Eventos de dados de log
Esta seção descreve como registrar eventos de dados usando o console do CloudTrail e a AWS CLI.
Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos de dados em log. Há cobranças adicionais para eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail
Os eventos de dados fornecem informações sobre as operações aplicadas a um recurso ou realizadas em um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.
Exemplos de eventos de dados incluem:
-
Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API
GetObject,DeleteObjectePutObject) em objetos em buckets do S3. -
Atividade de execução da função AWS Lambda (a API
Invoke). -
Atividade de
PutAuditEventsdo CloudTrail em um canal do CloudTrail Lake que é usado para registrar em log eventos externos à AWS. -
Operações da API
PublishePublishBatchdo Amazon SNS em tópicos.
Você pode usar seletores de eventos avançados para criar seletores refinados, que ajudam a controlar os custos registrando em log apenas os eventos específicos de interesse para seus casos de uso. Por exemplo, é possível usar seletores de eventos avançados para registrar chamadas de API específicas ao adicionar um filtro no campo eventName. Para obter mais informações, consulte Filtrar todos os eventos de dados utilizando seletores de eventos avançados.
nota
Os eventos que são registrados em log pelas trilhas estão disponíveis no Amazon EventBridge. Por exemplo, se você escolher registrar eventos de dados em log para objetos do S3, mas não eventos de gerenciamento, a trilha processará e registrará somente eventos de dados dos objetos do S3 especificados. Os eventos de dados desses objetos do S3 estão disponíveis no Amazon EventBridge. Para obter mais informações, consulte Eventos de serviços da AWSentregues por meio do AWS CloudTrail no Guia do usuário do Amazon EventBridge e na Referência de eventos da AWS.
Sumário
Registro de eventos de dados com a Console de gerenciamento da AWS
Registro de eventos de dados com a AWS Command Line Interface
Registrar em log eventos de dados para trilhas com a AWS CLI
Registrar em log eventos de dados para armazenamentos de dados de eventos com a AWS CLI
Filtrar todos os eventos de dados utilizando seletores de eventos avançados
Registrar de eventos de dados para conformidade de AWS Config
Eventos de dados
A tabela a seguir mostra os tipos de recursos disponíveis para trilhas e datastores de eventos. A coluna Tipo de recurso (console) mostra a seleção apropriada no console. A coluna valor do resources.type mostra o valor de resources.type que você especificaria para incluir eventos de dados desse tipo em sua trilha ou no armazenamento de dados de eventos usando a AWS CLI ou as APIs do CloudTrail.
Para trilhas, é possível usar seletores de eventos básicos ou avançados para registrar eventos de dados em objetos do Amazon S3 de uso geral, funções do Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). Você pode usar apenas seletores de eventos avançados para registrar em log os tipos de recursos mostrados nas demais linhas.
Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.
Eventos de dados compatíveis com o AWS CloudTrail
| AWS service (Serviço da AWS) | Descrição | Tipo de recurso (console) | valor resources.type |
|---|---|---|---|
| Amazon RDS | Atividade da API do Amazon RDS em um cluster de banco de dados. |
API de dados do RDS: cluster de banco de dados | AWS::RDS::DBCluster |
| Amazon S3 | Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API |
S3 | AWS::S3::Object |
| Amazon S3 | Atividade da API do Amazon S3 em pontos de acesso. |
Ponto de acesso do S | AWS::S3::AccessPoint |
| Amazon S3 | Atividade da API no nível de objeto do Amazon S3 (por exemplo, as operações de API |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Atividade da API em pontos de acesso do Amazon S3 Object Lambda, como chamadas para |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | Atividade da API do Amazon FSx em volumes. |
Volume do FSx | AWS::FSx::Volume |
| Tabelas do Amazon S3 | Atividade da API do Amazon S3 em tabelas. |
Tabela do S3 | AWS::S3Tables::Table |
| Tabelas do Amazon S3 | Atividade da API do Amazon S3 em buckets de tabelas. |
Bucket de tabela do S3 | AWS::S3Tables::TableBucket |
| Vetores do Amazon S3 | Atividade da API do Amazon S3 em buckets vetoriais. |
Bucket vetorial do S3 | AWS::S3Vectors::VectorBucket |
| Vetores do Amazon S3 | Atividade da API do Amazon S3 em índices vetoriais. |
Índice vetorial do S3 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | Atividade da API em nível de objeto do Amazon S3 on Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | Operações da API |
Endpoint da plataforma SNS | AWS::SNS::PlatformEndpoint |
| Amazon SNS | Operações da API |
Tópico do SNS | AWS::SNS::Topic |
| Amazon SQS | Atividade da API do Amazon SQS em mensagens. |
SQS | AWS::SQS::Queue |
| Cadeia de Suprimentos AWS | Atividade da API da Cadeia de Suprimentos AWS em uma instância. |
Cadeia de suprimentos | AWS::SCN::Instance |
| Amazon SWF | Domínio do SWF | AWS::SWF::Domain |
|
| AWS AppConfig | Atividade da API do AWS AppConfig para operações de configuração, como chamadas para |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | Atividade da API do AWS AppSync nas APIs GraphQL do AppSync. |
GraphQL do AppSync | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | Atividade da API do Amazon Aurora DSQL em recursos de cluster. |
Amazon Aurora DSQL | AWS::DSQL::Cluster |
| AWS B2B Data Interchange | Atividade da API B2B Data Interchange para operações do Transformer, como chamadas para |
B2B Data Interchange | AWS::B2BI::Transformer |
| AWS Backup | Atividade da API Search Data do AWS Backup em trabalhos de pesquisa. |
AWS Backup APIs Search Data do | AWS::Backup::SearchJob |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em um alias de agente. | Alias de agente do Bedrock | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em invocações assíncronas. | Invocação assíncrona do Bedrock | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em um alias de fluxo. | Alias de fluxo do Bedrock | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em barreiras de proteção. | Barreira de proteção do Bedrock | AWS::Bedrock::Guardrail |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em agentes em linha. | Invoke Inline-Agent do Bedrock | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em uma base de conhecimento. | Base de conhecimento do Bedrock | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em modelos. | Modelo do Bedrock | AWS::Bedrock::Model |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em prompts. | Prompt do Bedrock | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em sessões. | Sessão do Bedrock | AWS::Bedrock::Session |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em execuções de fluxo. |
Execução do fluxo do Bedrock | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em uma política de raciocínio automatizado. |
Política de raciocínio automatizado do Bedrock | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em uma versão da política de raciocínio automatizado. |
Versão da política de raciocínio automatizado do Bedrock | AWS::Bedrock::AutomatedReasoningPolicyVersion |
Amazon Bedrock |
Atividade da API do projeto de automação de dados do Amazon Bedrock. |
Projeto de automação de dados do Bedrock |
|
Amazon Bedrock |
Atividade da API de invocação de automação de dados do Bedrock. |
Invocação de automação de dados do Bedrock |
|
Amazon Bedrock |
Atividade da API do perfil de automação de dados Amazon Bedrock. |
Perfil de automação de dados Amazon Bedrock |
|
Amazon Bedrock |
Atividade da API de esquema do Amazon Bedrock. |
Esquema do Bedrock |
|
Amazon Bedrock |
Atividade da API do Code-Interpreter do Amazon Bedrock. |
Code-Interpreter do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do navegador do Amazon Bedrock. |
Navegador do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do Amazon Bedrock Workload Identity. |
Workload Identity do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do Workload Identity Directory do Amazon Bedrock. |
Workload Identity Directory do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API Amazon Bedrock Token Vault. |
Token Vault do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do CredentialProvider de APIKey do Amazon Bedrock. |
CredentialProvider de APIKey do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do Amazon Bedrock Runtime. |
Bedrock AgentCore Runtime |
|
Amazon Bedrock |
Atividade da API do Amazon Bedrock Runtime-Endpoint. |
Runtime-Endpoint do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do Amazon Bedrock Gateway. |
Bedrock AgentCore Gateway |
|
Amazon Bedrock |
Atividade da API Amazon Bedrock Memory. |
Bedrock-AgentCore Memory |
|
Amazon Bedrock |
Atividade da API do CredentialProvider de Oauth2 do Amazon Bedrock. |
CredentialProvider do Oauth2 do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API do Browser-Custom do Amazon Bedrock. |
Browser-Custom do Bedrock-AgentCore |
|
Amazon Bedrock |
Atividade da API Code-Interpreter-Custom do Amazon Bedrock. |
Code-Interpreter-Custom do Bedrock-AgentCore |
|
| Amazon Bedrock | Atividade da API do Amazon Bedrock Tool. |
Bedrock Tool | AWS::Bedrock::Tool |
| AWS Cloud Map | Atividade da API AWS Cloud Map em um namespace. | AWS Cloud Map Namespace do | |
| AWS Cloud Map | Atividade da API AWS Cloud Map em um serviço. | AWS Cloud Map Serviço da | |
| Amazon CloudFront | Atividade da API do CloudFront em um KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | Atividade de |
Canal do CloudTrail | AWS::CloudTrail::Channel |
| Amazon CloudWatch | Atividade da API do Amazon CloudWatch em métricas. |
Métrica do CloudWatch | AWS::CloudWatch::Metric |
| Network Flow Monitor do Amazon CloudWatch | Atividade da API do Network Flow Monitor do Amazon CloudWatch em monitores. |
Monitor do Network Flow Monitor | AWS::NetworkFlowMonitor::Monitor |
| Network Flow Monitor do Amazon CloudWatch | Atividade da API do Network Flow Monitor do Amazon CloudWatch em escopos. |
Escopo do Network Flow Monitor | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | Atividade da API do Amazon CloudWatch RUM em monitores de aplicativos. |
Monitor de aplicativos do RUM | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | Atividade da API CodeGuru Profiler em grupos de perfilamento. | Grupo de perfilamento do CodeGuru Profiler | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | Atividade da API do Amazon CodeWhisperer em uma personalização. | Personalização do CodeWhisperer | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | Atividade da API do Amazon CodeWhisperer em um perfil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Atividade da API do Amazon Cognito em bancos de identidades do Amazon Cognito. |
Bancos de identidades do Cognito | AWS::Cognito::IdentityPool |
| AWS Data Exchange | Atividade da API do AWS Data Exchange em ativos. |
Ativo do Data Exchange |
|
Amazon Data Firehose |
Atividade da API do fluxo de entrega do Amazon Data Firehose. |
Amazon Data Firehose |
|
| AWS Deadline Cloud | Deadline Cloud Atividade da API do em frotas. |
Deadline Cloud Frota do |
|
| AWS Deadline Cloud | Deadline Cloud Atividade da API do em trabalhos. |
Deadline Cloud Trabalho do |
|
| AWS Deadline Cloud | Deadline Cloud Atividade da API do em filas. |
Deadline Cloud Fila do |
|
| AWS Deadline Cloud | Deadline Cloud Atividade da API do em operadores. |
Deadline Cloud Operador do |
|
| Amazon DynamoDB | Atividade de API do Amazon DynamoDB no nível de objeto em tabelas (por exemplo, operações de API notaPara tabelas com fluxos habilitados, o campo |
DynamoDB do |
|
| Amazon DynamoDB | Atividade de API do Amazon DynamoDB em fluxos. |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | APIs diretas do Amazon Elastic Block Store (EBS), como |
APIs diretas do Amazon EBS | AWS::EC2::Snapshot |
Amazon Elastic Compute Cloud |
Atividade da API do endpoint do Amazon EC2 Instance Connect. |
Endpoint do EC2 Instance Connect |
|
| Amazon Elastic Container Service | Atividade da API do Elastic Container Service em uma instância de contêiner. |
instância de contêiner do ecs | AWS::ECS::ContainerInstance |
| Serviço Amazon Elastic Kubernetes | Atividade da API do Amazon Elastic Kubernetes Service em painéis. |
Painel do Amazon Elastic Kubernetes Service | AWS::EKS::Dashboard |
| Amazon EMR | Atividade da API do Amazon EMR em um espaço de trabalho de log de gravação antecipada. | Espaço de trabalho de log de gravação antecipada do EMR | AWS::EMRWAL::Workspace |
| SMS de mensagens dos usuários finais da AWS | Atividade da API de SMS de mensagens dos usuários finais da AWS em identidades de origem. | Identidade de origem de voz por SMS | AWS::SMSVoice::OriginationIdentity |
| SMS de mensagens dos usuários finais da AWS | Atividade da API do AWS End User Messaging SMS em mensagens. | Mensagem de voz do SMS | AWS::SMSVoice::Message |
| Mensagens sociais dos usuários finais da AWS | Atividade da API de mensagens sociais dos usuários finais da AWS em IDs de número de telefone. | ID do número de telefone das mensagens sociais | AWS::SocialMessaging::PhoneNumberId |
| Mensagens sociais dos usuários finais da AWS | Atividade da API do AWS End User Messaging Social e IDs do Waba. | ID do Waba de Social-Messaging | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | Amazon FinSpace Atividade de API do em ambientes. |
FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | Atividade da API de transmissão contínua do Amazon GameLift Streams em aplicações. |
Aplicação do GameLift Streams | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | Atividade da API de transmissão contínua do Amazon GameLift Streams em grupos de fluxos.. |
Grupo de fluxos do GameLift Streams | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | Atividade de API do AWS Glue em tabelas criadas pelo Lake Formation. |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | Atividade da API do Amazon GuardDuty para um detector. |
Detector do GuardDuty | AWS::GuardDuty::Detector |
| AWS HealthImaging | Atividade da API do AWS HealthImaging em armazenamentos de dados. |
Armazenamento de dados de MedicalImaging | AWS::MedicalImaging::Datastore |
AWS HealthImaging |
Atividade da API do conjunto de imagens do AWS HealthImaging. |
Conjunto de imagens do MedicalImaging |
|
| AWS IoT | Certificado de IoT | AWS::IoT::Certificate |
|
| AWS IoT | Coisa da IoT | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma versão de componente. notaO Greengrass não registra eventos de acesso negado. |
Versão do componente de IoT do Greengrass | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma implantação. notaO Greengrass não registra eventos de acesso negado. |
Implantação do IoT Greengrass | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | Ativo do IoT SiteWise | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | Séries temporais do IoT SiteWise | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWiseAssistente do | Atividade da API do Sitewise Assistant em conversas. |
Conversa do Sitewise Assistant | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | Atividade da API do IoT TwinMaker em uma entidade. |
Entidade do IoT TwinMaker | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | Atividade da API do IoT TwinMaker em um espaço de trabalho. |
Espaço de trabalho do IoT TwinMaker | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | Atividade da API do Amazon Kendra Intelligent Ranking em planos de execução de reclassificação. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (para Apache Cassandra) | Atividade da API do Amazon Keyspaces em uma tabela. | Tabela do Cassandra | AWS::Cassandra::Table |
| Amazon Keyspaces (para Apache Cassandra) | Atividade da API do Amazon Keyspaces (para Apache Cassandra) em fluxos do Cassandra CDC. |
Fluxos do Cassandra CDC | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | Atividade da API do Kinesis Data Streams em fluxos. | Fluxo do Kinesis | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | Atividade da API do Kinesis Data Streams em consumidores de fluxo. | Consumidor do fluxo do Kinesis | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Atividade da API do Kinesis Video Streams, como chamadas para GetMedia e PutMedia. |
Fluxo de vídeo do Kinesis | AWS::KinesisVideo::Stream |
Amazon Kinesis Video Streams |
Atividade da API do canal de sinalização de vídeo do Kinesis Video Streams. |
Canal de sinalização de vídeo do Kinesis |
|
| AWS Lambda | Atividade de execução da função AWS Lambda (a API |
Lambda | AWS::Lambda::Function |
| Amazon Location Maps | Atividade da API do Amazon Location Maps. | Mapas geográficos | AWS::GeoMaps::Provider |
| Amazon Location Places | Atividade da API do Amazon Location Places. | Locais geográficos | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Atividade da API do Amazon Location Routes. | Rotas geográficas | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | Atividade da API do Machine Learning em modelos de ML. | MIModel do Maching Learning | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | Atividade da API do Amazon Managed Blockchain em uma rede. |
Rede do Managed Blockchain | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Chamadas de JSON-RPC do Amazon Managed Blockchain em nós Ethereum, como |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | Atividade da API do Amazon Managed Blockchain Query. |
Managed Blockchain Query | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | Atividade da API do Amazon MWAA em ambientes. |
Managed Apache Airflow | AWS::MWAA::Environment |
| Gráfico do Amazon Neptune | Atividades da API de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico do Neptune. |
Gráfico do Neptune | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Atividade da API do Amazon One Enterprise em um UKey. |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | Atividade da API do Amazon One Enterprise sobre usuários. |
Usuário do Amazon One | AWS::One::User |
| AWS Payment Cryptography | Atividade da API do AWS Payment Cryptography em aliases. | Alias de criptografia de pagamento | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | Atividade da API do AWS Payment Cryptography em chaves. | Chave de criptografia de pagamento | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | Atividade da API do Amazon Pinpoint em aplicações móveis de segmentação. |
Aplicações de segmentação em dispositivos móveis | AWS::Pinpoint::App |
| CA Privada da AWS | Atividade da API do CA Privada da AWS Connector para Active Directory. |
CA Privada da AWS Connector para Active Directory | AWS::PCAConnectorAD::Connector |
| CA Privada da AWS | Conector do CA Privada da AWS para atividade da API do SCEP. |
CA Privada da AWS Conector para SCEP da | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | Atividade da API de dados no Amazon Q Apps. |
Amazon Q Apps | AWS::QApps::QApp |
| Amazon Q Apps | Atividade da API de dados em sessões do Amazon Q Apps. |
Sessão do Amazon Q App | AWS::QApps::QAppSession |
| Amazon Q Business | Atividade da API do Amazon Q Business em uma aplicação. |
Aplicação do Amazon Q Business | AWS::QBusiness::Application |
| Amazon Q Business | Atividade da API do Amazon Q Business em uma fonte de dados. |
Fonte de dados do Amazon Q Business | AWS::QBusiness::DataSource |
| Amazon Q Business | Atividade da API do Amazon Q Business em um índice. |
Índice do Amazon Q Business | AWS::QBusiness::Index |
| Amazon Q Business | Atividade da API do Amazon Q Business em uma experiência na web. |
Experiência na web do Amazon Q Business | AWS::QBusiness::WebExperience |
Amazon Q Business |
Atividade da API da integração do Amazon Q Business. |
Integração do Amazon Q Business |
|
| Amazon Q Developer | Atividade da API do Amazon Q Developer em uma integração. |
Integração do Q Developer | AWS::QDeveloper::Integration |
| Amazon Q Developer | Atividade da API do Amazon Q Developer em investigações operacionais. |
Grupo de investigação de AIOps | AWS::AIOps::InvestigationGroup |
| Amazon Quick Suite | Atividade da API do Amazon Quick Suite em um conector de ação. |
Ações do AWS QuickSuite | AWS::Quicksight::ActionConnector |
Amazon Quick Suite |
Atividade da API Amazon Quick Suite Flow. |
AWS::QuickSight::Flow |
|
Amazon Quick Suite |
Atividade da API Amazon Quick Suite FlowSession. |
AWS::QuickSight::FlowSession |
|
| Amazon SageMaker AI | Atividade de InvokeEndpointWithResponseStream do Amazon SageMaker AI em endpoints. |
Endpoint do SageMaker AI | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | Atividade de API do Amazon SageMaker AI em arquivo de atributos. |
Arquivo de atributos do SageMaker AI | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | Atividade da API do Amazon SageMaker AI em componentes de avaliação de experimento. |
Componente de avaliação de experimento de métricas do SageMaker AI | AWS::SageMaker::ExperimentTrialComponent |
Amazon SageMaker AI |
Atividade da API do Amazon SageMaker AI MLFlow. |
SageMaker MLflow |
|
| AWS Signer | Atividade da API do Signer em trabalhos de assinatura. |
Trabalho de assinatura do Signer | AWS::Signer::SigningJob |
| AWS Signer | Atividade da API do Signer em perfis de assinatura. |
Perfil de assinatura do Signer | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | Atividade da API do Amazon Simple Email Service (Amazon SES) em conjuntos de configuração. |
Conjunto de configuração do SES | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | Atividade da API do Amazon Simple Email Service (Amazon SES) em identidades de e-mail. |
Identidade do SES | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | Atividade da API do Amazon Simple Email Service (Amazon SES) em modelos. |
Modelo do SES | AWS::SES::Template |
| Amazon SimpleDB | Atividade da API do Amazon SimpleDB em domínios. |
Domínio do SimpleDB | AWS::SDB::Domain |
| AWS Step Functions | Atividade da API do Step Functions em atividades. |
Funções de Etapa | AWS::StepFunctions::Activity |
| AWS Step Functions | Atividade da API do Step Functions em máquinas de estado. |
Máquina de estado do Step Functions | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | Atividade da API do Systems Manager em canais de controle. | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | Atividade da API do Systems Manager em avaliações de impacto. | Avaliação de impacto do SSM | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | Atividade da API do Systems Manager em nós gerenciados. | Nó gerenciado pelo Systems Manager | AWS::SSM::ManagedNode |
| Amazon Timestream | Atividade da API Query do Amazon Timestream em bancos de dados. |
Banco de dados do Timestream | AWS::Timestream::Database |
| Amazon Timestream | Atividade da API Amazon Timestream em endpoints regionais. | Endpoint regional do Timestream | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | Atividade da API Query do Amazon Timestream em tabelas. |
Tabela do Timestream | AWS::Timestream::Table |
| Amazon Verified Permissions | Atividade da API do Amazon Verified Permissions em um repositório de políticas. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | Atividade da API Thin Client do WorkSpaces em um dispositivo. | Dispositivo Thin Client | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | Atividade da API Thin Client do WorkSpaces em um ambiente. | Ambiente Thin Client | AWS::ThinClient::Environment |
| AWS X-Ray | Rastreamento do X-Ray | AWS::XRay::Trace |
Para registrar eventos de dados do CloudTrail, é necessário adicionar explicitamente cada tipo de recurso para os quais você deseja coletar atividade. Para obter mais informações, consulte Criar uma trilha com o console do CloudTrail e Criar um armazenamento de dados de eventos para eventos do CloudTrail com o console.
Em uma trilha de região única, é possível registrar em log eventos de dados somente para recursos que pode acessar nessa região. Embora os buckets do S3 sejam globais, as funções do AWS Lambda e as tabelas do DynamoDB são regionais.
Há cobranças adicionais para o registro de eventos de dados. Para obter o preço do CloudTrail, consulte a Preços do AWS CloudTrail
Exemplos: registro de eventos de dados de objetos do Amazon S3
Registro de eventos de dados para todos os objetos do S3 em um bucket do S3
O exemplo a seguir demonstra como o registro funciona quando você configura o registro de todos os eventos de dados para um bucket do S3 chamado amzn-s3-demo-bucket. Neste exemplo, o usuário do CloudTrail especificou um prefixo vazio e a opção de registrar em log os eventos de dados de Read (Leitura) e Write (Gravação).
-
Um usuário carrega um objeto no
amzn-s3-demo-bucket. -
A operação da API
PutObjecté uma API de nível de objeto do Amazon S3. Ela é registrada como um evento de dados no CloudTrail. Como o usuário do CloudTrail especificou um bucket do S3 com um prefixo vazio, os eventos que ocorrem em qualquer objeto desse bucket são registrados. A trilha ou o armazenamento de dados de eventos processa e registra o evento no log. -
Outro usuário carrega um objeto no
amzn-s3-demo-bucket2. -
A operação de API
PutObjectocorreu em um objeto em um bucket do S3 que não foi especificado para a trilha ou para o armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
Registro de eventos de dados de objetos específicos do S3
O exemplo a seguir demonstra como o registro em log funciona quando você configura uma trilha ou um armazenamento de dados de eventos para registrar eventos para objetos específicos do S3. Neste exemplo, o usuário do CloudTrail especificou um bucket do S3 chamado amzn-s3-demo-bucket3, com o prefixo my-images e a opção de registrar somente eventos de dados de Gravação.
-
Um usuário exclui um objeto que começa com o prefixo
my-imagesno bucket, comoarn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg. -
A operação da API
DeleteObjecté uma API de nível de objeto do Amazon S3. Ele é registrado como um evento de dados de Write (Gravação) no CloudTrail. O evento ocorreu em um objeto que corresponde ao bucket do S3 e ao prefixo especificado na trilha ou no armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos processa e registra o evento no log. -
Outro usuário exclui um objeto com um prefixo diferente no bucket do S3, como
arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi. -
O evento ocorreu em um objeto que não corresponde ao prefixo especificado na sua trilha ou no armazenamento de dados de eventos. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
-
Um usuário chama a operação de API
GetObjectdo objeto,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg. -
O evento ocorreu em um bucket e prefixo que são especificados na trilha ou no armazenamento de dados de eventos, mas
GetObjecté uma API em nível de objeto do Amazon S3 do tipo leitura. Ele é registrado como um evento de dados de Leitura no CloudTrail e a trilha ou o armazenamento de dados de eventos não está configurado para registrar eventos de Leitura. A trilha ou o armazenamento de dados de eventos não registra o evento no log.
nota
Para trilhas, se você estiver registrando eventos de dados específicos para buckets do Amazon S3, recomendamos não usar um bucket do Amazon S3 para os quais você está registrando eventos de dados para receber os arquivos de log que você especificou na seção de eventos de dados para sua trilha. Usar o mesmo bucket do Amazon S3 faz com que sua trilha registre eventos de dados cada vez que os arquivos de log são entregues ao bucket do Amazon S3. Os arquivos de log são eventos agregados entregues em intervalos, de modo que esta não é uma proporção de 1:1 de evento para arquivo de log; o evento é registrado no próximo arquivo de log. Por exemplo, quando o CloudTrail fornece logs, o evento PutObject ocorre no bucket do S3. Se o bucket do S3 também é especificado na seção de eventos de dados, a trilha processa e registra o evento PutObject como um evento de dados. Essa ação é outro evento PutObject, e a trilha processa e registra o evento novamente.
Para evitar o registro de eventos de dados para o bucket do Amazon S3 onde você recebe os arquivos de log, se você configurar uma trilha para registrar todos os eventos de dados do Amazon S3 em sua conta da AWS, considere configurar a entrega de arquivos de log para um bucket do Amazon S3 que pertence a outra conta da AWS. Para obter mais informações, consulte Receber arquivos de log do CloudTrail de várias contas.
Registro de eventos de dados para objetos do S3 em outras contas da AWS
Ao configurar sua trilha para registrar eventos de dados, você também pode especificar objetos do S3 que pertencem a outras contas da AWS. Quando ocorre um evento em um objeto especificado, o CloudTrail avalia se ele corresponde a todas as trilhas em cada conta. Se o evento corresponder às configurações de uma trilha, ela processará e registrará o evento dessa conta. Geralmente, tanto os chamadores de API quanto os proprietários de recursos podem receber eventos.
Se você tem um objeto do S3 e especifica esse objeto na sua trilha, ela registra eventos que ocorrem no objeto na sua conta. Como você possui o objeto, a trilha também registra eventos quando outras contas chamam o objeto.
Se você especificar um objeto do S3 na sua trilha e outra conta for a proprietária do objeto, a trilha registrará somente eventos que ocorrerem nesse objeto na sua conta. A trilha não registra eventos que ocorrem em outras contas.
Exemplo: registro de eventos de dados de um objeto do Amazon S3 para duas contas da AWS
O exemplo a seguir mostra como duas contas da AWS configuram o CloudTrail para registrar eventos do mesmo objeto do S3.
-
Na sua conta, você quer que a trilha registre eventos de dados de todos os objetos no seu bucket do S3 chamado
amzn-s3-demo-bucket. Configure a trilha especificando o bucket do S3 com um prefixo de objeto vazio. -
Bob tem uma conta separada que recebeu acesso ao bucket do S3. Bob também quer registrar eventos de dados de todos os objetos no mesmo bucket do S3. Ele configura sua trilha e especifica o mesmo bucket do S3 com um prefixo de objeto vazio.
-
Bob faz o upload de um objeto no bucket do S3 com a operação de API
PutObject. -
Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob processa e registra o evento.
-
Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também processa e registra o mesmo evento. Como agora existem duas cópias do evento (uma registrada na trilha de Bob e outra na sua), o CloudTrail cobra por duas cópias do evento de dados.
-
Faça upload de um objeto do bucket do S3.
-
Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e registra o evento.
-
Como o evento não ocorreu na conta de Bob, e ele não possui o bucket do S3, a trilha de Bob não registra o evento. O CloudTrail cobra apenas uma cópia desse evento de dados.
Exemplo: Registrar eventos de dados para todos os buckets, incluindo um bucket do S3 usado por duas contas da AWS
O exemplo a seguir mostra o comportamento de registro em log quando Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) está habilitada para trilhas que coletam eventos de dados em uma conta da AWS.
-
Em sua conta, você deseja que sua trilha registre eventos de dados para todos os buckets do S3. Você configura a trilha escolhendo eventos de Read (Leitura), eventos de Write (Gravação) ou ambos para All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) em Data events (Eventos de dados).
-
Bob tem uma conta separada que recebeu acesso a um bucket do S3 em sua conta. Ele deseja registrar eventos de dados para o bucket ao qual ele tem acesso. Ele configura sua trilha para obter eventos de dados para todos os buckets do S3.
-
Bob faz o upload de um objeto no bucket do S3 com a operação de API
PutObject. -
Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob processa e registra o evento.
-
Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também processa e registra o evento. Como agora existem duas cópias do evento (uma registrada na trilha do Bob e outra na sua), o CloudTrail cobrará de cada conta uma cópia do evento de dados.
-
Faça upload de um objeto do bucket do S3.
-
Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e registra o evento.
-
Como o evento não ocorreu na conta de Bob, e ele não possui o bucket do S3, a trilha de Bob não registra o evento. O CloudTrail cobra apenas uma cópia desse evento de dados em sua conta.
-
Um terceiro usuário, Mary, tem acesso ao bucket do S3 e executa uma operação
GetObjectno bucket. Ela tem uma trilha configurada para registrar eventos de dados em todos os buckets do S3 em sua respectiva conta. Como ela é a autora da chamada da API, o CloudTrail registra um evento de dados em sua respectiva trilha. Embora Bob tenha acesso ao bucket, ele não é o proprietário do recurso, então nenhum evento é registrado em sua trilha dessa vez. Como proprietário do recurso, você recebe um evento em sua trilha sobre a operaçãoGetObjectque a Mary chamou. O CloudTrail cobra de sua conta e da conta de Mary por cada cópia do evento de dados: uma na trilha de Mary e outra na sua.
Eventos somente leitura e somente gravação
Ao configurar a trilha ou o armazenamento de dados de eventos para registrar em log eventos de dados e de gerenciamento, é possível especificar se você deseja eventos somente leitura, eventos somente gravação, ou ambos.
-
Read
Os eventos Read (Leitura) incluem operações de API que leem seus recursos, mas não fazem alterações. Por exemplo, os eventos somente leitura incluem as operações de API
DescribeSecurityGroupseDescribeSubnetsdo Amazon EC2. Essas operações retornam apenas informações sobre os recursos do Amazon EC2. Elas não alteram suas configurações. -
Write
Os eventos de Write (Gravação) incluem operações de API que modificam (ou podem modificar) seus recursos. Por exemplo, as operações de API
RunInstanceseTerminateInstancesdo Amazon EC2 modificam suas instâncias.
Exemplo: registro de eventos de leitura e gravação para trilhas separadas
O exemplo a seguir mostra como configurar as trilhas para dividir as atividades de log de uma conta em buckets do S3 separados: um bucket chamado amzn-s3-demo-bucket1 recebe eventos somente leitura e um segundo bucket chamado amzn-s3-demo-bucket2 recebe eventos somente gravação.
-
Crie uma trilha e escolha o bucket do S3 chamado
amzn-s3-demo-bucket1para receber os arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de Read (Leitura) de dados e de gerenciamento. -
Crie uma segunda trilha e escolha o bucket do S3 chamado
amzn-s3-demo-bucket2para receber os arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de Write (Gravação) de dados e de gerenciamento. -
As operações de API
DescribeInstanceseTerminateInstancesdo Amazon EC2 ocorrem na sua conta. -
A operação de API
DescribeInstancesé um evento somente leitura que corresponde às configurações da primeira trilha. A trilha registra e fornece o evento aoamzn-s3-demo-bucket1. -
A operação de API
TerminateInstancesé um evento somente gravação que corresponde às configurações da segunda trilha. A trilha registra e fornece o evento aoamzn-s3-demo-bucket2.
Registro de eventos de dados com a Console de gerenciamento da AWS
Os procedimentos a seguir descrevem como atualizar um armazenamento de dados de eventos ou trilha existente para registrar eventos de dados usando o Console de gerenciamento da AWS. Para obter informações sobre como criar um armazenamento de dados de eventos para registrar eventos de dados, consulte Criar um armazenamento de dados de eventos para eventos do CloudTrail com o console. Para obter informações sobre como criar uma trilha para registrar eventos de dados, consulte Criar uma trilha com o console.
Para as trilhas, as etapas para registrar em log os eventos de dados diferem dependendo se seletores de eventos avançados ou seletores de eventos básicos estão sendo usados. Você pode registrar em log eventos de dados para todos os tipos de recursos usando seletores de eventos avançados, mas se usar seletores de eventos básicos, haverá um limite para o registro em log de eventos de dados para buckets e objetos de bucket do Amazon S3, funções do AWS Lambda e tabelas do Amazon DynamoDB.
Use o procedimento a seguir para atualizar um armazenamento de dados de eventos existente para registrar eventos de dados. Para obter mais informações sobre como usar seletores de eventos avançados, consulte Filtrar todos os eventos de dados utilizando seletores de eventos avançados neste tópico.
-
Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.
-
Na página Armazenamentos de dados de eventos, escolha o armazenamento de dados de eventos que deseja atualizar.
nota
É possível ativar eventos de dados somente em armazenamentos de dados de eventos que contêm eventos do CloudTrail. Não é possível habilitar eventos de dados nos armazenamentos de dados de eventos do CloudTrail para itens de configuração do AWS Config, eventos do CloudTrail Insights ou eventos fora da AWS.
-
Na página de detalhes da trilha, em Eventos de dados, escolha Editar.
-
Se você ainda não estiver registrando eventos de dados, escolha a opção Eventos de dados.
-
Em Tipo de recurso, escolha o tipo de recurso no qual você deseja registrar em log eventos de dados.
-
Escolha um modelo de seletor de log. Você pode escolher um modelo predefinido ou escolher Personalizado para definir suas próprias condições de coleta de eventos.
Você pode escolher entre os seguintes modelos predefinidos:
-
Registrar em log todos os eventos: escolha esse modelo para registrar em log todos os eventos.
-
Registrar em log apenas eventos de leitura: escolha esse modelo para registrar em log apenas os eventos de leitura. Eventos somente leitura são eventos que não alteram o estado de um recurso, como eventos
Get*ouDescribe*. -
Registrar em log apenas eventos de gravação: escolha esse modelo para registrar em log apenas os eventos de gravação. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como
Put*,Delete*ouWrite*. -
Registrar em log apenas eventos do Console de gerenciamento da AWS: escolha esse modelo para registrar em log apenas os eventos originários do Console de gerenciamento da AWS.
-
Excluir eventos iniciados pelo AWS service (Serviço da AWS): escolha esse modelo para excluir os eventos do AWS service (Serviço da AWS), que têm um
eventTypedeAwsServiceEvent, e eventos iniciados com perfis vinculados ao AWS service (Serviço da AWS) (SLRs).
-
-
(Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como
Nameno seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON. -
Se você selecionou Personalizado, em Seletores de eventos avançados, compile uma expressão com base nos valores dos campos do seletor de eventos avançados.
nota
Os seletores não são compatíveis com o uso de curingas, como
*. Para combinar vários valores com uma única condição, você pode usarStartsWith,EndsWith,NotStartsWithouNotEndsWithpara corresponder explicitamente ao início ou ao fim do campo do evento.-
Escolha um dos seguintes campos:
-
readOnly-readOnlypode ser definido como igual a um valor detrueoufalse. Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, comoGet*ouDescribe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, comoPut*,Delete*ouWrite*. Para registrar os eventosreadewrite, não adicione um seletorreadOnly. -
eventName-eventNamepode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado no CloudTrail, comoPutBucket,GetItemouGetSnapshotBlock. -
eventSource: a origem do evento a ser incluída ou excluída. Esse campo pode usar qualquer operador. -
eventType: o tipo de evento a ser incluído ou excluído. Por exemplo, é possível definir esse campo como não igual a
AwsServiceEventpara excluir eventos AWS service (Serviço da AWS)Eventos do . para obter uma lista dos tipos de evento, consulte eventType em O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede. -
sessionCredentialFromConsole: inclua ou exclua eventos originários de uma sessão do Console de gerenciamento da AWS. Esse campo pode ser definido como igual a ou não igual a um valor de
true. -
userIdentity.arn: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.
-
resources.ARN- É possível usar qualquer operador com oresources.ARN, mas se você usar Igual a ou Diferente de, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo especificado no modelo como o valor deresources.type.nota
Você não pode usar o campo
resources.ARNpara filtrar tipos de recursos que não tenham ARNs.Para obter mais informações sobre os formatos de ARN dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição para Serviços da AWS na Referência de autorização de serviços.
-
-
Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir os eventos de dados de dois buckets do S3 dos eventos de dados registrados em log no datastore de eventos, você pode definir o campo como resources.ARN, definir o operador como não começa com e colar o ARN de um bucket do S3 para o qual não deseja registrar eventos em log.
Para adicionar o segundo bucket do S3, escolha + Condição e, em seguida, repita a instrução anterior, colando o ARN ou procurando um bucket diferente.
Para obter informações sobre como o CloudTrail avalia várias condições, consulte Como o CloudTrail avalia várias condições para um campo.
nota
É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como
eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor. -
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um ARN em um seletor para ser igual a um valor e, em seguida, especifique que o ARN não seja igual ao mesmo valor em outro seletor.
-
-
Para adicionar outro tipo de recurso no qual registrar em log eventos de dados, escolha Adicionar tipo de evento de dados. Repita da etapa 6 até esta etapa para configurar seletores de eventos avançados para outro tipo de recurso.
-
Depois de revisar e verificar suas escolhas, escolha Salvar alterações.
No Console de gerenciamento da AWS, se sua trilha estiver usando seletores de eventos avançados, você poderá escolher entre modelos predefinidos que registram todos os eventos de dados em um recurso selecionado. Depois de escolher um modelo de seletor de log, você poderá personalizar o modelo para incluir apenas os eventos de dados que mais deseja ver. Para obter mais informações sobre como usar seletores de eventos avançados, consulte Filtrar todos os eventos de dados utilizando seletores de eventos avançados neste tópico.
-
Nas páginas Painel ou Trilhas do console do CloudTrail, escolha um nome de trilha para abri-lo.
-
Na página de detalhes da trilha, em Eventos de dados, escolha Editar.
-
Se você ainda não estiver registrando eventos de dados, escolha a opção Eventos de dados.
-
Em Tipo de recurso, escolha o tipo de recurso no qual você deseja registrar em log eventos de dados.
-
Escolha um modelo de seletor de log. Você pode escolher um modelo predefinido ou escolher Personalizado para definir suas próprias condições de coleta de eventos.
Você pode escolher entre os seguintes modelos predefinidos:
-
Registrar em log todos os eventos: escolha esse modelo para registrar em log todos os eventos.
-
Registrar em log apenas eventos de leitura: escolha esse modelo para registrar em log apenas os eventos de leitura. Eventos somente leitura são eventos que não alteram o estado de um recurso, como eventos
Get*ouDescribe*. -
Registrar em log apenas eventos de gravação: escolha esse modelo para registrar em log apenas os eventos de gravação. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como
Put*,Delete*ouWrite*. -
Registrar em log apenas eventos do Console de gerenciamento da AWS: escolha esse modelo para registrar em log apenas os eventos originários do Console de gerenciamento da AWS.
-
Excluir eventos iniciados pelo AWS service (Serviço da AWS): escolha esse modelo para excluir os eventos do AWS service (Serviço da AWS), que têm um
eventTypedeAwsServiceEvent, e eventos iniciados com perfis vinculados ao AWS service (Serviço da AWS) (SLRs).
nota
Escolher um modelo predefinido de buckets do S3 habilita o registro de eventos de dados para todos os buckets atualmente em sua conta da AWS e qualquer bucket criados depois da criação da trilha. Também habilita o registro de atividades de eventos de dados realizadas por qualquer usuário ou função em sua conta da AWS, mesmo se essa atividade for realizada em um bucket que pertence a outra conta da AWS.
Se a trilha se aplicar somente a uma região, a escolha da opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Os eventos de dados não serão registrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS.
Se estiver criando uma trilha para todas as regiões, escolher um modelo predefinido para as funções Lambda habilitará o registro de eventos de dados para todas as funções atualmente em sua conta da AWS e qualquer função Lambda que você venha a criar em qualquer região depois de concluir a criação da trilha. Se estiver criando uma trilha para uma única região (no caso de trilhas, isso só poderá ser feito via AWS CLI), essa seleção habilitará o registro de eventos de dados em log para todas as funções atualmente nessa região em sua conta da AWS e qualquer função do Lambda que você vier a criar nessa região depois de concluir a criação da trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.
O registro de eventos de dados para todas as funções também permite o registro de atividades de eventos de dados realizadas por qualquer usuário ou função em sua conta da AWS, mesmo se essa atividade for realizada em uma função que pertence a outra conta da AWS.
-
-
(Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como
Nameno seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON. -
Se você selecionou Personalizado, em Seletores de eventos avançados, compile uma expressão com base nos valores dos campos do seletor de eventos avançados.
nota
Os seletores não são compatíveis com o uso de curingas, como
*. Para combinar vários valores com uma única condição, você pode usarStartsWith,EndsWith,NotStartsWithouNotEndsWithpara corresponder explicitamente ao início ou ao fim do campo do evento.-
Escolha um dos seguintes campos:
-
readOnly-readOnlypode ser definido como igual a um valor detrueoufalse. Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, comoGet*ouDescribe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, comoPut*,Delete*ouWrite*. Para registrar os eventosreadewrite, não adicione um seletorreadOnly. -
eventName-eventNamepode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado no CloudTrail, comoPutBucket,GetItemouGetSnapshotBlock. -
eventSource: a origem do evento a ser incluída ou excluída. Esse campo pode usar qualquer operador. -
eventType: o tipo de evento a ser incluído ou excluído. Por exemplo, é possível definir esse campo como não igual a
AwsServiceEventpara excluir eventos AWS service (Serviço da AWS)Eventos do . para obter uma lista dos tipos de evento, consulte eventType em O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede. -
sessionCredentialFromConsole: inclua ou exclua eventos originários de uma sessão do Console de gerenciamento da AWS. Esse campo pode ser definido como igual a ou não igual a um valor de
true. -
userIdentity.arn: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.
-
resources.ARN- É possível usar qualquer operador com oresources.ARN, mas se você usar Igual a ou Diferente de, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo especificado no modelo como o valor deresources.type.nota
Você não pode usar o campo
resources.ARNpara filtrar tipos de recursos que não tenham ARNs.Para obter mais informações sobre os formatos de ARN dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição para Serviços da AWS na Referência de autorização de serviços.
-
-
Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir os eventos de dados de dois buckets do S3 dos eventos de dados registrados em log no datastore de eventos, você pode definir o campo como resources.ARN, definir o operador como não começa com e colar o ARN de um bucket do S3 para o qual não deseja registrar eventos em log.
Para adicionar o segundo bucket do S3, escolha + Condição e, em seguida, repita a instrução anterior, colando o ARN ou procurando um bucket diferente.
Para obter informações sobre como o CloudTrail avalia várias condições, consulte Como o CloudTrail avalia várias condições para um campo.
nota
É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como
eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor. -
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um ARN em um seletor para ser igual a um valor e, em seguida, especifique que o ARN não seja igual ao mesmo valor em outro seletor.
-
-
Para adicionar outro tipo de recurso no qual registrar em log eventos de dados, escolha Adicionar tipo de evento de dados. Repita da etapa 4 até esta etapa para configurar seletores de eventos avançados para o tipo de recurso.
-
Depois de revisar e verificar suas escolhas, escolha Salvar alterações.
Use o procedimento a seguir para atualizar uma trilha existente para registrar eventos de dados usando seletores de eventos básicos.
-
Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
Abrir a página Trails (Trilhas) do console do CloudTrail e escolha o nome da trilha.
nota
Embora seja possível editar uma trilha existente para registrar eventos de dados em log, como prática recomendada considere criar uma trilha separada especificamente para o log de eventos de dados.
-
Em Data events (Eventos de dados), escolha Edit (Editar).
-
Para Buckets do Amazon S3:
-
Em Data event source (Fonte do eventos de dados), escolha S3.
-
Você pode escolher registrar All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) ou pode especificar buckets ou funções individuais. Por padrão, os eventos de dados são registrados para todos os buckets do S3 atuais e futuros.
nota
A seleção da opção padrão All current and future S3 buckets (Todos os buckets do S3 atuais e futuros) habilita o registro de eventos de dados para todos os buckets atualmente em sua conta da AWS e qualquer bucket criado depois da criação da trilha. Também habilita o registro de atividades de eventos de dados realizadas por qualquer usuário ou função em sua conta da AWS, mesmo se essa atividade for realizada em um bucket que pertence a outra conta da AWS.
Se você criar uma trilha para uma única região (usando a AWS CLI), selecionar a opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Os eventos de dados não serão registrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS.
-
Se você deixar a opção padrão All current and future S3 buckets (Todos os buckets do S3 atuais e futuros), escolha para registrar eventos Read (Leitura), Write (Gravação) ou ambos.
-
Para selecionar buckets individuais, desmarque as caixas de seleção Read (Leitura) e Write (Gravação) em All current and future S3 buckets (Todos os buckets do S3 atuais e futuros). Em Individual bucket selection (Seleção de bucket individual), procure por um bucket no qual registrar eventos de dados. Para localizar períodos específicos, digite um prefixo de bucket para o bucket desejado. É possível selecionar vários buckets nesta janela. Escolha Add bucket (Adicionar bucket) para registrar eventos de dados em mais buckets. Escolha se você deseja registrar eventos de Read (Leitura), como
GetObject, Write (Gravação), comoPutObject, ou ambos.Essa configuração tem precedência sobre configurações individuais que você configura para buckets individuais. Por exemplo, se você especificar o registro de eventos de Read (Leitura) para todos os buckets do S3 e escolher adicionar um bucket específico ao registro de eventos de dados, Read (Leitura) já estará selecionada para o bucket adicionado. Você não pode limpar a seleção. Você pode somente configurar a opção para Write (Gravação).
Para remover um bucket do registro, escolha X.
-
-
Para adicionar outro tipo de recurso no qual registrar em log eventos de dados, escolha Adicionar tipo de evento de dados.
-
Funções do Lambda:
-
Em Data event source (Fonte do eventos de dados), escolha Lambda.
-
Em Lambda function (Função do Lambda), escolha All regions (Todas as regiões) para registrar todas as funções do Lambda, ou Input function as ARN (Função de entrada como ARN) para registrar eventos de dados em uma função específica.
Para registrar eventos de dados para todas as funções do Lambda em sua conta da AWS, selecione Log all current and future functions (Registrar todas as funções atuais e futuras). Essa configuração tem precedência sobre configurações individuais definidas para funções individuais. Todas as funções são registradas, mesmo se todas as funções não forem exibidas.
nota
Se estiver criando uma trilha para todas as regiões, essa seleção habilitará o registro de eventos de dados para todas as funções atualmente em sua conta da AWS e qualquer função Lambda que você venha a criar em qualquer região depois de concluir a criação da trilha. Se estiver criando uma trilha para uma única região (usando a AWS CLI), essa seleção habilitará o registro de eventos de dados para todas as funções atualmente nessa região em sua conta da AWS e qualquer função Lambda que você venha a criar nessa região depois de concluir a criação da trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.
O registro de eventos de dados para todas as funções também permite o registro de atividades de eventos de dados realizadas por qualquer usuário ou função em sua conta da AWS, mesmo se essa atividade for realizada em uma função que pertence a outra conta da AWS.
-
Se você escolher Input function as ARN (Função de entrada como ARN), insira o ARN de uma função do Lambda.
nota
Se você tiver mais de 15 mil funções do Lambda em sua conta, não poderá visualizar ou selecionar todas as funções no console do CloudTrail ao criar uma trilha. Você ainda poderá selecionar a opção de registrar todas as funções, mesmo se elas não forem exibidas. Se você desejar registrar eventos de dados para funções específicas, poderá adicionar manualmente uma função se você souber seu ARN. Também é possível criar da trilha no console e usar o AWS CLI e o comando put-event-selectors para configurar o registro de eventos de dados para funções do Lambda específicas. Para obter mais informações, consulte Gerenciar trilhas com a AWS CLI.
-
-
Para adicionar outro tipo de recurso no qual registrar em log eventos de dados, escolha Adicionar tipo de evento de dados.
-
Para tabelas do DynamoDB:
-
Em Data event source (Fonte do eventos de dados), escolha DynamoDB.
-
Em DynamoDB table selection (Seleção da tabela do DynamoDB), escolha Browse (Navegar) para selecionar uma tabela ou cole no ARN de uma tabela do DynamoDB à qual você tem acesso. Um ARN de tabela do DynamoDB utiliza o seguinte formato:
arn:partition:dynamodb:region:account_ID:table/table_namePara adicionar outra tabela, escolha Add row (Adicionar linha) e procure uma tabela ou cole no ARN de uma tabela à qual você tem acesso.
-
-
Escolha Salvar alterações.
Registro de eventos de dados com a AWS Command Line Interface
É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de dados em log usando a AWS CLI.
Tópicos
Registrar em log eventos de dados para trilhas com a AWS CLI
Você pode configurar suas trilhas para registrar eventos de gerenciamento e de dados usando a AWS CLI.
nota
-
Esteja ciente de que, se a sua conta estiver registrando mais de uma cópia de eventos de gerenciamento, você incorrerá em cobranças. Há sempre uma cobrança para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail
. -
Você pode usar seletores de eventos avançados ou seletores de eventos básicos, mas não ambos. Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
-
Se sua trilha usa seletores de eventos básicos, você só pode registrar os seguintes tipos de recursos:
-
AWS::DynamoDB::Table -
AWS::Lambda::Function -
AWS::S3::Object
Para registrar tipos de recursos adicionais, você precisará usar seletores de eventos avançados. Para converter uma trilha em seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores e, em seguida, adicione seletores para qualquer tipo de recurso para o qual você deseja registrar eventos de dados.
-
-
Você pode usar seletores de eventos avançados para filtrar com base no valor dos campos de seletor de eventos avançados compatíveiscampos de seletor de eventos avançados compatíveis, permitindo que você registre em log em apenas os eventos de dados de interesse. Para obter informações sobre a configuração desses campos, consulte AdvancedFieldSelector na Referência da API do AWS CloudTrail e Filtrar todos os eventos de dados utilizando seletores de eventos avançados neste guia.
Para visualizar se a trilha está registrando eventos de dados e de gerenciamento, execute o comando get-event-selectors
aws cloudtrail get-event-selectors --trail-nameTrailName
O comando retorna os seletores de eventos para a trilha.
Tópicos
Registrar em log eventos de dados para trilhas usando seletores de eventos avançados
nota
Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos. Antes de configurar seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores e, em seguida, adicione seletores para qualquer tipo de recurso para o qual você deseja registrar eventos de dados.
O exemplo a seguir cria seletores de eventos avançados personalizados para uma trilha chamada TrailName para incluir eventos de gerenciamento de leitura e gravação (omitindo o seletor readOnly), os eventos de dados PutObject e DeleteObject para todas as combinações de bucket/prefixo do Amazon S3, exceto para um bucket chamado amzn-s3-demo-bucket e eventos de dados para uma função AWS Lambda chamada MyLambdaFunction. Como estes são seletores de eventos avançados personalizados, cada conjunto de seletores tem um nome descritivo. Observe que uma barra à direita faz parte do valor ARN para buckets do S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Registrar todos os eventos do Amazon S3 de um bucket do S3 usando seletores de eventos avançados
nota
Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
O exemplo a seguir mostra como configurar a trilha para registrar eventos de dados de todos os objetos do Amazon S3 em um bucket do S3. O valor para eventos do S3 para o campo resources.type é AWS::S3::Object. Como os valores de ARN para objetos do S3 e buckets do S3 são ligeiramente diferentes, você deve adicionar o operador StartsWith para o resources.ARN para capturar todos os eventos.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition:s3:::amzn-s3-demo-bucket/" ] } ] } ] }
Registrar o Amazon S3 no AWS Outposts usando seletores de eventos avançados
nota
Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos.
O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de dados para todos os objetos do Amazon S3 on Outposts em seu outpost.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ] }
Registar eventos utilizando seletores de eventos básicos
Este é um exemplo de resultado do comando get-event-selectors mostrando seletores de eventos básicos. Por padrão, quando você cria uma trilha usando a AWS CLI, uma trilha registra todos os eventos de gerenciamento. Por padrão, as trilhas não registram em log eventos de dados.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ] }
Para configurar a trilha para registrar eventos de gerenciamento e de dados, execute o comando put-event-selectors
O exemplo a seguir mostra como usar seletores de eventos básicos para configurar a trilha para incluir todos os eventos de gerenciamento e de dados para os objetos do S3 em dois prefixos de bucket do S3. Você pode especificar seletores de eventos de 1 a 5 para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.
nota
O número máximo de recursos de dados do S3 será 250, se você optar por limitar eventos de dados usando seletores de evento básicos.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'
O comando retorna os seletores de eventos configurados para a trilha.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ] }
Registrar em log eventos de dados para armazenamentos de dados de eventos com a AWS CLI
É possível configurar seus armazenamentos de dados de eventos para incluir eventos de dados usando a AWS CLI. Use o comando create-event-data-storeupdate-event-data-store
Você configura seletores de eventos avançados para registrar em log eventos de dados em um datastore de eventos. Para obter uma lista dos campos compatíveis, consulte Filtrar todos os eventos de dados utilizando seletores de eventos avançados.
Para verificar se o armazenamento de dados de eventos inclui eventos de dados, execute o comando get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
O comando retorna as configurações do armazenamento de dados de eventos.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa", "Name": "ebs-data-events", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log all EBS direct APIs on EBS snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00" }
Tópicos
Incluir todos os eventos do Amazon S3 para um bucket específico
O exemplo a seguir mostra como criar um datastore de eventos para incluir todos os eventos de dados de todos os objetos do Amazon S3 em um bucket S3 de uso geral específico e excluir eventos de AWS service (Serviço da AWS) e eventos gerados pela userIdentity bucket-scanner-role. O valor para eventos do S3 para o campo resources.type é AWS::S3::Object. Como os valores de ARN para objetos do S3 e buckets do S3 são ligeiramente diferentes, você deve adicionar o operador StartsWith para o resources.ARN para capturar todos os eventos.
aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }, { "Field": "userIdentity.arn", "NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}, { "Field": "eventType","NotEquals": ["AwsServiceEvent"]} ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition:s3:::amzn-s3-demo-bucket/" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "userIdentity.arn", "NotStartsWith": [ "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role" ] }, { "Field": "eventType", "NotEquals": [ "AwsServiceEvent" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2024-11-20T20:49:21.766000+00:00" }
Incluir o Amazon S3 em eventos do AWS Outposts
O exemplo a seguir mostra como criar um armazenamento de dados de eventos que inclua todos os eventos de dados para todos os objetos do Amazon S3 on Outposts em seu outpost.
aws cloudtrail create-event-data-store --nameEventDataStoreName\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00" }
Registrar de eventos de dados para conformidade de AWS Config
Se você estiver usando os pacotes de conformidade do AWS Config para ajudar sua empresa a manter a conformidade com padrões formalizados, como os exigidos pelo Federal Risk and Authorization Management Program (FedRAMP) ou pelo National Institute of Standards and Technology (NIST), os pacotes de conformidade para estruturas de conformidade geralmente exigem que você registre dados para buckets do Amazon S3, no mínimo. Os pacotes de conformidade para estruturas de conformidade incluem umaregra gerenciada chamada cloudtrail-s3-dataevents-enabled que verifica o registro de eventos de dados do S3 em sua conta. Muitos pacotes de conformidade que não estão associados a estruturas de conformidade também exigem log de eventos de dados do S3. Veja a seguir exemplos de pacotes de conformidade que incluem essa regra.
Para obter uma lista completa de pacotes de conformidade de amostra disponíveis em AWS Config, consulte Modelos de amostra de pacote de conformidade no Guia do desenvolvedor do AWS Config.
Registrar eventos de dados em log com os SDKs da AWS
Execute a operação GetEventSelectors para ver se a trilha está registrando eventos de dados em log. É possível configurar as trilhas para registrar em log eventos de dados executando a operação PutEventSelectors. Para obter mais informações, consulte a AWS CloudTrail Referência da API do.
Execute a operação GetEventDataStore para ver se o armazenamento de dados de eventos está registrando eventos de dados em log. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de dados executando as operações CreateEventDataStore ou UpdateEventDatastore e especificando seletores de eventos avançados. Para obter mais informações, consulte a Criar, atualizar e gerenciar armazenamentos de dados de eventos com a AWS CLI e a Referência da API doAWS CloudTrail.
