CloudTrail Konzepte - AWS CloudTrail
CloudTrail EreignisseEreignisverlaufTrailsOrganisationspfadCloudTrail Lake- und EreignisdatenspeicherCloudTrail EinblickeTagsAWS Security Token Service und CloudTrailInformationen zu globalen Serviceereignissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Konzepte

Dieser Abschnitt bietet eine Übersicht über die grundlegenden Konzepte von CloudTrail.

CloudTrail Ereignisse

Ein Ereignis in CloudTrail ist der Datensatz zu einer Aktivität in einem AWS -Konto. Diese Aktivität kann eine Aktion sein, die von einer IAM-Identität oder einem Service durchgeführt wurde, der bzw. die überwacht werden kann. CloudTrail CloudTrailEreignisse stellen einen Verlauf von API-Kontoaktivitäten und nicht API-Kontoaktivitäten bereit AWS Management Console, die über die AWS SDKs, -Befehlszeilen-Tools und andere AWS -Services durchgeführt wurden.

CloudTrail Protokolldateien sind kein geordnetes Stack-Trace der öffentlichen API-Aufrufe und erscheinen daher in keiner bestimmten Reihenfolge.

CloudTrail protokolliert vier Arten von Ereignissen:

Alle Ereignistypen verwenden ein CloudTrail JSON-Protokollformat.

Standardmäßig protokollieren Trails und Ereignisdatenspeicher Verwaltungsereignisse, aber keine Daten- oder Insights-Ereignisse.

Informationen zur AWS-Services Integration mit finden Sie CloudTrail unterAWS Servicethemen für CloudTrail.

Verwaltungsereignisse

Verwaltungsereignisse liefern Informationen zu Verwaltungsvorgängen, die für Ressourcen im AWS -Konto ausgeführt wurden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet.

Beispiele für Verwaltungsereignisse:

  • Konfiguration der Sicherheit (z. B. AWS Identity and Access Management AttachRolePolicy API-Operationen).

  • Registrieren von Geräten (z. B. EC2 CreateDefaultVpc Amazon-API-Operationen von Amazon).

  • Konfigurieren von Regeln für die Datenweiterleitung (z. B. EC2 CreateSubnet Amazon-API-Operationen).

  • Einrichtung der Protokollierung (z. B. AWS CloudTrail CreateTrail API-Operationen).

Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Meldet sich beispielsweise ein Benutzer beim Konto an, CloudTrail protokolliert er das ConsoleLogin Ereignis. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, erfasst von CloudTrail.

Standardmäßig protokollieren CloudTrail Trails und CloudTrail Lake-Ereignisdatenspeicher Verwaltungsereignisse. Weitere Informationen zum Protokollieren von Verwaltungsereignissen finden Sie unterProtokollieren von Verwaltungsereignissen.

Datenereignisse

Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.

Beispiele für Datenereignisse:

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Trails und Ereignisdatenspeicher verfügbar sind. In der Spalte Ressourcentyp (Konsole) wird die entsprechende Auswahl in der Konsole angezeigt. Die Spalte resources.type-Wert zeigt den resources.type Wert an, den Sie angeben würden, um Datenereignisse dieses Typs in Ihren Trail- oder Ereignisdatenspeicher aufzunehmen, indem Sie die AWS CLI Option oder verwenden. CloudTrail APIs

Für Trails können Sie einfache oder erweiterte Ereignisselektoren verwenden, um Datenereignisse für Amazon-S3-Objekte in Allzweck-Buckets, Lambda-Funktionen und DynamoDB-Tabellen (in den ersten drei Zeilen der Tabelle dargestellt) zu protokollieren. Sie können nur erweiterte Ereignisselektoren verwenden, um die in den verbleibenden Zeilen angezeigten Ressourcentypen zu protokollieren.

Für Ereignisdatenspeicher können Sie nur erweiterte Ereignisselektoren verwenden, um Datenereignisse einzubeziehen.

AWS-Service Beschreibung Ressourcentyp (Konsole) resources.type-Wert
Amazon-DynamoDB

Amazon DynamoDB DynamoDB-API-Aktivität auf Artikelebene für Tabellen (z. B., PutItemDeleteItem, und UpdateItem API-Operationen).

Anmerkung

Bei Tabellen mit aktivierten Streams enthält das resources-Feld im Datenereignis sowohl AWS::DynamoDB::Stream als auch AWS::DynamoDB::Table. Wenn Sie AWS::DynamoDB::Table als resources.type angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie dem Feld einen Filter hinzu. eventName

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda -Funktionsausführungsaktivität (die Invoke API).

 Lambda AWS::Lambda::Function
Amazon S3

Amazon-S3-API-Aktivitäten auf Objektebene (z. B., GetObjectDeleteObject, und PutObject API-Operationen) für Objekte in Allzweck-Buckets.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig API-Aktivität für Konfigurationsvorgänge wie Aufrufe von und. StartConfigurationSession GetLatestConfiguration

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync API-Aktivität auf AppSync GraphQL APIs.

 AppSync GraphQL AWS::AppSync::GraphQLApi
AWS B2B Data Interchange

B2B-Datenaustausch-API-Aktivität für Transformer-Operationen wie Aufrufe von GetTransformerJob und StartTransformerJob.

 B2B-Datenaustausch AWS::B2BI::Transformer
AWS Backup

AWS Backup Suchdaten-API-Aktivität bei Suchaufträgen.

 AWS Backup Daten durchsuchen APIs AWS::Backup::SearchJob
Amazon Bedrock Amazon-Bedrock-API-Aktivität auf einem Agent-Alias. Bedrock-Agent-Alias AWS::Bedrock::AgentAlias
Amazon Bedrock Amazon Bedrock API-Aktivität bei asynchronen Aufrufen. Asynchroner Aufruf von Bedrock AWS::Bedrock::AsyncInvoke
Amazon Bedrock API-Aktivität von Amazon Bedrock für einen Flow-Alias. Bedrock Flow-Alias AWS::Bedrock::FlowAlias
Amazon Bedrock Amazon Bedrock API-Aktivität auf Leitplanken. Grundfels-Leitplanke AWS::Bedrock::Guardrail
Amazon Bedrock Amazon Bedrock API-Aktivität auf Inline-Agenten. Bedrock Inline-Agent aufrufen AWS::Bedrock::InlineAgent
Amazon Bedrock Amazon-Bedrock-API-Aktivität auf einer Wissensdatenbank. Bedrock-Wissensdatenbank AWS::Bedrock::KnowledgeBase
Amazon Bedrock Amazon Bedrock API-Aktivität für Modelle. Bedrock-Modell AWS::Bedrock::Model
Amazon Bedrock Amazon Bedrock API-Aktivität bei Eingabeaufforderungen. Bedrock-Eingabeaufforderung AWS::Bedrock::PromptVersion
Amazon Bedrock Amazon Bedrock API-Aktivität in Sitzungen. Bedrock-Sitzung AWS::Bedrock::Session
Amazon CloudFront

CloudFront API-Aktivität auf einem KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map API-Aktivität in einem Namespace. AWS Cloud Map Namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map API-Aktivität für einen Dienst. AWS Cloud Map Service nicht zulässig AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsAktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS.

 CloudTrail Kanal AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch Amazon-API-Aktivität in Bezug auf Metriken.

 CloudWatch Metrik AWS::CloudWatch::Metric
Amazon CloudWatch Network Flow Überwachung

Amazon CloudWatch Network Flow Monitor-API-Aktivität auf Monitoren.

 Netzwerkablauf-Überwachung AWS::NetworkFlowMonitor::Monitor
Amazon CloudWatch Network Flow Überwachung

Amazon CloudWatch Network Flow Monitor-API-Aktivität in Bereichen.

 Umfang von Network Flow Monitor AWS::NetworkFlowMonitor::Scope
Amazon CloudWatch RUM

Amazon CloudWatch RUM-API-Aktivität auf App-Monitoren.

 RUM-App-Monitor AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru Profiler-API-Aktivität für Profilerstellungsgruppen. CodeGuru Profiler-Profilerstellungsgruppe AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer CodeWhisperer API-Aktivität von Amazon bei einer Anpassung. CodeWhisperer Anpassung AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer API-Aktivität von Amazon in einem Profil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

API-Aktivität von Amazon Cognito in Amazon-Cognito-Identitätspools.

 Cognito-Identitätspools AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange API-Aktivität für Vermögenswerte.

Datenaustausch-Asset

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline CloudAPI-Aktivität auf Flotten.

Deadline Cloud Flotte

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline CloudAPI-Aktivität für Jobs.

Deadline Cloud Arbeit

AWS::Deadline::Job
AWS Deadline Cloud

Deadline CloudAPI-Aktivität in Warteschlangen.

Deadline Cloud Warteschlange

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline CloudAPI-Aktivität für Mitarbeiter.

Deadline Cloud Arbeiter

AWS::Deadline::Worker
Amazon-DynamoDB

API-Aktivitäten von Amazon DynamoDB in Streams.

 DynamoDB-Streams AWS::DynamoDB::Stream
AWS End User Messaging SMS AWS SMS-API-Aktivität für Endbenutzer-Nachrichten auf Originalidentitäten. Identität der SMS-Sprachquelle AWS::SMSVoice::OriginationIdentity
AWS End User Messaging SMS AWS SMS-API-Aktivität für Endbenutzer-Nachrichten in Bezug auf Nachrichten. SMS-Sprachnachricht AWS::SMSVoice::Message
AWS End User Messaging Social AWS Social API-Aktivität für Endbenutzer im Bereich Messaging auf der Telefonnummer IDs. ID der Telefonnummer für soziale Nachrichten AWS::SocialMessaging::PhoneNumberId
AWS End User Messaging Social AWS Soziale API-Aktivität für Endbenutzer-Messaging auf Waba IDs. Waba-ID für soziale Nachrichten AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) direkt APIs, wie PutSnapshotBlockGetSnapshotBlock, und ListChangedBlocks auf Amazon EBS-Snapshots.

 Amazon EBS direkt APIs AWS::EC2::Snapshot
Amazon EMR API-Aktivität von Amazon EMR in einem Write-Ahead-Log-Workspace. EMR-Write-Ahead-Log-Workspace AWS::EMRWAL::Workspace
Amazon FinSpace

API-Aktivitäten von Amazon FinSpace in Umgebungen.

 FinSpace AWS::FinSpace::Environment
Amazon GameLift Server-Streams

Amazon GameLift Servers streamt API-Aktivitäten auf Anwendungen.

 GameLift Streams-Anwendung AWS::GameLiftStreams::Application
Amazon GameLift Server-Streams

Amazon GameLift Servers streamt API-Aktivitäten auf Stream-Gruppen.

 GameLift Stream-Gruppe streamt AWS::GameLiftStreams::StreamGroup
AWS Glue

AWS Glue API-Aktivitäten von in Tabellen, die von Lake Formation erstellt wurden.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

GuardDuty Amazon-API-Aktivität für einen Detektor.

 GuardDuty Detektor AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging API-Aktivität von in Datenspeichern.

 MedicalImaging Datenspeicher AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT API-Aktivität für Zertifikate.

 IoT-Zertifikat AWS::IoT::Certificate
AWS IoT

AWS IoT API-Aktivität für Dinge.

 IoT-Sache AWS::IoT::Thing
AWS IoT Greengrass Version 2

Greengrass-API-Aktivität von einem Greengrass-Core-Gerät auf einer Komponentenversion.

Anmerkung

Greengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde.

 IoT Greengrass-Komponentenversion AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Greengrass-API-Aktivität von einem Greengrass-Core-Gerät in einer Bereitstellung.

Anmerkung

Greengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde.

 Einsatz von IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise IoT-API-Aktivität für Anlagen.

 SiteWise IoT-Anlage AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise IoT-API-Aktivität in Zeitreihen.

 SiteWise IoT-Zeitreihen AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Assistentin

API-Aktivität des Sitewise Assistant bei Konversationen.

 Sitewise Assistant-Konversation AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

TwinMaker IoT-API-Aktivität für eine Entität.

 TwinMaker IoT-Entität AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker IoT-API-Aktivität in einem Workspace.

 TwinMaker IoT-Arbeitsplatz AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

API-Aktivität von Amazon Kendra Intelligent Rankin für Rescore-Ausführungspläne.

 Kendra-Rangliste AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (für Apache Cassandra) Amazon Keyspaces-API-Aktivität in einer Tabelle. Cassandra-Tabelle AWS::Cassandra::Table
Amazon Kinesis Data Streams Kinesis Data Streams Streams-API-Aktivität in Streams. Kinesis-Stream AWS::Kinesis::Stream
Amazon Kinesis Data Streams Kinesis Data Streams Streams-API-Aktivität auf Stream-Verbrauchern. Kinesis-Stream-Konsument AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Kinesis Video Streams Streams-API-Aktivitäten in Videostreams, z. B. Aufrufe von GetMedia undPutMedia. Kinesis-Videostream AWS::KinesisVideo::Stream
Amazon Location Maps API-Aktivität von Amazon Location Maps. Geokarten AWS::GeoMaps::Provider
Amazon Location Places API-Aktivität von Amazon Location Places. Geo & Places AWS::GeoPlaces::Provider
Amazon Location Routes API-Aktivität von Amazon Location Routes. Geo-Routen AWS::GeoRoutes::Provider
Amazon Machine Learning API-Aktivität für Machine Learning auf ML-Modellen. Passendes Lernen MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

API-Aktivität von Amazon Managed Blockchain in einem Netzwerk.

 Managed-Blockchain-Netzwerk AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

JSON-RPC-Aufrufe von Amazon Managed Blockchain in Ethereum-Knoten, zum Beispiel eth_getBalance oder eth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Blockchain Query

API-Aktivität von Amazon Managed Blockchain Query.

 Managed Blockchain Query AWS::ManagedBlockchainQuery::QueryAPI
Amazon Managed Workflows für Apache Airflow

API-Aktivität von Amazon MWAA in Umgebungen.

 Verwalteter Apache Airflow AWS::MWAA::Environment
Amazon-Neptune-Graph

Daten-API-Aktivitäten in einem Neptune-Graph, zum Beispiel Abfragen, Algorithmen oder Vektorsuche.

 Neptun-Graph AWS::NeptuneGraph::Graph
Amazon One Enterprise

Amazon One Enterprise API-Aktivität auf einem UKey.

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

Amazon One Enterprise API-Aktivität für Benutzer.

 Amazon One-Benutzer AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography API-Aktivität für Aliase. Alias für Zahlungskryptografie AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography API-Aktivität für Schlüssel. Kryptografie-Schlüssel für Zahlungen AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA -Connector für API-Aktivität von Active Directory.

 AWS Private CA -Connector for Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Konnektor für die SCEP-API-Aktivität.

 AWS Private CA Connector for SCEP AWS::PCAConnectorSCEP::Connector
Amazon Pinpoint

Amazon Pinpoint API-Aktivität in mobilen Targeting-Anwendungen.

 Anwendung für mobiles Targeting AWS::Pinpoint::App
Amazon Q Apps

Daten-API-Aktivität auf Amazon Q Apps.

 Amazon Q Apps AWS::QApps::QApp
Amazon Q Apps

Daten-API-Aktivität in Amazon Q App-Sitzungen.

 Amazon Q App-Sitzung AWS::QApps::QAppSession
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einer Anwendung.

 Amazon-Q-Business-Anwendung AWS::QBusiness::Application
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einer Datenquelle.

 Amazon-Q-Business-Datenquelle AWS::QBusiness::DataSource
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einem Index.

 Amazon-Q-Business-Index AWS::QBusiness::Index
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einem Weberlebnis.

 Amazon-Q-Business-Weberlebnis AWS::QBusiness::WebExperience
Amazon Q Developer

Amazon Q Developer API-Aktivität für eine Integration.

 Q: Integration für Entwickler AWS::QDeveloper::Integration
Amazon Q Developer

Amazon Q Developer API-Aktivität im Zusammenhang mit operativen Untersuchungen.

 AIOps Untersuchungsgruppe AWS::AIOps::InvestigationGroup
Amazon RDS

Amazon RDS-API-Aktivität in einem DB-Cluster.

 RDS-Daten-API — DB-Cluster AWS::RDS::DBCluster
AWS Ressourcen Explorer

Resource Explorer-API-Aktivität in verwalteten Ansichten.

 AWS Ressourcen Explorer verwaltete Ansicht AWS::ResourceExplorer2::ManagedView
AWS Ressourcen Explorer

Resource Explorer-API-Aktivität für Ansichten.

 AWS Ressourcen Explorer anzeigen AWS::ResourceExplorer2::View
Amazon S3

Amazon S3 S3-API-Aktivität für Zugriffspunkte.

 S3-Zugangspunkt AWS::S3::AccessPoint
Amazon S3

Amazon-S3-API-Aktivitäten auf Objektebene (z. B., GetObjectDeleteObject, und PutObject API-Operationen) für Objekte in Verzeichnis-Buckets.

 S3 Express AWS::S3Express::Object
Amazon S3

API-Aktivitäten in Zugriffspunkten von Amazon S3 Object Lambda, z. B. Aufrufe von CompleteMultipartUpload undGetObject.

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 Tables

Amazon S3 S3-API-Aktivität für Tabellen.

 S3-Tabelle AWS::S3Tables::Table
Amazon S3 Tables

Amazon S3 S3-API-Aktivität für Tabellen-Buckets.

 S3-Tabell-Bucket AWS::S3Tables::TableBucket
Amazon S3 on Outposts

API-Aktivität auf Objektebene auf Amazon S3 on Outposts.

 S3-Outposts AWS::S3Outposts::Object
Amazon SageMaker AI SageMaker InvokeEndpointWithResponseStreamAmazon-KI-Aktivitäten auf Endpunkten. SageMaker KI-Endpunkt AWS::SageMaker::Endpoint
Amazon SageMaker AI

API-Aktivität von Amazon SageMaker AI in Feature Stores.

 SageMaker KI-Featurestore AWS::SageMaker::FeatureGroup
Amazon SageMaker AI

Amazon SageMaker AI-API-Aktivität für Komponenten von Experimenten und Studien.

 SageMaker Testkomponente für KI-Metrikexperiment AWS::SageMaker::ExperimentTrialComponent
AWS Signer

API-Aktivität des Unterzeichners beim Signieren von Aufträgen.

 Job beim Signieren durch den Unterzeichner AWS::Signer::SigningJob
AWS Signer

API-Aktivität des Unterzeichners bei Signierprofilen.

 Signaturprofil des Unterzeichners AWS::Signer::SigningProfile
Amazon SimpleDB

Amazon SimpleDB SimpleDB-API-Aktivität auf Domains.

 SimpleDB-Domäne AWS::SDB::Domain
Amazon Simple Email Service

API-Aktivitäten von Amazon Simple Email (Amazon SES) -API-Aktivitäten (Amazon SES) -API-Aktivitäten (Amazon SES) -API-Aktivitäten (

 SES-Konfigurationssatz AWS::SES::ConfigurationSet
Amazon Simple Email Service

API-Aktivitäten von Amazon Simple Email (Amazon SES) -API-Aktivitäten (Amazon SES) -API-Aktivitäten (Amazon SES) -API-Aktivitäten (z. B.

 SES-Identität AWS::SES::EmailIdentity
Amazon Simple Email Service

API-Aktivität von Amazon Simple Email Service (Amazon SES) für Vorlagen.

 SES-Vorlage AWS::SES::Template
Amazon SNS

Publish-API-Operationen von Amazon SNS auf Plattformendpunkten.

 SNS-Plattformendpunkt AWS::SNS::PlatformEndpoint
Amazon SNS

Publish- und PublishBatch-API-Operationen von Amazon SNS zu Themen.

 SNS-Thema AWS::SNS::Topic
Amazon SQS

Amazon-SQS-API-Aktivität auf Nachrichten.

 SQS AWS::SQS::Queue
AWS Step Functions

API-Aktivität von Step Functions für Aktivitäten.

 Step Functions AWS::StepFunctions::Activity
AWS Step Functions

API-Aktivität von Step Functions auf Zustandsmaschinen.

 Step-Functions-Zustandsautomat AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain API-Aktivität auf einer Instanz.

 -Lieferkette AWS::SCN::Instance
Amazon SWF

Amazon SWF SWF-API-Aktivität auf Domains.

 SWF-Domäne AWS::SWF::Domain
AWS Systems Manager API-Aktivität von Systems Manager auf Kontrollkanälen. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager API-Aktivität von Systems Manager im Zusammenhang mit Folgenabschätzungen. SSM-Folgenabschätzung AWS::SSM::ExecutionPreview
AWS Systems Manager Systems Manager Manager-API-Aktivität auf verwalteten Knoten. Von Systems Manager verwalteter Knoten AWS::SSM::ManagedNode
Amazon Timestream Query-API-Aktivität von Amazon Timestream in Datenbanken. Timestream-Datenbank AWS::Timestream::Database
Amazon Timestream Amazon Timestream Timestream-API-Aktivität auf regionalen Endpunkten. Regionaler Timestream-Endpunkt AWS::Timestream::RegionalEndpoint
Amazon Timestream Query-API-Aktivität von Amazon Timestream in Tabellen. Timestream-Tabelle AWS::Timestream::Table
Amazon Verified Permissions

API-Aktivität von Amazon Verified Permissions in einem Richtlinienspeicher.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces API-Aktivität von Thin Client auf einem Gerät. Thin-Client-Gerät AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces API-Aktivität von Thin Client in einer Umgebung. Thin-Client-Umgebung AWS::ThinClient::Environment
AWS X-Ray

X-Ray-API-Aktivität auf Spuren.

 X-Ray-Nachverfolgung AWS::XRay::Trace

Datenereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail oder einen Ereignisdatenspeicher erstellen. Um CloudTrail Datenereignisse aufzuzeichnen, müssen Sie jeden Ressourcentyp, für den Sie Aktivitäten sammeln möchten, explizit hinzufügen. Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter Protokollieren von Datenereignissen.

Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Preisinformationen finden Sie unter AWS CloudTrail Preisgestaltung.

Netzwerkaktivitätsereignisse

CloudTrail Netzwerkaktivitätsereignisse ermöglichen es VPC-Endpunktbesitzern, AWS API-Aufrufe aufzuzeichnen, die mit ihren VPC-Endpunkten von einer privaten VPC an die getätigt wurden. AWS-Service Netzwerkaktivitätsereignisse bieten Einblicke in die Ressourcenvorgänge, die in einer VPC ausgeführt wurden.

Sie können Netzwerkaktivitätsereignisse für die folgenden Dienste protokollieren:

  • AWS AppConfig

  • AWS B2B Data Interchange

  • Fakturierung und Kostenmanagement

  • AWS -Preisrechner

  • AWS Cost Explorer

  • AWS CloudHSM

  • Amazon Comprehend Medical

  • AWS CloudTrail

  • AWS Data Exports

  • Amazon-DynamoDB

  • Amazon EC2

  • Amazon Elastic Container Service

  • Amazon EventBridge Scheduler

  • Kostenloses AWS-Kontingent

  • Amazon FSx

  • AWS IoT FleetWise

  • AWS Invoicing

  • AWS KMS

  • AWS Lambda

  • Amazon Lookout für Equipment

  • Amazon Rekognition

  • Amazon S3

    Anmerkung

    Amazon S3 S3-Zugriffspunkte für mehrere Regionen werden nicht unterstützt.

  • AWS Secrets Manager

  • AWS Systems Manager Incident Manager

  • Amazon Textract

  • Amazon WorkMail

Netzwerkaktivitätsereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail oder einen Ereignisdatenspeicher erstellen. Um CloudTrail Netzwerkaktivitätsereignisse aufzuzeichnen, müssen Sie die Ereignisquelle, für die Sie Aktivitäten sammeln möchten, explizit festlegen. Weitere Informationen finden Sie unter Protokollierung von Netzwerkaktivitätsereignissen.

Für die Protokollierung von Netzwerkaktivitätsereignissen fallen zusätzliche Gebühren an. CloudTrail Die Preise finden Sie unter AWS CloudTrail Preise.

Insights-Ereignisse

CloudTrail Insights-Ereignisse erfassen Aktivitäten mit ungewöhnlicher API-Aufruf- oder -Fehlerrate in Ihrem AWS -Konto durch Analyse der CloudTrail Verwaltungsaktivitäten. Insights-Ereignisse stellen relevante Informationen bereit, z. B. die zugehörige API, den Fehlercode, die Vorfallzeit und Statistiken, die Ihnen helfen, ungewöhnliche Aktivitäten zu verstehen und darauf zu reagieren. Im Gegensatz zu anderen Ereignistypen, die per CloudTrail Trail- oder Ereignisdatenspeicher erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen bei der API-Nutzungs- oder Fehlerratenprotokollierung in Ihrem Konto CloudTrail erkannt werden, die sich deutlich von den üblichen Nutzungsmustern des Kontos unterscheiden. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten.

Beispiele für Aktivitäten, bei denen ggf. Inights-Ereignisse generiert werden, sind:

  • Für Ihr Konto werden pro Minute normalerweise nicht mehr als 20 deleteBucket-API-Aufrufe vom Typ Amazon S3 protokolliert, aber unter Ihrem Konto werden nun durchschnittlich 100 deleteBucket-API-Aufrufe pro Minute protokolliert. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.

  • Für Ihr Konto werden pro Minute normalerweise 20 Aufrufe der EC2 AuthorizeSecurityGroupIngress Amazon-API protokolliert, aber unter Ihrem Konto werden nun keine Aufrufe mehr protokolliertAuthorizeSecurityGroupIngress. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und zehn Minuten später, nachdem die ungewöhnlichen Aktivitäten nicht mehr auftreten, wird ein anderes Insights-Ereignis protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.

  • Ihr Konto protokolliert normalerweise weniger als einen AccessDeniedException-Fehler in einem Zeitraum von sieben Tagen in der AWS Identity and Access Management -API, DeleteInstanceProfile. Ihr Konto beginnt mit der Protokollierung von durchschnittlich 12 AccessDeniedException-Fehlern pro Minute für den DeleteInstanceProfile-API-Aufruf. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Fehlerraten-Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.

Diese Beispiele dienen nur zur Veranschaulichung. Ihre Ergebnisse können je nach Anwendungsfall abweichen.

Um CloudTrail Insights-Ereignisse zu protokollieren, müssen Sie Insights-Ereignisse in einem neuen oder bestehenden Trail oder Ereignisdatenspeicher explizit aktivieren. Weitere Informationen zum Erstellen eines Trails finden Sie unter Erstellen eines Trails mit der CloudTrail Konsole. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers finden Sie unter Erstellen eines Ereignisdatenspeichers für Insights-Ereignisse mit der Konsole.

Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail  – Preise.

Ereignisverlauf

CloudTrail Der Ereignisverlauf stellt eine anzeigbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der CloudTrail Verwaltungsereignisse der letzten 90 Tage in einer bereit. AWS-Region Sie können diesen Verlauf verwenden, um sich einen Überblick über die Aktionen zu verschaffen, die in Ihrem AWS Konto in den AWS Management Console, AWS SDKs, Befehlszeilentools und anderen AWS Diensten ausgeführt wurden. Sie können die Ansicht des Ereignisverlaufs in der CloudTrail Konsole anpassen, indem Sie auswählen, welche Spalten angezeigt werden sollen. Weitere Informationen finden Sie unter Mit der CloudTrail Ereignishistorie arbeiten.

Trails

Ein Trail ist eine Konfiguration, die die Zustellung von CloudTrail Ereignissen an einen S3-Bucket ermöglicht, mit optionalen Zustellung an CloudWatch Logs und Amazon EventBridge. Mit einem Trail können Sie die CloudTrail Ereignisse auswählen, die Sie zustellen möchten, CloudTrail Ereignisprotokolldateien mit einem AWS KMS -Schlüssel verschlüsseln und Amazon-SNS-Benachrichtigungen für die Übermittlung der Protokolldateien einrichten. Weitere Informationen zum Erstellen und Verwalten eines Trails finden Sie unter Erstellen Sie einen Trail für Ihren AWS-Konto.

Wanderwege mit mehreren Regionen und nur einer Region

Sie können sowohl Trails mit mehreren Regionen als auch Trails mit nur einer Region für Ihre erstellen. AWS-Konto

Multi-Region Trails

Wenn Sie einen Trail mit mehreren Regionen erstellen, CloudTrail zeichnet er die Ereignisse in allen, AWS-Regionen die für Sie aktiviert sind, auf AWS-Konto und sendet die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen S3 Bucket. Als bewährte Methode empfehlen wir, einen Trail mit mehreren Regionen zu erstellen, da er Aktivitäten in allen aktivierten Regionen erfasst. Trails, die mit der CloudTrail Konsole erstellt wurden, sind multiregional. Sie können mithilfe von einen Einzel-Region-Trail in einen Trail für eine mehrere Regionen konvertieren. AWS CLI Weitere Informationen finden Sie unter Grundlegendes zu Wanderwegen und optionalen Regionen, Erstellen eines Trails mit der Konsole und Umwandlung eines Trails mit einer einzelnen Region in einen Trail mit mehreren Regionen.

Wanderwege für eine einzelne Region

Wenn Sie einen Einzel-Region-Trail erstellen, werden nur die Ereignisse in dieser Region CloudTrail aufgezeichnet. Der Service gibt die CloudTrail Ereignisprotokolldateien in einen Amazon-S3-Bucket aus, den Sie zuvor angegeben haben. Sie können nur einen einzelnen Regions-Trail erstellen, indem Sie die AWS CLI verwenden. Wenn Sie zusätzliche Einzel-Trails erstellen, können Sie veranlassen, dass diese Trails CloudTrail Ereignisprotokolldateien an denselben S3-Bucket oder an separate Buckets senden. Das ist die Standardoption beim Erstellen eines Trails bei Verwendung der AWS CLI oder der CloudTrail API. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit dem AWS CLI.

Anmerkung

Für beide Arten von Trails können Sie einen Amazon-S3-Bucket aus einer beliebigen Region angeben.

Ein multiregionaler Trail hat die folgenden Vorteile:

  • Die Konfigurationseinstellungen für den Trail gelten einheitlich für alle aktivierten AWS-Regionen Pfade.

  • Sie erhalten CloudTrail Ereignisse von allen aktivierten AWS-Regionen in einem einzigen Amazon-S3-Bucket und optional in einer CloudWatch Logs-Protokollgruppe.

  • Sie verwalten die Trail-Konfigurationen für alle aktivierten AWS-Regionen Dateien von einem Standort aus.

Die Erstellung eines multiregionalen Trails hat die folgenden Auswirkungen:

  • CloudTrail sendet Protokolldateien zu Kontoaktivitäten von allen aktivierten Konten AWS-Regionen an einen von Ihnen angegebenen Amazon-S3-Bucket und, optional, an eine CloudWatch Logs-Protokollgruppe.

  • Wenn Sie ein Amazon-SNS-Thema für den Trail konfiguriert haben, AWS-Regionen werden SNS-Benachrichtigungen für übermittelte Protokolldateien aller aktivierten Optionen an dieses SNS-Thema gesendet.

  • Sie können sehen, dass der Trail für mehrere Regionen aktiviert ist AWS-Regionen, aber Sie können den Trail nur in der Heimatregion ändern, in der er erstellt wurde.

Unabhängig davon, ob es sich bei einem Trail um mehrere Regionen oder um eine einzelne Region handelt, EventBridge werden an Amazon gesendete Ereignisse im Event Bus jeder Region empfangen und nicht in einem einzelnen Event Bus.

Mehrere Trails pro Region

Wenn Sie zwar mehrere, aber ähnliche Benutzergruppen (wie Developer, Sicherheitspersonal und IT-Auditoren) haben, können Sie mehrere Trails pro Region erstellen. Auf diese Weise erhält jede Gruppe eine eigene Kopie der Protokolldateien.

CloudTrail unterstützt fünf Trails pro Region. Ein Pfad mit mehreren Regionen zählt als ein Weg pro Region.

Nachfolgend wird ein Beispiel für eine Region mit fünf Trails gezeigt:

  • Sie erstellen zwei Trails in der USA West (Nordkalifornien), die nur für diese Region gelten.

  • Sie erstellen zwei weitere multiregionale Trails in der Region USA West (Nordkalifornien).

  • Sie erstellen einen weiteren multiregionalen Trail in der Region Asien-Pazifik (Sydney). Dieser Trail ist auch in der Region USA West (Nordkalifornien) vorhanden.

Sie können eine Liste der Trails auf AWS-Region der Seite Trails der CloudTrail Konsole anzeigen. Weitere Informationen finden Sie unter Aktualisieren eines Trails mit der CloudTrail Konsole. CloudTrail Preise finden Sie unter AWS CloudTrail Preise.

Organisationspfad

Ein Organisations-Trail ist eine Konfiguration, die die Übermittlung von CloudTrail Ereignissen im Verwaltungskonto und allen Mitgliedskonten in einer AWS Organizations -Organisation an denselben Amazon-S3-Bucket, CloudWatch Logs und Amazon ermöglicht EventBridge. Das Erstellen eines Organisations-Trails hilft Ihnen dabei, für Ihre Organisation eine einheitliche Ereignisprotokollierungsstrategie zu definieren.

Bei allen mit der Konsole erstellten Organisationspfaden handelt es sich um regionsübergreifende Organisationspfade, in denen Ereignisse von den AWS-Regionen in jedem Mitgliedskonto der Organisation aktivierten Konten protokolliert werden. Um Ereignisse in allen AWS Partitionen Ihrer Organisation zu protokollieren, erstellen Sie in jeder Partition einen organisationsübergreifenden Trail. Sie können mithilfe von entweder einen Einzel-Region- oder einen Multi-Region-Trail erstellen. AWS CLI Wenn Sie einen Einzel-Region-Trail erstellen, protokollieren Sie Aktivitäten nur in den Trails AWS-Region (auch als Heimatregion bezeichnet).

Obwohl die meisten Regionen standardmäßig für dich aktiviert AWS-Regionen sind AWS-Konto, musst du bestimmte Regionen (auch als Opt-in-Regionen bezeichnet) manuell aktivieren. Informationen darüber, welche Regionen standardmäßig aktiviert sind, finden Sie im AWS -Kontenverwaltung Referenzhandbuch unter Überlegungen vor dem Aktivieren und Deaktivieren von Regionen. Eine Liste der CloudTrail unterstützten Regionen finden Sie unterCloudTrail unterstützte Regionen.

Wenn Sie einen Organisations-Trail erstellen, wird eine Kopie des Trails mit dem von Ihnen gewählten Namen in den Mitgliedskonten erstellt, die zu Ihrer Organisation gehören.

  • Wenn sich der Organisationspfad auf eine einzelne Region bezieht und die Heimatregion des Trails keine optionale Region ist, wird in jedem Mitgliedskonto eine Kopie des Trails in der Heimatregion des Organisationstrails erstellt.

  • Wenn sich der Organisationspfad auf eine einzelne Region bezieht und es sich bei der Heimatregion des Trails um eine optionale Region handelt, wird eine Kopie des Trails in der Heimatregion des Organisationstrails in den Mitgliedskonten erstellt, die diese Region aktiviert haben.

  • Wenn es sich bei dem Organigationspfad um einen Multi-Region-Trail handelt und die Heimatregion des Trails keine Region ist, in der sich der Trail angemeldet hat, wird in jedem Mitgliedskonto, das aktiviert AWS-Region ist, eine Kopie des Trails erstellt. Wenn ein Mitgliedskonto eine Opt-in-Region aktiviert, wird nach Abschluss der Aktivierung dieser Region eine Kopie des Multi-Region-Trails in der neu angemeldeten Region für das Mitgliedskonto erstellt.

  • Wenn es sich bei dem Organigationspfad um einen Multi-Region-Trail handelt und die Heimatregion eine optionale Region ist, senden Mitgliedskonten keine Aktivitäten an den Organisationspfad, es sei denn, sie entscheiden sich für den Ort, an AWS-Region dem der Multi-Region-Trail erstellt wurde. Wenn Sie beispielsweise einen Trail mit mehreren Regionen erstellen und die Region Europa (Spanien) als Heimatregion für den Trail auswählen, senden nur Mitgliedskonten, die die Region Europa (Spanien) für ihr Konto aktiviert haben, ihre Kontoaktivitäten an den Organisationspfad.

Anmerkung

CloudTrail erstellt Organisationspfade in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt. Beispiele für fehlgeschlagene Überprüfungen sind:

  • eine falsche Amazon S3 S3-Bucket-Richtlinie

  • eine falsche Amazon SNS SNS-Themenrichtlinie

  • Unfähigkeit, an eine CloudWatch Logs-Protokollgruppe zu liefern

  • unzureichende Rechte zur Verschlüsselung mit einem KMS-Schlüssel

Ein Mitgliedskonto mit CloudTrail Berechtigungen kann alle Validierungsfehler für einen Organisationspfad anzeigen, indem es die Detailseite des Trails in der CloudTrail Konsole aufruft oder den AWS CLI get-trail-statusBefehl ausführt.

Benutzer mit CloudTrail Berechtigungen in Mitgliedskonten können Organisations-Trails (einschließlich des Trail-ARN) sehen, wenn sie sich über ihre AWS -Konten bei der CloudTrail -Konsole anmelden oder wenn sie AWS CLI -Befehle wie describe-trails (bei Mitgliedskonten muss jedoch bei Verwendung der der der ARN für den Organisations-Trail angegeben werden AWS CLI). Benutzer in Mitgliedskonten verfügen jedoch nicht über ausreichende Berechtigungen, um Organisations-Trails zu löschen, die Protokollierung zu aktivieren bzw. zu deaktivieren, zu ändern, welche Ereignisarten protokolliert werden, oder Organisations-Trails auf eine andere Weise zu bearbeiten. Weitere Informationen zu AWS Organizations finden Sie unter Terminologie und Konzepte von Organizations. Weitere Informationen zum Erstellen von und zum Arbeiten mit Organisations-Trails finden Sie unter Erstellen eines Trails für eine Organisation.

CloudTrail Lake- und Ereignisdatenspeicher

CloudTrail Mit Lake können Sie feinkörnige SQL-basierte Abfragen zu Ihren Ereignissen durchführen und Ereignisse von Quellen außerhalb von protokollieren AWS, einschließlich Ihrer eigenen Anwendungen und denen von Partnern, die integriert sind. CloudTrail Sie benötigen keinen Trail in Ihrem Konto, um CloudTrail Lake zu verwenden.

Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher speichern, wenn Sie sich für die Preisoption mit verlängerbarer Aufbewahrung von einem Jahr entscheiden, oder bis zu 2 557 Tage (etwa 7 Jahre), wenn Sie sich für die Preisoption mit siebenjähriger Aufbewahrung entscheiden. Sie können Lake-Abfragen für die zukünftige Verwendung speichern und die Ergebnisse von Abfragen bis zu sieben Tage lang anzeigen. Sie können Abfrageergebnisse auch in einen S3-Bucket speichern. CloudTrail Lake kann Ereignisse einer Organisation auch in AWS Organizations in einem Ereignisdatenspeicher oder Ereignisse aus mehreren Regionen und Konten speichern. CloudTrail Lake ist Teil einer Auditing-Lösung, mit der Sie Sicherheitsuntersuchungen und Fehlerbehebung durchführen können. Weitere Informationen erhalten Sie unter Arbeiten mit AWS CloudTrail Lake und CloudTrail Konzepte und Terminologie von Seen.

CloudTrail Einblicke

CloudTrail Mithilfe von Erkenntnissen AWS können Benutzer ungewöhnliche Volumes von API-Aufrufen oder von Fehler, die für API-Aufrufe protokolliert werden, identifizieren und darauf reagieren, indem die CloudTrail Verwaltungsereignisse fortlaufend analysiert werden. Ein Insights-Ereignis ist eine Aufzeichnung ungewöhnlicher write-Verwaltungs-API-Aktivitäten oder ungewöhnlicher Fehlermengen, die für Verwaltungs-API-Aktivitäten zurückgegeben werden. Standardmäßig werden für Trails und Ereignisdatenspeicher keine CloudTrail Insights-Ereignisse protokolliert. In der Konsole können Sie auswählen, ob beim Erstellen oder Aktualisieren eines Trails oder Ereignisdatenspeichers Insights-Ereignisse protokolliert werden sollen. Bei Verwendung der CloudTrail API können Sie Insights-Ereignisse protokollieren, indem Sie die Einstellungen eines vorhandenen Trails oder Ereignisdatenspeichers mit der PutInsightSelectorsAPI bearbeiten. Für die Protokollierung von CloudTrail Insights-Ereignissen fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten und Preise zu AWS CloudTrail.

Tags

Ein Tag ist ein vom Kunden definierter Schlüssel und ein optionalen Wert, der AWS -Ressourcen zugewiesen werden kann, wie z. B. CloudTrail Trails, Ereignisdatenspeichern und Kanälen, S3-Buckets zum Speichern von CloudTrail Protokolldateien, AWS Organizations -Organisationen und Organisationseinheiten und vielem mehr. Wenn Sie die gleichen Tags für mehrere Trails und die S3 Buckets nutzen, die Sie zum Speichern von Protokolldateien verwenden, können Sie die Verwaltung, Suche und Filterung dieser Ressourcen mit AWS Resource Groupserleichtern. Sie können Tagging-Strategien implementieren, mit deren Hilfe Sie Ihre Ressourcen konsistent, effektiv und leicht finden und verwalten können. Weitere Informationen finden Sie unter Bewährte Methoden beim Tagging von AWS Ressourcen.

AWS Security Token Service und CloudTrail

AWS Security Token Service Der (AWS STS) -Service verfügt über einen globalen Endpunkt, unterstützt aber auch regionsspezifische Endpunkte. Ein Endpunkt ist eine URL, die als Eintrittspunkt für Webserviceanforderungen fungiert. https://cloudtrail---us-west-2.amazonaws.com.rproxy.govskope.caIst beispielsweise der regionale Eingangspunkt der Region USA West (Oregon) für den AWS CloudTrail Service. Regionale Endpunkte reduzieren die Latenzzeiten der Anwendungen.

Bei Verwendung eines AWS STS regionsspezifischen -Endpunkts übermittelt der Trail in dieser Region nur die AWS STS Ereignisse, die in dieser Region auftreten. Wenn Sie beispielsweise den Endpunkt sts.us-west-2.amazonaws.com nutzen, übermittelt der Trail in „us-west-2“ nur solche AWS STS -Ereignisse, die aus der Region „us-west-2“ stammen. Weitere Informationen zu AWS STS regionalen Endpunkten finden Sie unter Aktivierung und Deaktivierung AWS STS in einer AWS Region im IAM-Benutzerhandbuch.

Eine vollständige Liste der AWS regionalen Endpunkte finden Sie unter AWS Regionen und Endpunkte in der. Allgemeine AWS-Referenz Weitere Informationen zu Ereignissen des globalen AWS STS -Endpunkts finden Sie unter Informationen zu globalen Serviceereignissen.

Informationen zu globalen Serviceereignissen

Wichtig

Ab 22. November 2021 hat die Art und Weise AWS CloudTrail geändert, wie Trails globale Service-Ereignisse erfassen. Jetzt AWS STS werden von Amazon CloudFront, und erstellte Ereignisse in der Region AWS Identity and Access Management, in der sie erstellt wurden, der Region USA Ost (Nord-Virginia), us-east-1, erfasst. Dadurch wird die CloudTrail Behandlung dieser Services mit der von anderen AWS globalen -Services in Einklang gebracht. Um weiterhin globale Service-Events außerhalb von USA Ost (Nord-Virginia) zu erhalten, sollten Sie einzelregionale Trails unter Verwendung globaler Serviceereignisse außerhalb von USA Ost (Nord-Virginia) in multiregionale Trails konvertieren. Weitere Informationen zum Erfassen von globalen Serviceereignissen finden Sie Aktivieren und Deaktivieren der Protokollierung von globalen Serviceereignissen später in diesem Abschnitt.

Im Gegensatz dazu zeigen der Ereignisverlauf in der CloudTrail Konsole und der aws cloudtrail lookup-events Befehl diese Ereignisse in der AWS-Region an, wo sie aufgetreten sind.

Für die meisten Services werden Ereignisse in der Region aufgezeichnet, in der die Aktion aufgetreten ist. Bei globalen Services — wie AWS Identity and Access Management (IAM) AWS STS, und Amazon — werden die Ereignisse an alle Trails übermittelt CloudFront, die für diese globalen Services gelten.

Bei den meisten globalen Serviceen werden Ereignisse als in der Region USA Ost (Nord-Virginia) auftretend protokolliert, aber einige globale Serviceereignisse werden als in anderen Regionen auftretend protokolliert, z. B. in der Region USA Ost (Ohio) oder USA West (Oregon).

Damit die globalen Serviceereignisse nicht mehrfach übermittelt werden, beachten Sie Folgendes:

  • Globale Service-Ereignisse werden standardmäßig an Trails übermittelt, die mit der CloudTrail Konsole erstellt wurden. Ereignisse werden an den Bucket für den Trail gesendet.

  • Wenn Sie über mehrere Einzelregion-Trails verfügen, sollten Sie Ihre Trails so konfigurieren, dass globale Serviceereignisse nur an einen der Trails gesendet werden. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Protokollierung von globalen Serviceereignissen.

  • Wenn Sie einen multiregionalen Trail in einen Trail für eine einzelne Region konvertieren, wird die globale Serviceereignisprotokollierung für diesen Trail automatisch deaktiviert. Wenn Sie analog dazu die globale Serviceereignisprotokollierung für diesen Trail automatisch aktivieren, wird die globale Serviceereignisprotokollierung für diesen Trail automatisch aktiviert.

    Weitere Informationen zum Ändern der globalen Service-Ereignisprotokollierung für einen Trail finden Sie unter Aktivieren und Deaktivieren der Protokollierung von globalen Serviceereignissen.

Beispiel:

  1. Sie erstellen einen Trail in der CloudTrail Konsole. Standardmäßig werden globale Serviceereignisse von diesem Trail protokolliert.

  2. Sie haben mehrere Trails für eine einzelne Region.

  3. Es ist nicht erforderlich, die globalen Services für die Trails der einzelnen Region zu aktivieren. Globale Serviceereignisse werden an den ersten Trail übermittelt. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit dem AWS CLI.

Anmerkung

Wenn Sie einen Trail mit der AWS CLI, AWS SDKs CloudTrail -API erstellen oder aktualisieren, können Sie die globalen Service-Ereignisse für Trails einbinden oder ausschließen. Sie können keine globale Serviceereignisprotokollierung von der CloudTrail Konsole konfigurieren.