Criar uma trilha para sua organização no console

Para criar uma trilha organizacional com o AWS Management Console

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

   Você deve estar conectado usando uma IAM identidade na conta de gerenciamento ou de administrador delegado com permissões suficientes para criar uma trilha da organização.

2. Escolha Trails (Trilhas) e, depois Create trail (Criar trilha).

3. Na página Create Trail (Criar trilha), em Trail name (Nome da trilha), digite um nome para a sua trilha. Para obter mais informações, consulte Requisitos de nomenclatura para os recursos do CloudTrail, buckets do Amazon S3 e chaves do KMS.

4. Selecione Enable for all accounts in my organization (Habilitar para todas as contas na minha organização). Você só verá essa opção se estiver conectado ao console com um perfil ou um usuário na conta de gerenciamento ou de administrador delegado. Para criar uma trilha da organização, verifique se o usuário ou a função tem permissões suficientes.

5. Em Storage location (Local de armazenamento), escolha Create a S3 bucket (Criar um bucket do S3) para criar um bucket. Quando você cria um bucket, CloudTrail cria e aplica as políticas de bucket necessárias.

   nota

   Se você escolheu Use existing S3 bucket (Usar bucket do S3 existente), especifique um bucket em Trail log bucket name (Nome do bucket de log de trilha), ou escolha Browse (Procurar) para escolher um bucket. Você pode escolher um bucket pertencente a qualquer conta, no entanto, a política do bucket deve conceder CloudTrail permissão para gravar nele. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para o CloudTrail.

   Para facilitar a localização de seus registros, crie uma nova pasta (também conhecida como prefixo) em um bucket existente para armazenar seus CloudTrail registros. Insira o prefixo em Prefix (Prefixo).

6. Em Arquivo de log SSE - KMS criptografia, escolha Ativado se quiser criptografar seus arquivos de log usando SSE - KMS criptografia em vez de criptografia SSE -S3. O padrão é Enabled (Habilitado). Se você não ativar a KMS criptografia SSE -, seus registros serão criptografados usando a criptografia SSE -S3. Para obter mais informações sobre SSE - KMS criptografia, consulte Usando criptografia do lado do servidor com AWS Key Management Service (SSE-). KMS Para obter mais informações sobre a criptografia SSE -S3, consulte Uso da criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (-S3). SSE

   Se você habilitar SSE - KMS criptografia, escolha Novo ou Existente AWS KMS key. Em AWS KMS Alias, especifique um alias, no formato. alias/ MyAliasName Para obter mais informações, consulte Atualizar um recurso para usar sua KMS chave com o console.

   nota

   Você também pode digitar a ARN chave de outra conta. Para obter mais informações, consulte Atualizar um recurso para usar sua KMS chave com o console. A política de chaves deve permitir CloudTrail o uso da chave para criptografar seus arquivos de log e permitir que os usuários que você especificar leiam os arquivos de log em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as AWS KMS principais políticas para CloudTrail.

7. Em Additional settings (Configurações adicionais), configure as opções a seguir.

   1. Em Log file validation (Validação de arquivo de log), escolha Enabled (Habilitado) para receber resumos de log no seu bucket do S3. Você pode usar os arquivos de resumo para verificar se seus arquivos de log não foram alterados após CloudTrail serem entregues. Para obter mais informações, consulte Validar a integridade dos arquivos de log do CloudTrail.

   2. Para entrega de SNS notificações, escolha Ativado para ser notificado sempre que um registro for entregue ao seu bucket. CloudTrail armazena vários eventos em um arquivo de log. SNSas notificações são enviadas para cada arquivo de log, não para cada evento. Para obter mais informações, consulte Configurando SNS notificações da Amazon para CloudTrail.

      Se você ativar SNS as notificações, em Criar um novo SNS tópico, escolha Novo para criar um tópico ou escolha Existente para usar um tópico existente. Se você estiver criando uma trilha que se aplica a todas as regiões, as SNS notificações para entregas de arquivos de log de todas as regiões são enviadas para o único SNS tópico que você criar.

      Se você escolher Novo, CloudTrail especifica um nome para o novo tópico para você ou pode digitar um nome. Se você escolher Existente, escolha um SNS tópico na lista suspensa. Você também pode inserir um tópico ARN de outra região ou de uma conta com as permissões apropriadas. Para obter mais informações, consulte Política de tópicos do Amazon SNS para o CloudTrail.

      Se você criar um tópico, precisará se inscrever nele para ser notificado sobre a entrega de arquivos de log. Você pode se inscrever no SNS console da Amazon. Devido à frequência das notificações, recomendamos que você configure a assinatura para usar uma SQS fila da Amazon para lidar com as notificações de forma programática. Para obter mais informações, consulte Introdução à Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

8. Opcionalmente, configure CloudTrail para enviar arquivos de log para o CloudWatch Logs escolhendo Habilitado em CloudWatch Registros. Para obter mais informações, consulte Enviar eventos para o CloudWatch Logs.

   nota

   Somente a conta de gerenciamento pode configurar um grupo de CloudWatch registros de registros para uma trilha da organização usando o console. O administrador delegado pode configurar um grupo de CloudWatch registros de registros usando as UpdateTrail API operações AWS CLI ou CloudTrail CreateTrail ou.

   1. Se você habilitar a integração com CloudWatch Logs, escolha Novo para criar um novo grupo de registros ou Existente para usar um existente. Se você escolher Novo, CloudTrail especifica um nome para o novo grupo de registros para você ou pode digitar um nome.

   2. Se escolher Existing (Existente), escolha um grupo de logs na lista suspensa.

   3. Escolha Novo para criar um novo IAM papel para obter permissões para enviar registros para o CloudWatch Logs. Escolha Existente para escolher uma IAM função existente na lista suspensa. A declaração de política para a função nova ou existente é exibida quando você expande Policy document (Documento de política). Para obter mais informações sobre essa função, consulte Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento.

      nota

      Ao configurar uma trilha, você pode escolher um bucket do S3 e um SNS tópico da Amazon que pertençam a outra conta. No entanto, se você quiser CloudTrail entregar eventos a um grupo de CloudWatch registros de registros, deverá escolher um grupo de registros que exista na sua conta atual.

9. Para Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso à sua trilha. As tags podem ajudá-lo a identificar suas CloudTrail trilhas e os buckets do Amazon S3 que contêm CloudTrail arquivos de log. Em seguida, você pode usar grupos de recursos para seus recursos do CloudTrail . Para ter mais informações, consulte AWS Resource Groups e Tags.

10. Na página Choose log events (Escolher eventos de log), escolha os tipos de eventos que você deseja registrar. Em Management events (Eventos de gerenciamento), faça o indicado a seguir.

    1. Para APIatividades, escolha se você deseja que sua trilha registre eventos de leitura, eventos de gravação ou ambos. Para obter mais informações, consulte Eventos de gerenciamento.

    2. Escolha Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) eventos da sua trilha. A configuração padrão é incluir todos os eventos do AWS KMS .

       A opção de registrar ou excluir AWS KMS eventos está disponível somente se você registrar eventos de gerenciamento em sua trilha. Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.

       AWS KMS ações comoEncrypt,Decrypt, e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventos de Leitura. AWS KMS Ações relevantes de baixo volume, como DisableDelete, e ScheduleKey (que normalmente representam menos de 0,5% do volume de AWS KMS eventos) são registradas como eventos de gravação.

       Para excluir eventos de alto volume, como Encrypt, Decrypt eGenerateDataKey, mas ainda registra eventos relevantes como Disable, Delete e ScheduleKey, escolha para registrar Write (Gravação) e desmarque a caixa de seleção para Exclude AWS KMS events (Excluir eventos do KMS).

    3. Escolha Excluir API eventos do Amazon RDS Data para filtrar os eventos do Amazon Relational Database Service API Data da sua trilha. A configuração padrão é incluir todos os API eventos do Amazon RDS Data. Para obter mais informações sobre API eventos do Amazon RDS Data, consulte Registrar API chamadas de dados AWS CloudTrail no Guia do RDS usuário da Amazon para Aurora.

11. Para registrar eventos de dados, escolha Data events (Eventos de dados). Há cobranças adicionais para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.

12. Importante

    As etapas 12 a 16 devem ser usadas para configurar eventos de dados usando seletores de eventos avançados, que é o padrão. Os seletores de eventos avançados permitem que você configure mais tipos de recursos e ofereçam controle refinado sobre quais eventos de dados sua trilha captura. Se você planeja registrar eventos de atividade de rede (em versão prévia), deve usar seletores de eventos avançados. Se você está usando seletores de eventos básicos, conclua as etapas em Configurar opções de eventos de dados utilizando seletores de eventos básicos e retorne à etapa 17 deste procedimento.

    Em Tipo de recurso, escolha o tipo de recurso no qual você deseja registrar eventos de dados. Para obter mais informações sobre os tipos de recursos disponíveis, consulteEventos de dados.

13. Escolha um modelo de seletor de registros. CloudTrail inclui modelos predefinidos que registram todos os eventos de dados do tipo de recurso. Para criar um modelo de seletor de log personalizado, escolha Custom (Personalizado).

    nota

    A escolha de um modelo predefinido para buckets do S3 permite o registro de eventos de dados de todos os buckets atualmente em sua AWS conta e de todos os buckets que você criar depois de concluir a criação da trilha. Ele também permite o registro da atividade de eventos de dados realizada por qualquer IAM identidade em sua AWS conta, mesmo que essa atividade seja realizada em um bucket que pertença a outra AWS conta.

    Se a trilha se aplicar somente a uma região, a escolha da opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Os eventos de dados não serão registrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS .

    Se você estiver criando uma trilha para todas as regiões, a escolha de um modelo predefinido para as funções do Lambda permite o registro de eventos de dados para todas as funções atualmente em AWS sua conta e para quaisquer funções do Lambda que você possa criar em qualquer região depois de terminar de criar a trilha. Se você estiver criando uma trilha para uma única região (feita usando o AWS CLI), essa seleção habilita o registro de eventos de dados para todas as funções atualmente nessa região em sua AWS conta e quaisquer funções Lambda que você possa criar nessa região depois de terminar de criar a trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.

    O registro de eventos de dados para todas as funções também permite o registro da atividade de eventos de dados realizada por qualquer IAM identidade em sua AWS conta, mesmo que essa atividade seja realizada em uma função que pertença a outra AWS conta.

14. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

15. Se você selecionou Personalizado, em Seletores de eventos avançados, crie uma expressão com base nos valores dos campos avançados do seletor de eventos.

    nota

    Os seletores não suportam o uso de curingas, como. * Para combinar vários valores com uma única condição, você pode usarStartsWith,, EndsWithNotStartsWith, ou NotEndsWith para corresponder explicitamente ao início ou ao fim do campo do evento.

    1. Escolha um dos seguintes campos:

       • readOnly - readOnly pode ser definido como igual a um valor de true ou false. Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.

       • eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, como PutBucketGetItem, ouGetSnapshotBlock.

       • resources.ARN- Você pode usar qualquer operador comresources.ARN, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de. resources.type Para obter mais informações, consulte Filtrar eventos de dados por resources.ARN.

         nota

         Você não pode usar o resources.ARN campo para filtrar tipos de recursos que não têmARNs.

       Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.

    2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados no seu armazenamento de dados de eventos, você pode definir o campo como recursos. ARN, defina o operador para does not start with e, em seguida, cole em um bucket do S3 ARN para o qual você não deseja registrar eventos.

       Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.

       Para obter informações sobre como CloudTrail avalia várias condições, consulteComo CloudTrail avalia várias condições para um campo.

       nota

       É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

    3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.

16. Para adicionar o tipo de recurso no qual registrar eventos de dados, escolha Adicionar tipo de evento de dados. Repita as etapas 12 a esta etapa para configurar seletores de eventos avançados para o tipo de recurso.

17. Para registrar eventos de atividade de rede, escolha Eventos de atividade de rede. Os eventos de atividade de rede permitem que os proprietários de VPC endpoints gravem AWS API chamadas feitas usando seus VPC endpoints de uma rede privada VPC para a. AWS service (Serviço da AWS) Há cobranças adicionais para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.

    nota

    Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

    Para registrar eventos de atividade de rede, faça o seguinte:

    1. Em Fonte de eventos de atividade de rede, escolha a fonte dos eventos de atividade de rede.

    2. Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher Personalizado para criar um seletor de registro personalizado para filtrar vários campos, como eventName e vpcEndpointId.

    3. (Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como Nome no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

    4. Em Seletores de eventos avançados, crie expressões escolhendo valores para Campo, Operador e Valor. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

       1. Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.

          • eventName — Você pode usar qualquer operador com eventName. Você pode usar este campo para incluir ou excluir qualquer evento, como CreateKey.

          • errorCode — Você pode usá-lo para filtrar um código de erro. Atualmente, o único errorCode compatível é VpceAccessDenied.

          • vpcEndpointId— Identifica o VPC endpoint pelo qual a operação passou. Você pode usar qualquer operador com vpcEndpointId.

       2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.

       3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.

    5. Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha Adicionar seletor de eventos de atividade de rede.

    6. Opcionalmente, expanda a JSONvisualização para ver seus seletores de eventos avançados como um JSON bloco.

18. Escolha eventos do Insights se quiser que sua trilha registre eventos do CloudTrail Insights.

    Em Event type (Tipo de evento), selecione Insights events (Eventos do Insights). Em eventos do Insights, escolha taxa de API chamadas, taxa de API erro ou ambas. Você deve registrar eventos de gerenciamento de gravação para registrar eventos do Insights sobre a taxa de API chamadas. Você deve registrar eventos de gerenciamento de leitura ou gravação para registrar a taxa de API erro dos eventos do Insights.

    CloudTrail O Insights analisa eventos de gerenciamento em busca de atividades incomuns e registra eventos quando anomalias são detectadas. Por padrão, as trilhas não registram em log eventos do Insights. Para obter mais informações sobre eventos do Insights, consulte Trabalhando com o CloudTrail Insights. Há cobranças adicionais para o registro em log de eventos do Insights. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

    Os eventos do Insights são entregues em uma pasta diferente chamada /CloudTrail-Insight do mesmo bucket do S3 que é especificado na área de localização de armazenamento da página de detalhes da trilha. CloudTrailcria o novo prefixo para você. Por exemplo, se o bucket de destino do S3 atual for chamado de amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/, o nome do bucket do S3 com um novo prefixo será chamado de amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/.

19. Quando terminar de escolher os tipos de eventos para registrar, escolha Próximo.

20. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) em uma seção para alterar as configurações de trilha mostradas nessa seção. Quando estiver pronto para criar a trilha, escolha Create trail (Criar trilha).

21. A nova trilha será exibida na página Trails (Trilhas). Até 24 horas podem ser necessárias para uma trilha da organização ser criada em todas as regiões em todas as contas-membro. A página Trails (Trilhas) mostra as trilhas de todas as regiões na sua conta. Em cerca de 5 minutos, CloudTrail publica arquivos de log que mostram as AWS API chamadas feitas em sua organização. Você pode ver os arquivos de log no bucket do Amazon S3 que você especificou.