Copiar eventos da trilha para o CloudTrail Lake - AWS CloudTrail
Considerações para copiar eventos de trilhasPermissões necessárias para copiar eventos da trilha

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Copiar eventos da trilha para o CloudTrail Lake

É possível copiar os eventos de trilhas existentes em um armazenamento de dados de eventos do CloudTrail Lake para criar um instantâneo pontual dos eventos registrados na trilha. Copiar eventos da trilha não interfere na capacidade da trilha de registrar eventos e não modifica a trilha de nenhuma forma.

É possível copiar eventos de trilha para um armazenamento de dados de eventos existente configurado para eventos do CloudTrail ou criar um novo armazenamento de dados de eventos do CloudTrail e escolher a opção Copiar eventos da trilha como parte da criação do armazenamento de dados de eventos. Para obter mais informações sobre cópia de eventos de trilhas para um armazenamento de dados de eventos existente, consulte Copiar eventos de trilhas para um armazenamento de dados de eventos existente usando o console do CloudTrail. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

Copiar eventos da trilha para um armazenamento de dados de eventos do CloudTrail Lake permite executar consultas nos eventos copiados. As consultas do CloudTrail Lake oferecem uma visão mais profunda e personalizável dos eventos do que pesquisas simples de chave e valor no Event history (Histórico de eventos) ou que execução de LookupEvents. Para obter mais informações sobre o CloudTrail Lake, consulte Trabalhando com AWS CloudTrail Lake.

Se estiver copiando eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da respectiva organização. Não é possível copiar eventos de trilha usando uma conta de administrador delegado para uma organização.

Armazenamentos de dados de eventos do CloudTrail Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre preços do CloudTrail e gerenciamento de custos do Lake consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

Ao copiar eventos de trilhas para um armazenamento de dados de eventos do CloudTrail Lake, você receberá cobranças com base na quantidade de dados não compactados ingeridos pelo armazenamento de dados de eventos.

Quando você copia eventos de trilhas para o CloudTrail Lake, o CloudTrail descompacta os logs armazenados no formato gzip (compactado) e, em seguida, copia os eventos contidos nesses logs para seu armazenamento de dados de eventos. O tamanho dos dados não compactados pode ser maior do que o tamanho real do armazenamento do S3. Para obter uma estimativa geral do tamanho dos dados não compactados, é possível multiplicar o tamanho dos registros no bucket do S3 por 10.

É possível pode reduzir os custos especificando um intervalo de tempo mais restrito para os eventos copiados. Se você planeja usar apenas o armazenamento de dados de eventos para consultar seus eventos copiados, poderá desativar a ingestão de eventos para evitar cobranças em eventos futuros. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

Cenários

A tabela a seguir descreve alguns cenários comuns para copiar eventos de trilha e como você realiza cada cenário usando o console.

Cenário Como faço isso no console?

Analisar e consultar eventos históricos de trilhas no CloudTrail Lake sem ingerir novos eventos

Crie um novo armazenamento de dados de eventos e escolha a opção Copiar eventos da trilha como parte da criação do armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção Ingerir eventos (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.

Substituir sua trilha existente por um armazenamento de dados de eventos do CloudTrail Lake

Crie um armazenamento de dados de eventos com os mesmos seletores de eventos que sua trilha para garantir que o armazenamento de dados de eventos tenha a mesma cobertura da trilha.

Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de datas para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos.

Após a criação do armazenamento de dados de eventos, você poderá desativar o registro em log da trilha para evitar cobranças adicionais.
Tópicos

Considerações para copiar eventos de trilhas

Considere os seguintes fatores ao copiar eventos de trilhas.

  • Ao copiar eventos de trilha, o CloudTrail usa a operação da API GetObject do S3 para recuperar os eventos da trilha no bucket do S3 de origem. Há algumas classes de armazenamento arquivadas no S3, como os níveis de S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts e S3 Intelligent-Tiering Deep Archive que não são acessíveis via GetObject. Para copiar eventos de trilhas armazenados nessas classes de armazenamento arquivadas, primeiro é necessário restaurar uma cópia usando a operação RestoreObject do S3. Para obter informações sobre como restaurar objetos arquivados, consulte Restaurar objetos arquivados no Guia do usuário do Amazon S3.

  • Quando eventos de uma trilha são copiados para um armazenamento de dados de eventos, o CloudTrail copia todos os eventos da trilha, independentemente da configuração dos tipos de eventos, seletores de eventos avançados ou Região da AWS do armazenamento de dados de eventos de destino.

  • Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso.

    • Opção de preço: a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte Preço do AWS CloudTrail e Opções de preços do armazenamento de dados de eventos.

    • Período de retenção: o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados de eventos. O CloudTrail copia somente eventos da trilha com eventTime dentro do período de retenção do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados de eventos (período de retenção = evento mais antigo em dias + número de dias de retenção). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.

  • Se você estiver copiando eventos de trilha para um armazenamento de dados de eventos para investigação e não quiser ingerir nenhum evento futuro, poderá interromper a ingestão no armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção Ingerir eventos (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.

  • Antes de copiar os eventos da trilha, desative todas as listas de controle de acesso (ACLs) anexadas ao bucket do S3 de origem e atualize a política do bucket do S3 para o armazenamento de dados de eventos de destino. Para obter mais informações sobre a atualização da política de bucket do S3, consulte Política de buckets do Amazon S3 para copiar eventos da trilha. Para obter mais informações sobre a desabilitação de ACLs, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

  • O CloudTrail copia somente eventos da trilha de arquivos de log compactados com Gzip que estão no bucket do S3 de origem. O CloudTrail não copia eventos de trilha de arquivos de log não compactados ou arquivos de log que foram compactados com um formato diferente do Gzip.

  • Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos.

  • Por padrão, o CloudTrail copia somente os eventos do CloudTrail contidos no prefixo CloudTrail do bucket do S3 e os prefixos dentro do prefixo CloudTrail, e não verifica os prefixos de outros serviços da AWS. Se quiser copiar eventos do CloudTrail contidos em outro prefixo, você deverá escolher o prefixo ao copiar eventos de trilha.

  • Para copiar eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da organização. Não é possível usar a conta de administrador delegado para copiar eventos de trilhas para um armazenamento de dados de eventos da organização.

Permissões necessárias para copiar eventos da trilha

Antes de copiar eventos da trilha, é preciso ter todas as permissões necessárias no seu perfil do IAM. Se você escolher um perfil do IAM existente para copiar os eventos da trilha, atualizar as permissões do perfil do IAM será o suficiente. Mas, se você preferir criar um novo perfil do IAM, o CloudTrail fornecerá todas as permissões necessárias para o perfil.

Se o bucket de origem do S3 usar uma chave do KMS para criptografia de dados, garanta que a política de chaves do KMS permita que o CloudTrail descriptografe os dados no bucket. Se o bucket de origem do S3 usar várias chaves do KMS, será necessário atualizar a política de cada chave para permitir que o CloudTrail descriptografe os dados no bucket.

Permissões do IAM para copiar eventos da trilha

Ao copiar os eventos da trilha, você tem a opção de criar um perfil do IAM ou usar um perfil do IAM existente. Quando você escolhe um novo perfil do IAM, o CloudTrail cria um perfil do IAM com as permissões necessárias e nenhuma ação adicional é necessária de sua parte.

Se você escolher um perfil existente, verifique se as políticas do perfil do IAM permitem que o CloudTrail copie os eventos da trilha do bucket do S3 de origem. Esta seção fornece exemplos das políticas de confiança e permissões do perfil do IAM necessárias.

O exemplo a seguir fornece a política de permissões que permite ao CloudTrail copiar eventos da trilha do bucket do S3 de origem. Substitua amzn-s3-demo-bucket, myAccountID, region, prefix e eventDataStoreId pelos valores apropriados para sua configuração. myAccountID é o ID da conta da AWS usado para o CloudTrail Lake, o qual pode não ser o mesmo ID da conta da AWS do bucket do S3.

Substitua key-region, keyAccountID e keyID pelos valores da chave do KMS usada para criptografar o bucket do S3 de origem. Você poderá omitir a instrução AWSCloudTrailImportKeyAccess se o bucket do S3 de origem não usar uma chave KMS para criptografia.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

O exemplo a seguir fornece a política de confiança do IAM que permite ao CloudTrail assumir um perfil do IAM para copiar eventos de trilha do bucket do S3 de origem. Substitua myAccountID (ID da minha conta), region (Região) e eventDataStoreArn (ARN do armazenamento de dados de eventos) pelos valores apropriados para sua configuração. O myAccountID é o ID da Conta da AWS usado para o CloudTrail Lake, o qual pode não ser o mesmo ID da conta da AWS do bucket do S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Política de buckets do Amazon S3 para copiar eventos da trilha

Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.

Antes de copiar eventos da trilha, é necessário atualizar a política de bucket do S3 para permitir que o CloudTrail copie eventos da trilha para o bucket de origem do S3.

É possível adicionar a instrução a seguir à política do bucket do S3 para conceder essas permissões. Substitua roleArn e amzn-s3-demo-bucket pelos valores apropriados para sua configuração.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

Política de chaves do KMS para descriptografar dados no bucket do S3 de origem

Se o bucket do S3 de origem usar uma chave do KMS para criptografia de dados, certifique-se de que a política de chaves do KMS forneça ao CloudTrail as permissões kms:Decrypt e kms:GenerateDataKey necessárias para copiar eventos da trilha de um bucket do S3 com criptografia SSE-KMS habilitada. Se o bucket do S3 de origem usar várias chaves do KMS, será necessário atualizar a política de cada chave. A atualização da política de chaves do KMS permite que o CloudTrail descriptografe dados no bucket do S3 de origem, execute verificações de validação para garantir que os eventos estejam em conformidade com os padrões do CloudTrail e copie eventos para o armazenamento de dados de eventos do CloudTrail Lake.

O exemplo a seguir fornece a política de chaves do KMS que permite ao CloudTrail descriptografar os dados no bucket do S3 de origem. Substitua roleArn, amzn-s3-demo-bucket, myAccountID, region e eventDataStoreId pelos valores apropriados para sua configuração. myAccountID é o ID da conta da AWS usado para o CloudTrail Lake, o qual pode não ser o mesmo ID da conta da AWS do bucket do S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}