Como trabalhar com o CloudTrail Lake - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como trabalhar com o CloudTrail Lake

Trilhas capturam um registro das atividades da AWS, entregando e armazenando esses eventos em um bucket do Amazon S3, com entrega opcional para o CloudWatch Logs e o Amazon EventBridge.

Uma cópia dos seus eventos de gerenciamento em andamento pode ser entregue no bucket do S3 sem nenhum custo via CloudTrail com a criação de uma trilha. No entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre os preços do CloudTrail, consulte Preços do AWS CloudTrail. Para receber informações sobre a definição de preço do Amazon S3, consulte Definição de preço do Amazon S3.

Você pode criar trilhas de várias regiões e de uma única região para sua Conta da AWS.

Trilhas de várias regiões

Quando você cria uma trilha de várias regiões, o CloudTrail registra os eventos de todas as Regiões da AWS na partição da AWS na qual você está trabalhando e fornece os arquivos de log de eventos do CloudTrail a um bucket do S3 que você especifica. Se uma Região da AWS for adicionada depois que você criar uma trilha de várias regiões, essa nova região será incluída automaticamente, e os eventos nessa região serão registrados. Criar uma trilha de várias regiões é uma prática recomendada, pois você captura atividades em todas as regiões da conta. As trilhas criadas por meio do console do CloudTrail são de várias regiões. Você pode converter uma trilha de região única em uma trilha de várias regiões usando a AWS CLI. Para ter mais informações, consulte Criar uma trilha no console e Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões.

Trilhas de região única

Quando você cria uma trilha de única região, o CloudTrail registra os eventos somente nessa região. Desse modo, ele fornece os arquivos de log de eventos do CloudTrail para um bucket do Amazon S3 especificado por você. Só é possível criar uma trilha de região única usando a AWS CLI. Se você criar trilhas individuais adicionais, poderá fazer com que elas forneçam arquivos de log do CloudTrail ao mesmo bucket do S3 ou a buckets separados. Essa é a opção padrão quando você cria uma trilha usando AWS CLI ou a API do CloudTrail. Para ter mais informações, consulte Criar, atualizar e gerenciar trilhas com a AWS CLI.

nota

Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.

Se você criou uma organização no AWS Organizations, pode criar uma trilha de organização que registrará em log todos os eventos de todas as contas da AWS dessa organização. As trilhas da organização podem se aplicar a todas as regiões da AWS, ou à região atual. As trilhas da organização devem ser criadas com a conta de gerenciamento ou conta de administrador delegado e, quando especificadas como aplicáveis a uma organização, são aplicadas automaticamente a todas as contas-membro da respectiva organização. As contas-membro podem ver a trilha de organização, mas não podem modificá-las ou excluí-las. Por padrão, as contas de membro não têm acesso aos arquivos de log de uma trilha da organização no bucket do Amazon S3. Para ter mais informações, consulte Criar uma trilha para uma organização.

Tópicos