Criar uma trilha para registrar eventos de gerenciamento
Para a primeira trilha, recomendamos que você crie uma trilha que registre todos os eventos de gerenciamento e não registre eventos de dados ou eventos do Insights. Os exemplos de eventos de gerenciamento incluem eventos de segurança, como os eventos do CreateUser e AttachRolePolicy do IAM, eventos de recurso, como RunInstances e CreateBucket e muito mais. Você criará um bucket do Amazon S3 onde armazenará os arquivos de log para a trilha como parte da criação da trilha no console do CloudTrail.
nota
O AWS Control Tower configura uma nova trilha do CloudTrail registrando em log os eventos de gerenciamento ao configurar uma zona de pouso. É uma trilha no nível da organização, o que significa que ela registra todos os eventos de gerenciamento para a conta de gerenciamento e todas as contas-membro da organização. Para obter mais informações, consulte Informações sobre registro em log no AWS Control Tower no Guia do usuário do AWS CloudTrail.
Este tutorial pressupõe que você está criando a primeira trilha. Dependendo do número de trilhas na sua conta da AWS e de como as trilhas são configuradas, o procedimento a seguir pode ou não incorrer em despesas. O CloudTrail armazena arquivos de log em um bucket do Amazon S3, o que incorre em custos. Para obter mais informações sobre preços, consulte Preços do AWS CloudTrail
Para criar uma trilha
-
Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
No seletor de Region (Região), escolha a região da AWS onde você deseja criar a trilha. Essa é a região inicial da trilha.
nota
A região de origem é a única Região da AWS onde você pode atualizar a trilha depois que ela é criada.
-
Na página inicial do serviço CloudTrail, na página Trails (Trilhas) ou na seção Traisl (Trilhas) da página Dashboard(Painel), escolha Create trail (Criar trilha).
-
Em Nome da trilha, atribua um nome para a trilha, como
management-events. Como prática recomendada, use um nome que identifique rapidamente a finalidade da trilha. Nesse caso, você está criando uma trilha que registra eventos de gerenciamento. -
Mantenha a configuração padrão para Habilitar para todas as contas em minha organização. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no Organizations.
-
Em Storage location (Local de armazenamento), escolha Create a S3 bucket (Criar um bucket do S3) para criar um bucket. Ao criar um novo bucket, o CloudTrail cria e aplica as políticas necessárias do bucket. Se você escolher criar um bucket do S3 padrão, sua política do IAM precisará incluir permissão para a ação
s3:PutEncryptionConfigurationporque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Forneça ao seu bucket um nome que facilite sua identificação.Para facilitar a localização dos logs, crie uma nova pasta (também conhecida como prefix) em um bucket existente para armazenar seus logs do CloudTrail.
nota
O nome do bucket do Amazon S3 deve ser exclusivo globalmente. Para obter mais informações, consulte as Regras para nomear buckets no Guia do usuário do Amazon Simple Storage Service.
-
Desmarque a caixa de seleção para desabilitar a Log file SSE-KMS encryption (Criptografia SSE-KMS do arquivo de log). Por padrão, os arquivos de log são criptografados com criptografia SSE-S3. Para obter mais informações sobre essa configuração, consulte Usar criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3).
-
Deixe as configurações padrão em Additional settings (Configurações adicionais).
-
Mantenha as configurações padrão para o CloudWatch Logs. Por enquanto, não envie logs para o Amazon CloudWatch Logs.
-
(Opcional) Em Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso à sua trilha. As tags podem ajudar você a identificar suas trilhas do CloudTrail e outros recursos, como os buckets do Amazon S3 que contêm arquivos de log do CloudTrail. Por exemplo, você poderia anexar uma tag com o nome
Compliancee o valorAuditing.nota
Embora você possa adicionar tags a trilhas ao criá-las no console do CloudTrail e criar um bucket do Amazon S3 para armazenar seus arquivos de log no console do CloudTrail, não é possível adicionar tags ao bucket do Amazon S3 a partir do console do CloudTrail. Para obter mais informações sobre como visualizar e alterar as propriedades de um bucket do Amazon S3, inclusive adicionar tags a um bucket, consulte o Manual do usuário do Amazon S3.
Quando terminar de criar as tags, escolha Next (Próximo).
-
Na página Choose log events (Escolher eventos de log), selecione os tipos de log. Para essa trilha, mantenha o padrão, Management events (Eventos de gerenciamento). Em Management events (Eventos de gerenciamento), escolha para registrar eventos de Read (Leitura) e Write (Gravação) se ainda não estiverem selecionados. Mantenha as caixas de seleção Excluir eventos do AWS KMS e Excluir eventos da API de dados do Amazon RDS vazias para registrar todos os eventos de gerenciamento.
-
Mantenha as configurações padrão para Eventos de dados, Eventos do Insights e Eventos de atividade de rede. Essa trilha não registrará nenhum evento de dados, eventos do Insights nem eventos de atividades de rede. Escolha Próximo.
-
Na página Review and create (Analisar e criar), revise as configurações que você escolheu para sua trilha. Selecione Edit (Editar) para voltar e fazer alterações em uma seção. Quando estiver pronto para criar a trilha, escolha Create trail (Criar trilha).
-
A página Trails (Trilhas) mostra sua nova trilha na tabela. Observe que a trilha está definida como Multi-region trail (Trilha de várias regiões) por padrão, e esse registro está ativado para a trilha por padrão.
Para obter mais informações sobre trilhas, consulte Como trabalhar com o CloudTrail Lake.
