Abilitazione della registrazione di eventi CloudTrail per bucket e oggetti S3
Puoi utilizzare gli eventi dati CloudTrail per ottenere informazioni sulle richieste bucket e a livello di oggetto in Amazon S3. Per abilitare gli eventi di dati CloudTrail per tutti i bucket o per un elenco di bucket specifici, è necessario creare un trail manualmente in CloudTrail.
Nota
-
L'impostazione predefinita di CloudTrail è di trovare solo eventi di gestione. Assicurarsi che gli eventi di dati siano abilitati per l'account.
-
Con un bucket S3 che genera un carico di lavoro elevato, è possibile generare migliaia di log in un breve lasso di tempo. Fare attenzione per quanto tempo si sceglie di abilitare gli eventi di dati CloudTrail per un bucket occupato.
CloudTrail archivia i log degli eventi di dati Amazon S3 in un bucket S3 prescelto. Valuta l'utilizzo di un bucket in un Account AWS separato per organizzare meglio gli eventi per più bucket di cui si è proprietari in una posizione centrale al fine di eseguire più facilmente analisi e query. AWS Organizations semplifica la creazione di un Account AWS collegato all'account proprietario del bucket che si sta monitorando. Per ulteriori informazioni, consulta Che cos'è AWS Organizations? nella Guida per l'utente di AWS Organizations.
Quando si registrano gli eventi di dati per un trail in CloudTrail, si può scegliere di usare i selettori di eventi avanzati o i selettori di eventi di base per registrare gli eventi di dati per gli oggetti memorizzati nei bucket per uso generico. Per registrare gli eventi di dati per gli oggetti memorizzati nei bucket della directory, è necessario utilizzare selettori di eventi avanzati. Per ulteriori informazioni, consulta Registrazione con AWS CloudTrail per S3 Express One Zone.
Quando si crea un percorso nella console CloudTrail usando i selettori di eventi avanzati, nella sezione eventi dei dati, è possibile scegli Registra tutti gli eventi per il modello di selettore Registra per registrare tutti gli eventi a livello di oggetto. Quando si crea un percorso nella console CloudTrail utilizzando i selettori di eventi di base, nella sezione eventi dati è possibile selezionare la casella Seleziona tutti i bucket S3 dell'account per registrare tutti gli eventi a livello di oggetto.
Nota
-
È una best practice la creazione di una configurazione del ciclo di vita per il bucket degli eventi di dati AWS CloudTrail. Definisci la configurazione del ciclo di vita in modo tale da rimuovere periodicamente i file di log al termine del periodo di tempo desiderato per l'audit. In questo modo, si riduce la quantità di dati analizzati da Athena per ogni query. Per ulteriori informazioni, consulta Impostazione di una configurazione del ciclo di vita S3 in un bucket.
-
Per ulteriori informazioni sul formato della registrazione, consulta Registrazione delle chiamate API di Amazon S3 utilizzando AWS CloudTrail.
-
Per esempi su come eseguire query sui log CloudTrail, consulta il post del Blog sui Big Data di AWS dal titolo Analisi dei problemi di sicurezza, conformità e attività operativa tramite AWS CloudTrail e Amazon Athena
.
Abilitazione della registrazione per gli oggetti in un bucket utilizzando la console
Puoi utilizzare la console AWS CloudTrail per configurare un trail CloudTrail destinato a registrare i log degli eventi di dati per gli oggetti in un bucket S3. CloudTrail supporta la registrazione delle operazioni API a livello di oggetto di Amazon S3, ad esempio GetObject, DeleteObject e PutObject. Questi eventi vengono chiamati eventi di dati.
Per default, i trail di CloudTrail non registrano gli eventi di dati, ma puoi configurare trail per registrare eventi di dati per i bucket S3 specificati o per tutti i bucket di Amazon S3 nell' Account AWS. Per ulteriori informazioni, consulta Registrazione delle chiamate API di Amazon S3 utilizzando AWS CloudTrail.
CloudTrail non popola gli eventi dati nella cronologia eventi CloudTrail. Inoltre, non tutte le operazioni a livello di bucket vengono popolate nella cronologia eventi CloudTrail. Per ulteriori informazioni sulle operazioni API a livello di bucket di Amazon S3 monitorate tramite la registrazione CloudTrail, consulta Operazioni a livello di bucket Amazon S3 monitorate tramite i log di CloudTrail. Per ulteriori informazioni, consulta l'articolo del Portale del sapere di AWS sull'utilizzo dei modelli di filtro di Amazon CloudWatch Logs e Amazon Athena per interrogare i log di CloudTrail
Nota
Se registri i log dell’attività dei dati con AWS CloudTrail, il record per un evento di dati DeleteObjects di Amazon S3 include sia l’evento DeleteObjects sia l’evento DeleteObject per ogni oggetto eliminato come parte dell’operazione. È possibile escludere la visibilità aggiuntiva sugli oggetti eliminati dal record dell’evento. Per ulteriori informazioni, consulta Esempi AWS CLI per filtrare eventi di dati nella Guida per l’utente di AWS CloudTrail.
Per abilitare la registrazione dei log degli eventi di dati di CloudTrail per gli oggetti in un bucket per uso generico S3 o in un bucket di directory S3, consulta Creazione di un trail con la console CloudTrail nella Guida per l’utente di AWS CloudTrail.
Per ulteriori informazioni sulla registrazione dei log di un oggetto in un bucket di directory S3, consulta Registrazione con AWS CloudTrail per i bucket di directory.
Per informazioni sull’utilizzo della console CloudTrail per configurare un trail per registrare i log degli eventi di dati S3, consulta Registrazione dei log di eventi di dati nella Guida per l’utente di AWS CloudTrail.
Per disabilitare la registrazione dei log degli eventi di dati CloudTrail per gli oggetti in un bucket S3, consulta Eliminazione di un trail con la console CloudTrail nella Guida per l’utente di AWS CloudTrail.
Importante
Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail
Per ulteriori informazioni sulla registrazione CloudTrail con i bucket S3, consulta gli argomenti riportati di seguito:
