Creazione di un percorso per la tua organizzazione nella console - AWS CloudTrail
Passaggi successivi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un percorso per la tua organizzazione nella console

Per creare un organigramma dalla CloudTrail console, è necessario accedere alla console come utente o ruolo nell'account di gestione o amministratore delegato con autorizzazioni sufficienti. Se non accedi con l'account di gestione o amministratore delegato, non vedrai l'opzione per applicare un percorso a un'organizzazione quando crei o modifichi un percorso dalla console. CloudTrail

Per creare un percorso organizzativo con AWS Management Console

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

    È necessario accedere utilizzando un'IAMidentità nell'account di gestione o amministratore delegato con autorizzazioni sufficienti per creare un percorso organizzativo.

  2. Scegliere Trails (Trail) e quindi Create trail (Crea trail).

  3. Nella pagina Create Trail (Crea trail), in Trail name (Nome trail) digitare il nome del trail. Per ulteriori informazioni, consulta Requisiti di denominazione per CloudTrail risorse, bucket S3 e chiavi KMS.

  4. Seleziona Enable for all accounts in my organization (Abilita per tutti gli account nella mia organizzazione). Puoi visualizzare questa opzione solo se hai effettuato l'accesso alla console con un utente o un ruolo nell'account di gestione o nell'account dell'amministratore delegato. Per creare un trail dell'organizzazione, è necessario assicurarsi che l'utente o il ruolo abbiano le autorizzazioni sufficienti.

  5. Per Storage location (Posizione di storage), scegli Create new S3 bucket (Crea nuovo bucket S3) per creare un bucket. Quando crei un bucket, CloudTrail crea e applica le politiche del bucket richieste.

    Nota

    Se scegli Use existing S3 bucket (Utilizza bucket S3 esistente), specifica un bucket in Trail log bucket name (Nome del bucket del log del percorso), oppure scegli Browse (Sfoglia) per scegliere un bucket. Puoi scegliere un bucket appartenente a qualsiasi account, tuttavia, la policy del bucket deve concedere l' CloudTrailautorizzazione alla scrittura su di esso. Per informazioni sulla modifica manuale della policy bucket, consulta Policy sui bucket Amazon S3 per CloudTrail.

    Per facilitare la ricerca dei log, crea una nuova cartella (nota anche come prefisso) in un bucket esistente per archiviare i log. CloudTrail Inserire il prefisso in Prefix (Prefisso).

  6. Per la KMScrittografia dei file SSE di registro, scegli Abilitato se desideri crittografare i file di registro utilizzando la KMS crittografia SSE - anziché la crittografia -S3. SSE L'impostazione predefinita è Enabled (Abilitata). Se non SSE abiliti la KMS crittografia, i log vengono crittografati utilizzando la crittografia -S3. SSE Per ulteriori informazioni su SSE - KMS encryption, consulta Usare la crittografia lato server con (-). AWS Key Management Service SSE KMS Per ulteriori informazioni sulla crittografia SSE -S3, consulta Using Server-Side Encryption with Amazon S3 Managed Encryption Keys (-S3). SSE

    Se abiliti la crittografia, scegli Nuova SSE o Esistente. KMS AWS KMS key In AWS KMS Alias, specificate un alias, nel formato alias/MyAliasName. Per ulteriori informazioni, vedereAggiornamento di una risorsa per utilizzare la KMS chiave con la console.

    Nota

    Puoi anche digitare ARN una chiave da un altro account. Per ulteriori informazioni, consulta Aggiornamento di una risorsa per utilizzare la KMS chiave con la console. La politica chiave deve consentire di CloudTrail utilizzare la chiave per crittografare i file di registro e consentire agli utenti specificati di leggere i file di registro in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta Configurare le politiche AWS KMS chiave per CloudTrail.

  7. In Additional settings (Impostazioni aggiuntive) configura quanto segue.

    1. In Enable log file validation (Abilita la convalida dei file di log), scegli Enabled (Abilitata) per attivare la distribuzione dei file digest di log nel bucket S3. È possibile utilizzare i file digest per verificare che i file di registro non siano stati modificati dopo la CloudTrail loro consegna. Per ulteriori informazioni, consulta Convalida dell'integrità dei file di CloudTrail registro.

    2. Per il recapito SNS delle notifiche, scegli Abilitato per ricevere una notifica ogni volta che un log viene consegnato al tuo bucket. CloudTrail memorizza più eventi in un file di registro. SNSle notifiche vengono inviate per ogni file di registro, non per ogni evento. Per ulteriori informazioni, consulta Configurazione delle SNS notifiche Amazon per CloudTrail.

      Se abiliti SNS le notifiche, per Crea un nuovo SNS argomento, scegli Nuovo per creare un argomento o scegli Esistente per utilizzare un argomento esistente. Se stai creando un percorso che si applica a tutte le regioni, le SNS notifiche per le consegne di file di registro da tutte le regioni vengono inviate al singolo SNS argomento che crei.

      Se scegli Nuovo, CloudTrail specifica automaticamente un nome per il nuovo argomento oppure puoi digitare un nome. Se scegli Esistente, scegli un SNS argomento dall'elenco a discesa. Puoi anche inserire un argomento da un'altra regione o da un account con le autorizzazioni appropriate. ARN Per ulteriori informazioni, consulta Policy SNS tematica di Amazon per CloudTrail.

      Se si crea un argomento, è necessario sottoscrivere l'argomento per ricevere le notifiche di distribuzione dei file di log. Puoi abbonarti dalla SNS console Amazon. A causa della frequenza delle notifiche, ti consigliamo di configurare l'abbonamento per utilizzare una SQS coda Amazon per gestire le notifiche in modo programmatico. Per ulteriori informazioni, consulta la sezione Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

  8. Facoltativamente, configura CloudTrail l'invio dei file di registro a CloudWatch Logs selezionando Enabled in CloudWatch Logs. Per ulteriori informazioni, consulta Invio di eventi ai CloudWatch registri.

    Nota

    Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or o CloudTrail CreateTrail. UpdateTrail API

    1. Se abiliti l'integrazione con CloudWatch Logs, scegli Nuovo per creare un nuovo gruppo di log o Esistente per utilizzarne uno esistente. Se scegli Nuovo, CloudTrail specifica automaticamente un nome per il nuovo gruppo di log oppure puoi digitare un nome.

    2. Se scegli Existing (Esistente), seleziona un gruppo di log dall'elenco a discesa.

    3. Scegliete Nuovo per creare un nuovo IAM ruolo per le autorizzazioni di invio dei log ai registri. CloudWatch Scegli Esistente per scegliere un IAM ruolo esistente dall'elenco a discesa. L'istruzione della policy per il ruolo nuovo o esistente viene visualizzata quando espandi Policy document (Documento della policy). Per ulteriori informazioni su questo ruolo, consulta Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio.

      Nota

      Quando configuri un percorso, puoi scegliere un bucket S3 e un SNS argomento Amazon che appartengono a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log di CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.

  9. Per i tag, puoi aggiungere fino a 50 coppie di chiavi di tag per aiutarti a identificare, ordinare e controllare l'accesso al tuo percorso. I tag possono aiutarti a identificare sia i CloudTrail percorsi che i bucket Amazon S3 che contengono CloudTrail i file di registro. Puoi quindi utilizzare i gruppi di risorse per le tue CloudTrail risorse. Per ulteriori informazioni, consulta AWS Resource Groups e Tag.

  10. Nella pagina Choose log events (Seleziona eventi di log) seleziona i tipi di evento che vuoi registrare. Per Management events (Eventi di gestione), procedere nel seguente modo.

    1. Per quanto riguarda APIl'attività, scegli se vuoi che il tuo percorso registri gli eventi di lettura, scrittura o entrambi. Per ulteriori informazioni, consulta Eventi di gestione.

    2. Scegli Escludi AWS KMS eventi per filtrare AWS Key Management Service (AWS KMS) gli eventi dal tuo percorso. L'impostazione predefinita è includere tutti gli eventi AWS KMS .

      L'opzione per registrare o escludere AWS KMS gli eventi è disponibile solo se registri gli eventi di gestione sul percorso. Se si sceglie di non registrare gli eventi di gestione, AWS KMS gli eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.

      AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un volume elevato (oltre il 99%) di eventi. Queste operazioni vengono ora registrate come eventi Read (Lettura). AWS KMS Le azioni pertinenti a basso volume come Disable e ScheduleKey (che in genere rappresentano meno dello 0,5% del volume degli AWS KMS eventi) vengono registrate come eventi di scrittura. Delete

      Per escludere eventi a volume elevato come Encrypt, Decrypt e GenerateDataKey, ma registrare comunque eventi rilevanti come Disable, Delete e ScheduleKey, scegli di registrare gli eventi di gestione Write (Scrittura) e deseleziona la casella di controllo Exclude AWS KMS events (Escludi eventi KMS).

    3. Scegli Escludi API eventi Amazon RDS Data per filtrare gli eventi di Amazon Relational Database Service API Data dal tuo percorso. L'impostazione predefinita prevede l'inclusione di tutti gli API eventi Amazon RDS Data. Per ulteriori informazioni sugli API eventi di Amazon RDS Data, consulta la sezione Logging Data API call with AWS CloudTrail nella Amazon RDS User Guide for Aurora.

  11. Per registrare gli eventi di dati, scegli Data events (Eventi di dati). Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare AWS CloudTrail Prezzi.

  12. Importante

    I passaggi 12-16 riguardano la configurazione degli eventi di dati tramite selettori di eventi avanzati, che sono l'impostazione predefinita. I selettori di eventi avanzati consentono di configurare più tipi di eventi di dati e offrono un controllo dettagliato sugli eventi di dati acquisiti dal percorso. Se hai scelto di utilizzare i selettori di eventi di base, completa i passaggi indicatiConfigurazione delle impostazioni degli eventi di dati utilizzando i selettori di eventi di base, quindi torna al passaggio 17 di questa procedura.

    Per Data event type (Tipo di evento di dati), scegli il tipo di risorsa su cui desideri registrare gli eventi di dati. Per ulteriori informazioni sui tipi di eventi di dati disponibili, consulta Eventi di dati.

    Nota

    Per registrare gli eventi relativi ai dati per AWS Glue le tabelle create da Lake Formation, scegli Lake Formation.

  13. Scegliete un modello di selettore di log. CloudTrail include modelli predefiniti che registrano tutti gli eventi relativi ai dati per il tipo di risorsa. Per creare un modello di selettore di registro personalizzato, scegli Custom (Personalizzato).

    Nota

    La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi relativi ai dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione delle attività relative agli eventi relativi ai dati eseguite da qualsiasi IAM identità nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS

    Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non verranno registrati gli eventi di dati per i bucket Amazon S3 nelle altre regioni dell'account AWS .

    Se stai creando un percorso per tutte le regioni, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel AWS tuo account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.

    La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare le attività relative agli eventi relativi ai dati eseguite da qualsiasi IAM identità presente nell' AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS

  14. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON

  15. In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per le risorse specifiche sulle quali desideri registrare gli eventi di dati. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.

    1. Scegli tra i seguenti campi.

      • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

      • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, PutItem o. GetSnapshotBlock

      • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente a quello ARN di una risorsa valida del tipo specificato nel modello come valore. resources.type

        La tabella seguente mostra il ARN formato valido per ciascuno di essi. resources.type

        Nota

        Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibiliARNs.

        resources.type risorse. ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias 
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail 
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream 
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer 
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel 
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey 
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User 
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias 
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key 
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector 
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp 
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor 
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        		 
        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARNDeve essere in uno dei seguenti formati:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARNDeve essere in uno dei seguenti formati:

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul eventName campo.

        2 Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWithoperatore e includi solo il bucket ARN come valore corrispondente. La barra finale è intenzionale; non escluderla.

        3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, ti consigliamo di utilizzare solo il punto di accessoARN, di non includere il percorso dell'oggetto e di utilizzare gli operatori or. StartsWith NotStartsWith

      Per ulteriori informazioni sui ARN formati delle risorse relative agli eventi di dati, consulta Azioni, risorse e chiavi di condizione nella Guida per l'AWS Identity and Access Management utente.

    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi relativi ai dati per due bucket S3 dagli eventi relativi ai dati registrati sul percorso, puoi impostare il campo su Resources. ARN, imposta l'operatore for does not start con, quindi incolla in un bucket S3 oppure cerca i bucket ARN S3 per i quali non desideri registrare gli eventi.

      Per aggiungere il secondo bucket S3, scegli + Condizione, quindi ripeti l'istruzione precedente, incollando il modulo o cercando un altro bucket. ARN

      Nota

      Puoi avere un massimo di 500 valori per tutti i selettori su un percorso. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

      Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque registrare tutte le funzioni con un modello di selettore predefinito, anche se non sono visualizzate. Se desideri registrare gli eventi relativi ai dati per funzioni specifiche, puoi aggiungere manualmente una funzione se la conosci. ARN Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI put-event-selectors comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta Gestire i percorsi con AWS CLI.

    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificate che un valore ARN in un selettore sia uguale a un valore, quindi specificate che il valore diverso ARN è uguale in un altro selettore.

  16. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 12 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.

  17. Scegli gli eventi di Insights se desideri che il tuo percorso registri gli eventi di CloudTrail Insights.

    In Event type (Tipo di evento), seleziona Insights events (Eventi Insights). Negli eventi Insights, scegli la frequenza delle API chiamate, la frequenza di API errore o entrambe. È necessario registrare gli eventi di gestione della scrittura per registrare gli eventi di Insights per la frequenza delle API chiamate. È necessario registrare gli eventi di gestione di lettura o scrittura per registrare gli eventi di Insights per il tasso APIdi errore.

    CloudTrail Insights analizza gli eventi di gestione alla ricerca di attività insolite e registra gli eventi quando vengono rilevate anomalie. Per impostazione predefinita, i trail non registrano gli eventi Insights. Per ulteriori informazioni sugli eventi Insights, consulta Registrazione degli eventi Insights. Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per i CloudTrail prezzi, consulta Prezzi.AWS CloudTrail

    Gli eventi Insights vengono inviati a una cartella diversa denominata /CloudTrail-Insight con lo stesso bucket S3, specificata nell'area Storage location della pagina dei dettagli del percorso. CloudTrailcrea il nuovo prefisso per te. Ad esempio, se il bucket S3 di destinazione corrente è denominato amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/, il nome del bucket S3 con un nuovo prefisso viene denominato amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/.

  18. Al termine della scelta dei tipi di evento da registrare, scegli Next (Successivo).

  19. Nella pagina Review and create (Verifica e crea), esamina le opzioni selezionate. Scegli Edit (Modifica) in una sezione per modificare le impostazioni del percorso mostrate al suo interno. Quando sei pronto per creare il percorso, scegli Create trail (Crea percorso).

  20. Il nuovo trail viene visualizzato nella pagina Trails (Trail). La creazione di un percorso dell'organizzazione in tutte le Regioni in tutti gli account membri può richiedere fino a 24 ore. Nella pagina Trails (Trail) sono visualizzati i trail di tutte le regioni nell'account. In circa 5 minuti, CloudTrail pubblica file di registro che mostrano le AWS API chiamate effettuate nell'organizzazione. Puoi visualizzare i file di log nel bucket Amazon S3 specificato.

Nota

Non è possibile rinominare un trail dopo che è stato creato. Al contrario, è possibile eliminarlo e crearne uno nuovo.

Passaggi successivi

Dopo aver creato il trail, è possibile tornare al trail per apportarvi modifiche:

Nota

Quando configuri un percorso, puoi scegliere un bucket e un SNS argomento Amazon S3 che appartengono a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.