tag ai percorsi quando li si crea nella CloudTrail console e creare un bucket Amazon S3 per archiviare i file di registro nella CloudTrail console, non è possibile aggiungere tag al bucket Amazon S3 dalla console. CloudTrail Per ulteriori informazioni sulla visualizzazione e la modifica delle proprietà di un bucket Amazon S3, inclusa l'aggiunta di tag a un bucket, consultare la [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html).
Quando hai terminato la creazione di tag, seleziona **Next** (Successivo).
1. Nella pagina **Choose log events** (Seleziona eventi di log), seleziona i tipi di evento da registrare. Per questo percorso, mantieni le impostazioni predefinite, **Management events** (Eventi di gestione). Nell'area **Management events** (Eventi di gestione), scegli di registrare sia gli eventi **Read** (Lettura) che **Write** (Scrittura), se non sono già selezionati. Lascia vuote le caselle di controllo **Escludi AWS KMS eventi** ed **Escludi eventi Amazon RDS Data API** per registrare tutti gli eventi di gestione.
![\[Pagina Create trail (Crea percorso), impostazioni Event type (Tipo di evento).\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. Lascia le impostazioni predefinite per **gli eventi Data, gli** **eventi Insights** e gli **eventi di attività di rete**. Questo percorso non registrerà alcun evento relativo ai dati, eventi Insights o eventi di attività di rete. Scegli **Next (Successivo)**.
1. Nella pagina **Review and create** (Verifica e crea), rivedere le impostazioni selezionate per il percorso. Scegliere **Edit** (Modifica) in una sezione per tornare indietro e apportare modifiche. Quando si è pronti per creare il percorso, scegliere **Create trail** (Crea percorso).
1. La pagina **Trails** (Percorsi) mostra il nuovo percorso nella tabella. Tenere presente che il percorso è impostato su **Multi-region trail** (Percorso multiregione) per impostazione predefinita e che la registrazione è attivata per il percorso per impostazione predefinita.
![\[Pagina Create trail (Crea percorso), impostazioni Event type (Tipo di evento).\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
Per ulteriori informazioni sui sentieri, vedere[Lavorare con i CloudTrail sentieri](cloudtrail-trails.md).
# Visualizzare i file di log
Entro una media di circa 5 minuti dalla creazione del primo trail, CloudTrail invia il primo set di file di log al bucket Amazon S3 per il percorso. È possibile esaminare questi file e le informazioni che contengono.
**Nota**
CloudTrail in genere consegna i log entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'[Accordo sul Livello di Servizio (SLA) di AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).
Se configuri male il percorso (ad esempio, il bucket S3 non è raggiungibile), CloudTrail tenterai di recapitare i file di registro al bucket S3 per 30 giorni e questi eventi saranno soggetti ai costi standard. attempted-to-deliver CloudTrail Per evitare addebiti su un percorso configurato erroneamente devi eliminarlo.
**Visualizzazione dei file di log**
1. Accedi a e apri la console all'indirizzo. Console di gestione AWS CloudTrail [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Nel riquadro di navigazione selezionare **Trails** (Percorso). Nella pagina **Percorsi**, trova il nome del percorso che hai appena creato (nell'esempio,*management-events*).
1. Nella riga del percorso, scegli il valore per il bucket S3.
1. La console Amazon S3 si apre e mostra due cartelle per il bucket: e. `CloudTrail-Digest` `CloudTrail` Scegli la **CloudTrail**cartella per visualizzare i file di registro.
1. Se hai creato un percorso multiregionale, esiste una cartella per ogni Regione AWS percorso. Scegli la cartella in Regione AWS cui desideri rivedere i file di registro. Ad esempio, per esaminare i file di log per la regione Stati Uniti orientali (Ohio), scegliere **us-east-2**.
![\[Bucket Amazon S3 di un percorso, in cui è mostrata la struttura dei file di log nelle regioni AWS\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. Passare alla struttura della cartella del bucket, all'anno, al mese e al giorno in cui si desidera esaminare i log di attività in quella regione. In quel giorno, sono presenti molti file. Il nome dei file inizia con il tuo Account AWS ID e termina con l'estensione`.gz`. Ad esempio, se l'ID del tuo account è*123456789012*, vedrai file con nomi simili a questo: *123456789012* \$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz.
Per visualizzare questi file, è possibile scaricarli, decomprimerli e quindi visualizzarli in un editor di testo normale o un visualizzatore file JSON. Alcuni browser, inoltre, supportano la visualizzazione dei file .gz e JSON direttamente. Consigliamo di usare un visualizzatore JSON, che semplifica l'analisi delle informazioni del file di log CloudTrail .
# Crea un archivio dati di eventi per gli eventi di dati S3
È possibile creare un archivio dati di eventi per registrare CloudTrail eventi (eventi di gestione, eventi relativi ai dati), [eventi CloudTrail Insights](query-event-data-store-insights.md), [AWS Audit Manager prove](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [elementi di AWS Config configurazione](query-event-data-store-config.md) o [non AWS eventi](event-data-store-integration-events.md).
Quando crei un archivio dati di eventi per gli eventi di dati, scegli i tipi di risorse Servizi AWS e i tipi di risorse per i quali desideri registrare gli eventi relativi ai dati. Per informazioni sugli Servizi AWS eventi relativi ai dati di registro, consulta[Eventi di dati](logging-data-events-with-cloudtrail.md#logging-data-events).
Questa procedura dettagliata mostra come creare un data store per eventi di dati di Amazon S3. In questo tutorial, invece di registrare tutti gli eventi di dati di Amazon S3, sceglieremo un modello di selettore di log personalizzato per registrare gli eventi solo quando un oggetto viene eliminato da un bucket S3 specifico.
**Creazione di un datastore di eventi per eventi di dati S3**
1. Accedi a Console di gestione AWS e apri la console all' CloudTrail indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Nel riquadro di navigazione, in **Lake** seleziona **Datastore di eventi**.
1. Scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Nella pagina **Configura il data store degli eventi**, in **Dettagli generali**, assegna un nome al tuo event data store, ad esempio*s3-data-events-eds*. Come best practice, è consigliabile utilizzare un nome che identifichi in modo rapido lo scopo del datastore di eventi. Per informazioni sui requisiti di CloudTrail denominazione, vedere[Requisiti di denominazione per CloudTrail risorse, bucket S3 e chiavi KMS](cloudtrail-trail-naming-requirements.md).
1. Scegli l'**opzione di prezzo** che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
Sono disponibili le seguenti opzioni:
+ **Prezzo per la conservazione estendibile di un anno:** consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a prezzi pay-as-you-go convenienti. Questa è l'opzione predefinita.
+ **Periodo di conservazione predefinito:** 366 giorni
+ **Periodo di conservazione massimo:** 3.653 giorni
+ **Prezzo per la conservazione di sette anni:** consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
+ **Periodo di conservazione predefinito:** 2.557 giorni
+ **Periodo di conservazione massimo:** 2.557 giorni
1. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**.
CloudTrail Lake determina se conservare un evento controllando se l'evento rientra nel periodo `eventTime` di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando `eventTime` sono più vecchi di 90 giorni.
1. (Facoltativo) In **Crittografia**, scegli se vuoi crittografare il datastore di eventi utilizzando la tua chiave KMS. Per impostazione predefinita, tutti gli eventi in un Event Data Store sono crittografati CloudTrail utilizzando una chiave KMS che AWS possiede e gestisce per te.
Per abilitare la crittografia utilizzando la tua chiave KMS, scegli **Usa la mia AWS KMS key**. Scegli **Nuovo** per AWS KMS key crearne uno personalizzato oppure scegli **Esistente** per utilizzare una chiave KMS esistente. In **Inserisci alias KMS**, specifica un alias nel formato. `alias/` *MyAliasName* L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia CloudTrail dei log. Per ulteriori informazioni, consulta. [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta [Using multi-Region keys](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
**Nota**
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.
1. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli **Abilita** in **Federazione delle query di Data Lake**. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel [Catalogo dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta [Federare un datastore di eventi](query-federation.md).
Per abilitare la federazione delle query di Lake, scegli **Abilita**, quindi esegui queste operazioni:
1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
1. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
1. (Facoltativo) Scegli **Abilita politica delle risorse** per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le politiche basate sulle risorse consentono di controllare quali responsabili possono eseguire azioni sul data store degli eventi. Ad esempio, è possibile aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati delle query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. (Facoltativo) In **Tag**, aggiungi uno o più tag personalizzati (coppie chiave-valore) al datastore di eventi. I tag possono aiutarti a identificare i tuoi archivi di dati sugli CloudTrail eventi. Ad esempio, è possibile allegare un tag con il nome **stage** e il valore **prod**. Puoi usare i tag per limitare l'accesso al datastore di eventi. Puoi utilizzare questi tag anche per tenere traccia dei costi di query e importazione per il datastore di eventi.
Per informazioni su come controllare utilizzare i tag per monitorare i costi, consulta [Creazione di tag di allocazione dei costi definiti dall'utente per i data store di CloudTrail eventi Lake](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un datastore di eventi in base ai tag, consulta [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per informazioni su come utilizzare i tag in AWS, consulta [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) nella *Tagging AWS Resources User Guide*.
1. Scegli **Next** (Successivo) per configurare il datastore di eventi.
1. Nella pagina **Scegli eventi**, lascia le selezioni predefinite per **Tipo di evento**.
![\[Scelta del tipo di evento per il datastore di eventi\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. **Per **CloudTrail gli eventi**, scegli **Data events** e deseleziona Management events.** Per ulteriori informazioni sugli eventi di dati, consulta [Registrazione degli eventi di dati](logging-data-events-with-cloudtrail.md).
![\[Scegli gli eventi CloudTrail relativi ai dati per l'archivio dati degli eventi\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)
1. Lascia l'impostazione predefinita per **Copia eventi di percorso**. Puoi usare questa opzione per copiare gli eventi di percorso nel datastore di eventi. Per ulteriori informazioni, consulta [Copia di eventi traccia in un archivio dati degli eventi](cloudtrail-copy-trail-to-lake-eds.md).
1. Scegli **Abilita per tutti gli account della mia organizzazione** se si tratta di un datastore di eventi dell'organizzazione. Questa opzione non sarà disponibile per la modifica, a meno che non ci siano già degli account in AWS Organizations.
1. Per **Impostazioni aggiuntive** lascia le selezioni predefinite. Per impostazione predefinita, un Event Data Store raccoglie gli eventi per tutti Regioni AWS e inizia a importarli al momento della creazione.
1. Per **Eventi di dati**, effettua le seguenti selezioni:
1. **In **Tipo di risorsa**, scegli S3.** Il tipo di risorsa identifica la risorsa Servizio AWS e su cui vengono registrati gli eventi relativi ai dati.
1. In **Modello di selettore di log**, scegli **Personalizzato**. Scegliendo **Personalizzato** potrai definire un selettore di eventi personalizzato da filtrare in base ai campi `eventName`, `resources.ARN` e `readOnly`. Per informazioni su questi campi, consulta l'*AWS CloudTrail API [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)*Reference.
1. (Facoltativo) In **Nome selettore** inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio «Registra le chiamate DeleteObject API per uno specifico bucket S3". Il nome del selettore è riportato come `Name` nel selettore di eventi avanzato ed è visualizzabile se espandi la **vista JSON**.
![\[Vista JSON estesa che mostra i selettori di eventi avanzati\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/json-view-selector-name.png)
1. Nei **selettori di eventi avanzati**, creeremo il selettore di eventi personalizzato per filtrare i campi and. `eventName` `resources.ARN` I selettori di eventi avanzati per un archivio di dati degli eventi funzionano allo stesso modo dei selettori di eventi avanzati applicati a un percorso. Per ulteriori informazioni su come creare selettori di eventi avanzati, consultare [Registrazione di eventi di dati con i selettori di eventi avanzati](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced).
1. Per **Campo** scegli **eventName**. Per **Operatore**, scegli **equals**. In **Valore**, specifica **DeleteObject**. Scegli **\$1 Campo** per filtrare in base a un altro campo.
1. Per **Campo**, scegli **resources.ARN**. Per **Operatore**, scegli **StartsWith**. Per **Value**, inserisci l'ARN per il tuo bucket (ad esempio, arn:aws:s3:::). *amzn-s3-demo-bucket* Per maggiori informazioni su come ottenere l'ARN, consulta [Risorse di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
![\[Configurazione degli eventi di dati S3\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/eds-data-events.png)
1. Scegli **Next** (Successivo) per rivedere le scelte effettuate.
1. Nella pagina **Review and create** (Rivedi e crea), esaminare le opzioni selezionate. Scegliere **Edit** (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Il nuovo datastore di eventi sarà presente nella tabella **Datastore di eventi** sulla pagina **Datastore di eventi**.
Da questo momento in poi, l'archivio di dati degli eventi cattura gli eventi che corrispondono ai suoi selettori di eventi avanzati. Gli eventi che si sono verificati prima della creazione dell'archivio di dati degli eventi non si trovano all'interno dell'archivio, a meno che tu non si abbia scelto di copiare gli eventi di trail esistenti.
Ora è possibile eseguire query sul nuovo datastore di eventi. Per informazioni sulla modalità di visualizzazione ed esecuzione di query di esempio, consulta [Visualizza query di esempio con la console CloudTrail](lake-console-queries.md).
Per ulteriori informazioni su Lake, vedere. CloudTrail [Lavorare con AWS CloudTrail Lake](cloudtrail-lake.md)