Criar várias trilhas

É possível usar os arquivos de log do CloudTrail para resolver problemas operacionais ou de segurança na conta da AWS. Você pode criar trilhas para usuários diferentes, quem pode criar e gerenciar suas próprias trilhas. Você pode configurar as trilhas para fornecer arquivos de log a buckets do S3 separados ou compartilhados.

nota

A primeira cópia dos eventos de gerenciamento em cada Região da AWS para uma conta é gratuita. Se você criar mais trilhas que entreguem os mesmos eventos de gerenciamento a outros destinos, essas entregas subsequentes incorrerão em custos do CloudTrail. Para obter mais informações sobre os custos do CloudTrail, consulte Preços do AWS CloudTrail e Gerenciar custos das trilhas do CloudTrail.

Por exemplo, você pode ter os seguintes usuários:

Um administrador de segurança cria uma trilha na região da Europa (Irlanda) e configura a criptografia de arquivos de log do KMS. A trilha fornece os arquivos de log a um bucket do S3 na região da Europa (Irlanda).
Um auditor de TI cria uma trilha na região da Europa (Irlanda) e configura a validação da integridade dos arquivos de log para garantir que eles não foram alterados desde que o CloudTrail os forneceu. A trilha é configurada para fornecer arquivos de log a um bucket do S3 na região da Europa (Frankfurt)
Um desenvolvedor cria uma trilha na região da Europa (Frankfurt) e configura os alarmes do CloudWatch para receber notificações sobre atividades de API específicas. A trilha compartilha o mesmo bucket do S3 que configurou para a integridade dos arquivos de log.
Outro desenvolvedor cria uma trilha na região da Europa (Frankfurt) e configura o SNS. Os arquivos de log são fornecidos a um bucket do S3 separado na região da Europa (Frankfurt).

A imagem a seguir ilustra esse exemplo.

Um exemplo de entrega de arquivo de log para diversas trilhas

nota

Você pode criar até cinco trilhas por Região da AWS. Um trilha de várias regiões conta como uma trilha por região.

Você pode usar permissões no nível do recurso para gerenciar a capacidade de um usuário de executar operações específicas no CloudTrail.

Por exemplo, você pode conceder a um usuário permissão para visualizar as atividades de uma trilha, mas impedir que ele inicie ou interrompa o registro dela. Você pode conceder a outro usuário permissão total para criar e excluir trilhas. Desse modo, você tem o controle granular sobre as trilhas e o acesso do usuário.

Para obter mais informações sobre permissões no nível do recurso do , consulte Exemplos: criação e aplicação de políticas para ações em trilhas específicas.

Para obter mais informações sobre várias trilhas, consulte as Perguntas frequentes do CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar trilhas com a AWS CLI

Criar uma trilha para uma organização