Criar uma trilha com o console do CloudTrail - AWS CloudTrail
Criar uma trilha com o consolePróximas etapas

Criar uma trilha com o console do CloudTrail

Uma trilha pode ser aplicada a todas as Regiões da AWS habilitadas na sua Conta da AWS ou a uma única região. Uma trilha que se aplica a todas as Regiões da AWS habilitadas em sua Conta da AWS é chamada de trilha multirregional. A prática recomendada é criar uma trilha multirregional porque ela captura atividade em todas as regiões habilitadas. Todas as trilhas criadas usando o console do CloudTrail são multirregionais. Só é possível criar uma trilha de região única usando a AWS CLI ou a operação de API CreateTrail.

nota

Depois de criar uma trilha, configure outros Serviços da AWS para analisar e atuar de forma mais profunda sobre os dados de evento coletados nos logs do CloudTrail. Para obter mais informações, consulte Integrações de serviços da AWS com os logs do CloudTrail.

Criar uma trilha com o console

Use o procedimento a seguir para criar uma trilha de várias regiões. Para registrar eventos em uma única região (não recomendado), use a AWS CLI.

Para criar uma trilha do CloudTrail com a Console de gerenciamento da AWS

  1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

  2. Na página inicial do serviço CloudTrail, na página Trails (Trilhas) ou na seção Traisl (Trilhas) da página Dashboard(Painel), escolha Create trail (Criar trilha).

  3. Na página Create Trail (Criar trilha), em Trail name (Nome da trilha), digite um nome para a sua trilha. Para obter mais informações, consulte Requisitos de nomenclatura para os recursos do CloudTrail, buckets do Amazon S3 e chaves do KMS.

  4. Se essa for uma trilha da organização AWS Organizations, ela poderá ser habilitada para todas as contas da sua organização. Para ver essa opção, será necessário fazer login no console com um usuário ou perfil na conta de gerenciamento ou de administrador delegado. Para criar uma trilha da organização, verifique se o usuário ou a função tem permissões suficientes. Para obter mais informações, consulte Criar uma trilha para uma organização.

  5. Em Storage location (Local de armazenamento), escolha Create a S3 bucket (Criar um bucket do S3) para criar um bucket. Ao criar um novo bucket, o CloudTrail cria e aplica as políticas necessárias do bucket. Se você escolher criar um bucket do S3 padrão, sua política do IAM precisará incluir permissão para a ação s3:PutEncryptionConfiguration porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket.

    nota

    Se você escolheu Usar bucket do S3 existente, especifique um bucket em Nome do bucket de log da trilha, ou escolha Procurar para escolher um bucket em sua própria conta. Para usar um bucket em outra conta, é necessário especificar o nome do bucket. A política de bucket precisa conceder ao CloudTrail permissão para gravar nele. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para o CloudTrail.

    Para facilitar a localização dos logs, crie uma nova pasta (também conhecida como prefix) em um bucket existente para armazenar seus logs do CloudTrail. Insira o prefixo em Prefix (Prefixo).

  6. Em Criptografia de arquivo de log com SSE-KMS, escolha Habilitado se quiser criptografar os arquivos de log e os arquivos de resumo com criptografia SSE-KMS em vez de criptografia SSE-S3. O padrão é Enabled (Habilitado). Se você não habilitar a criptografia SSE-KMS, os arquivos de log e os arquivos de resumo serão criptografados com a criptografia SSE-S3. Para obter mais informações sobre a criptografia SSE-KMS, consulte Uso de criptografia no lado do servidor com o AWS Key Management Service [SSE-KMS]. Para obter mais informações sobre a criptografia SSE-S3, consulte Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Uso de criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 [SSE-S3]).

    Se você ativar a criptografia SSE-KMS, escolha uma AWS KMS key New (Nova) ou Existing (Existente). Em Alias do AWS KMS, especifique um alias, no formato de alias/MyAliasName. Para obter mais informações, consulte Atualizar um recurso para usar sua chave do KMS com o console. O CloudTrail também é compatível com chaves multirregionais do AWS KMS. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service.

    nota

    Você também pode digitar o Nome de região da Amazon (ARN) de uma chave de outra conta. Para obter mais informações, consulte Atualizar um recurso para usar sua chave do KMS com o console. A política de chaves deve permitir que o CloudTrail use a chave para criptografar os arquivos de log e os arquivos de resumo, e permitir que os usuários especificados leiam os arquivos de log ou os arquivos de resumo em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail.

  7. Em Additional settings (Configurações adicionais), configure as opções a seguir.

    1. Em Log file validation (Validação de arquivo de log), escolha Enabled (Habilitado) para receber resumos de log no seu bucket do S3. Você pode usar os arquivos de resumo para verificar se seus arquivos de log não foram alterados depois que o CloudTrail os forneceu. Para obter mais informações, consulte Validar a integridade dos arquivos de log do CloudTrail.

    2. Em SNS notification deliver (Entrega de notificações do SNS), escolha Enabled (Habilitado) se você quiser ser notificado sempre que um log for entregue em seu bucket. O CloudTrail armazena vários eventos em um arquivo de log. As notificações do SNS são enviadas para todos os arquivos de log, não para todos os eventos. Para obter mais informações, consulte Configurar notificações do Amazon SNS para o CloudTrail.

      Se você habilitar notificações do SNS, para Create a new SNS topic (Criar um tópico do SNS), escolha New (Novo) para criar um tópico ou escolha Existing (Existente) para usar um tópico existente. Se for criar uma trilha multirregional, as notificações do SNS para entregas de arquivos de log de todas as regiões habilitadas na conta serão enviadas ao único tópico do SNS que você criar.

      Se escolher New (Novo), o CloudTrail especificará um nome para o novo tópico para você ou você pode digitar um nome. Se escolher Existing (Existente), escolha um tópico do SNS na lista suspensa. Você também pode inserir o Nome de região da Amazon (ARN) de um tópico de outra região ou de uma conta com permissões apropriadas. Para obter mais informações, consulte Política de tópicos do Amazon SNS para o CloudTrail.

      Se você criar um tópico, precisará se inscrever nele para ser notificado sobre a entrega de arquivos de log. Você pode se inscrever no console do Amazon SNS. Devido à frequência das notificações, recomendamos que você configure a inscrição para usar uma fila do Amazon SQS para gerenciar as notificações de modo programático. Para obter mais informações, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

  8. Opcionalmente, configure o CloudTrail para enviar arquivos de log para o CloudWatch Logs escolhendo Enabled (Habilitado) no CloudWatch Logs. Para obter mais informações, consulte Enviar eventos para o CloudWatch Logs.

    1. Se você habilitar a integração com o CloudWatch Logs, escolha New (Novo) para criar um novo grupo de logs, ou Existing (Existente) para usar um existente. Se escolher New (Novo), o CloudTrail especificará um nome para o novo grupo de logs para você ou você pode digitar um nome.

    2. Se escolher Existing (Existente), escolha um grupo de logs na lista suspensa.

    3. Escolha New (Novo) para criar uma nova função do IAM para permitir o envio de logs ao CloudWatch Logs. Escolha Existing (Existente) para escolher uma função do IAM existente na lista suspensa. A declaração de política para a função nova ou existente é exibida quando você expande Policy document (Documento de política). Para obter mais informações sobre essa função, consulte Documento da política de função do CloudTrail para usar o CloudWatch Logs para fins de monitoramento.

      nota

      • Quando você configurar uma trilha, você pode escolher um bucket do S3 e um tópico do SNS que pertençam a outra conta. No entanto, se você quiser que o CloudTrail forneça eventos a um grupo de logs do CloudWatch Logs, precisará escolher um grupo de logs existente na sua conta atual.

      • Somente a conta de gerenciamento pode configurar um grupo de logs do CloudWatch Logs para uma trilha da organização usando o console. O administrador delegado pode configurar um grupo de logs do CloudWatch Logs usando a AWS CLI ou as operações do CreateTrail CloudTrail ou da API UpdateTrail.

  9. Para Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso à sua trilha. As tags podem ajudar a identificar suas trilhas do CloudTrail e os buckets do Amazon S3 que contêm arquivos de log do CloudTrail. Em seguida, é possível usar resource groups para seus recursos do CloudTrail. Para obter mais informações, consulte AWS Resource Groups e Tags.

  10. Na página Choose log events (Escolher eventos de log), escolha os tipos de eventos que você deseja registrar. Em Management events (Eventos de gerenciamento), faça o indicado a seguir.

    1. Em API activity (Atividade da API), escolha se você deseja que sua trilha registre eventos Read (Leitura), Write (Gravação) ou ambos. Para obter mais informações, consulte Eventos de gerenciamento.

    2. Escolha Exclude AWS KMS events (Excluir eventos do KMS) para filtrar AWS Key Management Service (AWS KMS) fora de sua trilha. A configuração padrão é incluir todos os eventos do AWS KMS.

      A opção para registrar ou excluir eventos do AWS KMS só estará disponível se você registrar eventos de gerenciamento em sua trilha. Se você optar por não registrar eventos de gerenciamento, os eventos do AWS KMS não serão registrados e você não pode alterar as configurações de log de eventos AWS KMS.

      As ações do AWS KMS, como Encrypt, Decrypt e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventos de Leitura. Ações do AWS KMS relevantes, de baixo volume, como Disable, Delete e ScheduleKey (que normalmente representam menos de 0,5% do volume de eventos do AWS KMS) são registradas em log como eventos de gravação.

      Para excluir eventos de alto volume, como Encrypt, Decrypt eGenerateDataKey, mas ainda registra eventos relevantes como Disable, Delete e ScheduleKey, escolha para registrar Write (Gravação) e desmarque a caixa de seleção para Exclude AWS KMS events (Excluir eventos do KMS).

    3. Escolha Exclude Amazon RDS Data API events (Excluir eventos da API de dados do Amazon RDS) para filtrar eventos da API de dados do Amazon Relational Database Service fora da trilha. A configuração padrão é incluir todos os eventos da API de dados do Amazon RDS. Para obter mais informações sobre eventos da API de dados do Amazon RDS, consulte Registrar em log chamadas da API de dados com o AWS CloudTrail no Manual do usuário do Amazon RDS for Aurora.

  11. Para registrar eventos de dados, escolha Data events (Eventos de dados). Há cobranças adicionais para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.

  12. Importante

    As etapas 12 a 16 devem ser usadas para configurar eventos de dados usando seletores de eventos avançados, que é o padrão. Os seletores de eventos avançados permitem que você configure mais tipos de recursos e oferecem um controle mais refinado de quais eventos de dados a trilha captura. Se você optou por usar seletores de eventos básicos, conclua as etapas em Configurar opções de eventos de dados utilizando seletores de eventos básicos e retorne à etapa 17 desse procedimento.

    Em Tipo de recurso, escolha o tipo de recurso no qual você deseja registrar em log eventos de dados. Para obter mais informações sobre os tipos de recursos disponíveis, consulte Eventos de dados.

  13. Escolha um modelo de seletor de log. Você pode escolher um modelo predefinido ou escolher Personalizado para definir suas próprias condições de coleta de eventos.

    Você pode escolher entre os seguintes modelos predefinidos:

    • Registrar em log todos os eventos: escolha esse modelo para registrar em log todos os eventos.

    • Registrar em log apenas eventos de leitura: escolha esse modelo para registrar em log apenas os eventos de leitura. Eventos somente leitura são eventos que não alteram o estado de um recurso, como eventos Get* ou Describe*.

    • Registrar em log apenas eventos de gravação: escolha esse modelo para registrar em log apenas os eventos de gravação. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*.

    • Registrar em log apenas eventos do Console de gerenciamento da AWS: escolha esse modelo para registrar em log apenas os eventos originários do Console de gerenciamento da AWS.

    • Excluir eventos iniciados pelo AWS service (Serviço da AWS): escolha esse modelo para excluir os eventos do AWS service (Serviço da AWS), que têm um eventType de AwsServiceEvent, e eventos iniciados com perfis vinculados ao AWS service (Serviço da AWS) (SLRs).

    nota

    Escolher um modelo predefinido de buckets do S3 habilita o registro de eventos de dados para todos os buckets atualmente em sua conta da AWS e qualquer bucket criados depois da criação da trilha. Também habilita o registro de atividades de eventos de dados realizadas por qualquer identidade do IAM em sua conta da AWS, mesmo se essa atividade for realizada em um bucket que pertence a outra conta da AWS.

    Se a trilha se aplicar somente a uma região, a escolha da opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Os eventos de dados não serão registrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS.

    Se você for criar uma trilha para multirregional, a escolha de um modelo predefinido para funções do Lambda habilitará o registro em log em de eventos de dados para todas as funções em sua conta da AWS atualmente e para qualquer função do Lambda que você venha a criar em qualquer região depois de criar a trilha. Se estiver criando uma trilha para uma única região (usando a AWS CLI), essa seleção habilitará o registro de eventos de dados para todas as funções atualmente nessa região em sua conta da AWS e qualquer função Lambda que você venha a criar nessa região depois de concluir a criação da trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.

    O registro de eventos de dados para todas as funções também permite o registro em log de atividades de eventos de dados realizadas por qualquer identidade do IAM em sua conta da AWS, mesmo se essa atividade for realizada em uma função que pertence a outra conta da AWS.

  14. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.

  15. Se você selecionou Personalizado, em Seletores de eventos avançados, compile uma expressão com base nos valores dos campos do seletor de eventos avançados.

    nota

    Os seletores não são compatíveis com o uso de curingas, como *. Para combinar vários valores com uma única condição, você pode usar StartsWith, EndsWith, NotStartsWith ou NotEndsWith para corresponder explicitamente ao início ou ao fim do campo do evento.

    1. Escolha um dos seguintes campos:

      • readOnly - readOnly pode ser definido como igual a um valor de true ou false. Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.

      • eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado no CloudTrail, como PutBucket, GetItem ou GetSnapshotBlock.

      • eventSource: a origem do evento a ser incluída ou excluída. Esse campo pode usar qualquer operador.

      • eventType: o tipo de evento a ser incluído ou excluído. Por exemplo, é possível definir esse campo como não igual a AwsServiceEvent para excluir eventos AWS service (Serviço da AWS)Eventos do . para obter uma lista dos tipos de evento, consulte eventType em O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede.

      • sessionCredentialFromConsole: inclua ou exclua eventos originários de uma sessão do Console de gerenciamento da AWS. Esse campo pode ser definido como igual a ou não igual a um valor de true.

      • userIdentity.arn: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

      • resources.ARN - É possível usar qualquer operador com o resources.ARN, mas se você usar Igual a ou Diferente de, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo especificado no modelo como o valor de resources.type.

        nota

        Você não pode usar o campo resources.ARN para filtrar tipos de recursos que não tenham ARNs.

        Para obter mais informações sobre os formatos de ARN dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição para Serviços da AWS na Referência de autorização de serviços.

    2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir os eventos de dados de dois buckets do S3 dos eventos de dados registrados em log no datastore de eventos, você pode definir o campo como resources.ARN, definir o operador como não começa com e colar o ARN de um bucket do S3 para o qual não deseja registrar eventos em log.

      Para adicionar o segundo bucket do S3, escolha + Condição e, em seguida, repita a instrução anterior, colando o ARN ou procurando um bucket diferente.

      Para obter informações sobre como o CloudTrail avalia várias condições, consulte Como o CloudTrail avalia várias condições para um campo.

      nota

      É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

    3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um ARN em um seletor para ser igual a um valor e, em seguida, especifique que o ARN não seja igual ao mesmo valor em outro seletor.

  16. Para adicionar outro tipo de recurso no qual registrar em log eventos de dados, escolha Adicionar tipo de evento de dados. Repita da etapa 12 até esta etapa para configurar seletores de eventos avançados para o tipo de recurso.

  17. Para registrar eventos de atividade de rede, escolha Eventos de atividade de rede. Os eventos de atividade de rede permitem que proprietários de endpoints da VPC gravem chamadas de API da AWS feitas usando seus endpoints da VPC de uma VPC privada para o AWS service (Serviço da AWS). Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para obter mais informações, consulte Preços do AWS CloudTrail.

    Para registrar eventos de atividade de rede, faça o seguinte:

    1. Em Fonte de eventos de atividade de rede, escolha a fonte dos eventos de atividade de rede.

    2. Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher Personalizado para criar um seletor de registro personalizado para filtrar vários campos, como eventName e vpcEndpointId.

    3. (Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como Nome no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.

    4. Em Seletores de eventos avançados, crie expressões escolhendo valores para Campo, Operador e Valor. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

      1. Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.

        • eventName – Você pode usar qualquer operador com eventName. Você pode usar este campo para incluir ou excluir qualquer evento, como CreateKey.

        • errorCode – Você pode usá-lo para filtrar um código de erro. Atualmente, o único errorCode compatível é VpceAccessDenied.

        • vpcEndpointId – Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador com vpcEndpointId.

      2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.

      3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.

    5. Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha Adicionar seletor de eventos de atividade de rede.

    6. Opcionalmente, expanda a JSON view (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.

  18. Selecione Insights events (Eventos do Insights) se você desejar que a trilha registre eventos do CloudTrail Insights.

    Em Event type (Tipo de evento), selecione Insights events (Eventos do Insights). Você deve registrar eventos de gerenciamento de gravação para registrar em log eventos do Insights sobre a taxa de chamadas à API. É necessário registrar eventos de gerenciamento de leitura ou gravação para registrar em log eventos do Insights sobre a taxa de erros da API.

    O CloudTrail Insights analisa eventos de gerenciamento para atividades incomuns e registra eventos quando anomalias são detectadas. Por padrão, as trilhas não registram em log eventos do Insights. Para obter mais informações sobre eventos do Insights, consulte Trabalhar com o CloudTrail Insights. Há cobranças adicionais para o registro em log de eventos do Insights. Para obter o preço do CloudTrail, consulte Preços do AWS CloudTrail.

    Os eventos do Insights são entregues a outra pasta chamada /CloudTrail-Insight do mesmo bucket do S3 especificado na área Storage location (Local de armazenamento) da página de detalhes da trilha. O CloudTrail cria o novo prefixo para você. Por exemplo, se o bucket de destino do S3 atual for chamado de amzn-s3-demo-bucket/AWSLogs/CloudTrail/, o nome do bucket do S3 com um novo prefixo será chamado de amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/.

  19. Quando terminar de escolher os tipos de eventos para registrar, escolha Próximo.

  20. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) em uma seção para alterar as configurações de trilha mostradas nessa seção. Quando estiver pronto para criar a trilha, escolha Create trail (Criar trilha).

  21. A nova trilha será exibida na página Trails (Trilhas). Em cerca de 5 minutos, o CloudTrail publica arquivos de log que mostram as chamadas à API da AWS feitas na sua conta. Você pode ver os arquivos de log no bucket do S3 que você especificou.

    Se você habilitou os eventos do Insights para uma trilha, o CloudTrail pode levar até 36 horas para começar a entregar esses eventos, desde que atividade pouco usual seja detectada durante esse período.

    nota

    O CloudTrail normalmente entrega os logs em até 5 minutos após uma chamada à API. Desta vez não há garantias. Consulte o Acordo de Nível de Serviço do AWS CloudTrail para obter mais informações.

    Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 estiver inacessível), o CloudTrail tentará reentregar os arquivos de log ao seu bucket do S3 por 30 dias, e esses eventos de tentativa de entrega estarão sujeitos às cobranças padrão do CloudTrail. Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.

Configurar opções de eventos de dados utilizando seletores de eventos básicos

Você pode usar seletores de eventos avançados para configurar todos os tipos de eventos de dados, bem como eventos de atividade de rede. Os seletores de eventos avançados permitem que você crie seletores refinados para registrar somente os eventos de interesse.

Se você usa seletores de eventos básicos para registrar eventos de dados, pode registrar em log apenas eventos de dados dos buckets do Amazon S3, funções do AWS Lambda e tabelas do Amazon DynamoDB. Você não pode filtrar pelo campo eventName usando seletores de eventos básicos. Você também não pode registrar eventos de atividades de rede.

Seletores de eventos básicos para eventos de dados em uma trilha

Use o procedimento a seguir para configurar opções de eventos de dados utilizando seletores de eventos básicos.

Para configurar opções de eventos de dados utilizando seletores de eventos básicos

  1. Em Eventos, escolha Eventos de dados para registrar eventos de dados. Há cobranças adicionais para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.

  2. Para Buckets do Amazon S3:

    1. Em Data event source (Fonte do eventos de dados), escolha S3.

    2. Você pode escolher registrar All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) ou pode especificar buckets ou funções individuais. Por padrão, os eventos de dados são registrados para todos os buckets do S3 atuais e futuros.

      nota

      A seleção da opção padrão All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) habilita o registro de eventos de dados para todos os buckets atualmente em sua conta da AWS e qualquer bucket criado depois da criação da trilha. Também habilita o registro de atividades de eventos de dados realizadas por qualquer identidade do IAM em sua conta da AWS, mesmo se essa atividade for realizada em um bucket que pertence a outra conta da AWS.

      Se você criar uma trilha para uma única região (usando a AWS CLI), selecionar a opção All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) habilitará o registro de eventos de dados para todos os buckets na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Os eventos de dados não serão registrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS.

    3. Se você deixar a opção padrão All current and future S3 buckets (Todos os buckets do S3 atuais e futuros), escolha para registrar eventos Read (Leitura), Write (Gravação) ou ambos.

    4. Para selecionar buckets individuais, desmarque as caixas de seleção Read (Leitura) e Write (Gravação) em All current and future S3 buckets (Todos os buckets do S3 atuais e futuros). Em Individual bucket selection (Seleção de bucket individual), procure por um bucket no qual registrar eventos de dados. Localize buckets específicos digitando um prefixo de bucket para o bucket desejado. É possível selecionar vários buckets nesta janela. Escolha Add bucket (Adicionar bucket) para registrar eventos de dados em mais buckets. Escolha se você deseja registrar eventos de Read (Leitura), como GetObject, Write (Gravação), como PutObject, ou ambos.

      Essa configuração tem precedência sobre configurações individuais que você configura para buckets individuais. Por exemplo, se você especificar o registro de eventos de Read (Leitura) para todos os buckets do S3 e escolher adicionar um bucket específico ao registro de eventos de dados, Read (Leitura) já estará selecionada para o bucket adicionado. Você não pode limpar a seleção. Você pode somente configurar a opção para Write (Gravação).

      Para remover um bucket do registro, escolha X.

  3. Para adicionar outro tipo de recurso no qual registrar em log eventos de dados, escolha Adicionar tipo de evento de dados.

  4. Funções do Lambda:

    1. Em Data event source (Fonte do eventos de dados), escolha Lambda.

    2. Em Lambda function (Função do Lambda), escolha All regions (Todas as regiões) para registrar todas as funções do Lambda, ou Input function as ARN (Função de entrada como ARN) para registrar eventos de dados em uma função específica.

      Para registrar eventos de dados para todas as funções do Lambda em sua conta da AWS, selecione Log all current and future functions (Registrar todas as funções atuais e futuras). Essa configuração tem precedência sobre configurações individuais definidas para funções individuais. Todas as funções são registradas, mesmo se todas as funções não forem exibidas.

      nota

      Se for criar uma trilha multirregional, essa seleção habilitará o registro em log de eventos de dados para todas as funções em sua conta da AWS atualmente e para qualquer função do Lambda que você venha a criar em qualquer região depois de criar a trilha. Se estiver criando uma trilha para uma única região (usando a AWS CLI), essa seleção habilitará o registro de eventos de dados para todas as funções atualmente nessa região em sua conta da AWS e qualquer função Lambda que você venha a criar nessa região depois de concluir a criação da trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.

      O registro de eventos de dados para todas as funções também permite o registro em log de atividades de eventos de dados realizadas por qualquer identidade do IAM em sua conta da AWS, mesmo se essa atividade for realizada em uma função que pertence a outra conta da AWS.

    3. Se você escolher Input function as ARN (Função de entrada como ARN), insira o ARN de uma função do Lambda.

      nota

      Se você tiver mais de 15 mil funções do Lambda em sua conta, não poderá visualizar ou selecionar todas as funções no console do CloudTrail ao criar uma trilha. Você ainda poderá selecionar a opção de registrar todas as funções, mesmo se elas não forem exibidas. Se você desejar registrar eventos de dados para funções específicas, poderá adicionar manualmente uma função se você souber seu ARN. Também é possível criar da trilha no console e usar o AWS CLI e o comando put-event-selectors para configurar o registro de eventos de dados para funções do Lambda específicas. Para obter mais informações, consulte Gerenciar trilhas com a AWS CLI.

  5. Para tabelas do DynamoDB:

    1. Em Data event source (Fonte do eventos de dados), escolha DynamoDB.

    2. Em DynamoDB table selection (Seleção da tabela do DynamoDB), escolha Browse (Navegar) para selecionar uma tabela ou cole no ARN de uma tabela do DynamoDB à qual você tem acesso. Um ARN de tabela do DynamoDB utiliza o seguinte formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Para adicionar outra tabela, escolha Add row (Adicionar linha) e procure uma tabela ou cole no ARN de uma tabela à qual você tem acesso.

  6. Para configurar eventos do Insights e outras configurações para sua trilha, volte ao procedimento anterior neste tópico, Criar uma trilha com o console.

Próximas etapas

Depois que você criar a trilha, poderá retornar a ela para fazer alterações: