AWS CloudTrail - Guia do usuário...AWS CloudTrail Guia do usuário Como CloudTrail funciona Se for adicionada alguma região depois que você criar uma trilha que se aplica a todas

AWS CloudTrailGuia do usuário

Versão 1.0

AWS CloudTrail Guia do usuário

AWS CloudTrail: Guia do usuárioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsO que é AWS CloudTrail? ................................................................................................................... 1

Como CloudTrail funciona ............................................................................................................ 1Fluxo de trabalho CloudTrail ........................................................................................................ 3Conceitos do CloudTrail .............................................................................................................. 4

O que são eventos CloudTrail? ............................................................................................ 5O que é o histórico de eventos CloudTrail? ............................................................................ 7O que são trilhas? .............................................................................................................. 7O que são trilhas da organização? ........................................................................................ 7Como gerenciar CloudTrail? ................................................................................................. 7Como controlar o acesso a CloudTrail? ................................................................................. 8Como registrar o gerenciamento e os eventos de dados? ......................................................... 9Como você registra em log eventos do CloudTrail Insights? ...................................................... 9Como executar o monitoramento com o CloudTrail? ................................................................ 9Como o CloudTrail se comporta nos âmbitos regional e global? ............................................... 10Sobre eventos de serviços globais ...................................................................................... 11Como CloudTrail se relaciona com outros serviços de monitoramento da AWS? ......................... 12Soluções para parceiros .................................................................................................... 12

CloudTrail Regiões compatíveis .................................................................................................. 12CloudTrail Exemplos de arquivos de log ....................................................................................... 14

Formato dos nomes dos arquivos de log CloudTrail ............................................................... 15Exemplos de arquivos de log .............................................................................................. 15

CloudTrail Serviços compatíveis e integrações .............................................................................. 20Integrações de serviços AWS com os logs CloudTrail ............................................................. 21Integração do CloudTrail com o AWS Organizations ............................................................... 22Tópicos de serviços AWS para CloudTrail ............................................................................ 22CloudTrail Serviços não compatíveis .................................................................................... 31

Limites em AWS CloudTrail ........................................................................................................ 32Tutorial do AWS CloudTrail ................................................................................................................ 34

Pré-requisitos ........................................................................................................................... 34Etapa 1: revisar a atividade da conta da AWS no histórico de eventos .............................................. 34Etapa 2: criar sua primeira trilha ................................................................................................. 38Etapa 3: visualizar seus arquivos de log ...................................................................................... 40Etapa 4: planejar para próximas etapas ....................................................................................... 42

Trabalhar com o CloudTrail ................................................................................................................ 44Visualizar eventos com o histórico de eventos CloudTrail ................................................................ 44

Visualizar eventos CloudTrail no console CloudTrail ............................................................... 45Visualizar eventos CloudTrail com AWS CLI ......................................................................... 49

Visualizar eventos do CloudTrail Insights ...................................................................................... 55Visualizar eventos do CloudTrail Insights no console do CloudTrail ........................................... 56Visualizar eventos do CloudTrail Insights com a AWS CLI ....................................................... 62

Criar uma trilha para sua conta da AWS ...................................................................................... 68Criar e atualizar uma trilha com o console ............................................................................ 69Criar, atualizar e gerenciar trilhas com a AWS Command Line Interface .................................... 76

Criar uma trilha para uma organização ........................................................................................ 90Melhores práticas para migrar de trilhas de conta-membro para trilhas da organização ................. 92Preparar a criação de uma trilha para sua organização .......................................................... 92Criar uma trilha para sua organização no console .................................................................. 94Criar uma trilha para uma organização com o AWS Command Line Interface ............................. 99

Obter e visualizar seus arquivos de log do CloudTrail ................................................................... 102Localizar seus arquivos de log do CloudTrail ....................................................................... 103Fazer download dos seus arquivos de log do CloudTrail ....................................................... 104

Configuração de notificações do Amazon SNS para o CloudTrail .................................................... 105Configurar o CloudTrail para enviar notificações .................................................................. 105

Controlar as permissões de usuários do CloudTrail ...................................................................... 106

Versão 1.0iii


Dicas para gerenciar trilhas ...................................................................................................... 107Gerenciar custos do CloudTrail ......................................................................................... 107Requisitos de nomenclatura de trilhas do CloudTrail ............................................................. 109Requisitos de nomenclatura para buckets do Amazon S3 ...................................................... 109Requisitos de nomenclatura de alias do AWS KMS .............................................................. 110

Como usar AWS CloudTrail com VPC endpoints de interface ......................................................... 110Disponibilidade ................................................................................................................ 110Criar um VPC endpoint para o CloudTrail ........................................................................... 111

Como trabalhar com arquivos de log CloudTrail ................................................................................... 112Criar várias trilhas ................................................................................................................... 113Registrar em log eventos de gerenciamento para trilhas ................................................................ 115

Eventos de gerenciamento ............................................................................................... 115Eventos somente leitura e somente gravação ...................................................................... 116Registro de eventos com o AWS Command Line Interface .................................................... 117Registro de eventos com os SDKs do AWS ........................................................................ 119Enviar eventos ao Amazon CloudWatch Logs ...................................................................... 119

Registrar em log eventos de dados para trilhas ........................................................................... 119Eventos de dados ........................................................................................................... 119Eventos somente leitura e somente gravação ...................................................................... 124Registro de eventos com o AWS Command Line Interface .................................................... 125Registro de eventos com os SDKs do AWS ........................................................................ 126Enviar eventos ao Amazon CloudWatch Logs ...................................................................... 126

Registrar em log eventos do Insights para trilhas ......................................................................... 126Noções básicas do Insights .............................................................................................. 127Registrar em log eventos do Insights com o Console de gerenciamento da AWS ....................... 129Registrar em log eventos do Insights com a AWS Command Line Interface .............................. 129Registro de eventos com os SDKs do AWS ........................................................................ 130Enviar eventos ao Amazon CloudWatch Logs ...................................................................... 130

Recebimento de arquivos de log do CloudTrail de várias regiões .................................................... 130Monitorar arquivos de log CloudTrail com Amazon CloudWatch Logs .............................................. 131

Enviar eventos ao CloudWatch Logs .................................................................................. 131Criar alarmes CloudWatch com um modelo AWS CloudFormation .......................................... 136Criar alarmes CloudWatch para eventos CloudTrail: exemplos ............................................... 147Criar alarmes CloudWatch para eventos CloudTrail: outros exemplos ...................................... 171Configurar notificações para alarmes CloudWatch Logs ........................................................ 180Interromper CloudTrail de enviar eventos para CloudWatch Logs ............................................ 180CloudWatch Denominação do grupo de log e do fluxo de log para CloudTrail ............................ 181Documento de política função para CloudTrail usar CloudWatch Logs para monitoramento .......... 181

Recebimento de arquivos de log do CloudTrail de várias contas ..................................................... 183Definir a política de bucket para várias contas ..................................................................... 183Ativar o CloudTrail em contas adicionais ............................................................................ 184

Compartilhar arquivos de log CloudTrail entre contas da AWS ....................................................... 186Cenário 1: concessão de acesso à conta que gerou os arquivos de log ................................... 186Cenário 2: conceder acesso a todos os logs ....................................................................... 188Criar uma função ............................................................................................................ 189Criar uma política de acesso padrão para conceder acesso às suas contas .............................. 190Criar uma política de acesso padrão para conceder acesso a um terceiro ................................ 192Assumir uma função ........................................................................................................ 193Interromper o compartilhamento de arquivos de log do CloudTrail entre contas da AWS .............. 195

Validar a integridade dos arquivos de log CloudTrail ..................................................................... 195Por que usá-los? ............................................................................................................. 196Como funciona ............................................................................................................... 196Habilitar a validação da integridade dos arquivos de log para CloudTrail .................................. 197Validar a integridade dos arquivos de log do CloudTrail com a AWS CLI .................................. 197Estrutura dos arquivos de resumo CloudTrail ...................................................................... 203Implementações personalizadas da validação da integridade dos arquivos de log do CloudTrail .... 207

Usar a CloudTrail Processing Library ......................................................................................... 216

Versão 1.0iv


Requisitos mínimos ......................................................................................................... 216Processamento de logs CloudTrail ..................................................................................... 216Tópicos avançados .......................................................................................................... 220Recursos adicionais ......................................................................................................... 223

Segurança ...................................................................................................................................... 225Proteção de dados .................................................................................................................. 225Identity and Access Management .............................................................................................. 226

Público .......................................................................................................................... 227Autenticação com identidades ........................................................................................... 227Gerenciamento do acesso usando políticas ......................................................................... 229Como o AWS CloudTrail funciona com o IAM ...................................................................... 231Exemplos de políticas baseadas em identidade ................................................................... 234Amazon S3 Política de bucket para o CloudTrail .................................................................. 244Política de tópicos do Amazon SNS para o CloudTrail .......................................................... 248Solução de problemas ..................................................................................................... 251Usar funções vinculadas a serviço ..................................................................................... 252

Validação de conformidade ....................................................................................................... 254Resiliência .............................................................................................................................. 255Segurança da infraestrutura ...................................................................................................... 255Práticas recomendadas de segurança ........................................................................................ 256

Melhores práticas de segurança preventiva do CloudTrail ...................................................... 256Melhores práticas de segurança preventiva do CloudTrail ...................................................... 257

Criptografar os arquivos de log do CloudTrail com chaves gerenciadas do AWS KMS (SSE-KMS) ........ 259Ativar a criptografia de arquivos de log ............................................................................... 260Conceder permissões para criar uma CMK ......................................................................... 261Configurar políticas de chave do AWS KMS para o CloudTrail ............................................... 261Atualizar uma trilha para usar sua CMK ............................................................................. 268Habilitar e desabilitar a criptografia de arquivos de log do CloudTrail com a AWS CLI ................. 269

Referência a eventos de log do CloudTrail .......................................................................................... 271Conteúdo do registro do CloudTrail ............................................................................................ 273

Campos de registro de evento do Insights .......................................................................... 278Exemplo de sharedEventID .............................................................................................. 279

Elemento userIdentity do CloudTrail ........................................................................................... 280Exemplos ....................................................................................................................... 281Campos ......................................................................................................................... 281Valores para APIs do AWS STS com SAML e federação de identidades da web ....................... 285

Eventos que não são da API capturados pelo CloudTrail ............................................................... 286Eventos de serviço da AWS ............................................................................................. 286Eventos de login no console da AWS ................................................................................ 286

Histórico do documento .................................................................................................................... 291Atualizações anteriores ............................................................................................................ 296

AWS Glossary ................................................................................................................................ 311

Versão 1.0v

AWS CloudTrail Guia do usuárioComo CloudTrail funciona

O que é AWS CloudTrail?AWS CloudTrail é um serviço AWS que lhe permite administrar, manter-se compatível e realizar auditoriasoperacionais e de risco na sua conta AWS. As ações realizadas por um usuário, uma função ou um serviçoAWS são registradas como eventos em CloudTrail. Os eventos incluem ações realizadas em Console degerenciamento da AWS, AWS Command Line Interface, e AWS SDKs e APIs.

CloudTrail está habilitado na sua conta AWS ao criá-la. Quando alguma atividade ocorre na sua contaAWS, essa atividade é registrada em um evento CloudTrail. Você pode visualizar os eventos recentes comfacilidade no console CloudTrail acessando o histórico de eventos. Para obter um registro contínuo dasatividade e dos eventos na sua conta AWS, crie uma trilha (p. 69). Para obter mais informações sobredefinição de preço do CloudTrail, consulte Definição de preço do AWS CloudTrail.

A visibilidade das atividades na sua conta AWS é um aspecto importante de segurança e uma práticaoperacional recomendada. É possível usar o CloudTrail para visualizar, pesquisar, fazer download,arquivar, analisar e responder às atividades da conta em toda a infraestrutura AWS. É possível identificarquem ou o que fez qual ação, quais recursos foram aproveitados, quando o evento ocorreu e outrosdetalhes para ajudar a analisar e responder às atividades na sua conta AWS. Se preferir, você poderáativar o AWS CloudTrail Insights em uma trilha para ajudar a identificar e a responder a atividade incomum.

É possível integrar CloudTrail a aplicativos usando a API, automatizar a criação de trilhas para a suaorganização, verificar o status das trilhas que você criou e controlar como os usuários visualizam oseventos CloudTrail.

Tópicos• Como CloudTrail funciona (p. 1)• Fluxo de trabalho CloudTrail (p. 3)• Conceitos do CloudTrail (p. 4)• CloudTrail Regiões compatíveis (p. 12)• CloudTrail Exemplos de arquivos de log (p. 14)• CloudTrail Serviços compatíveis e integrações (p. 20)• Limites em AWS CloudTrail (p. 32)

Como CloudTrail funcionaCloudTrail está habilitado na sua conta AWS ao criá-la. Quando alguma atividade ocorre na sua contaAWS, essa atividade é registrada em um evento CloudTrail. Você pode visualizar facilmente os eventos noconsole CloudTrail acessando o histórico de eventos.

O histórico de eventos permite que você visualize, pesquise e faça download dos últimos 90 dias deatividades em sua conta da AWS. Além disso, é possível criar uma trilha CloudTrail para arquivar, analisare responder a alterações nos seus recursos AWS. Uma trilha é uma configuração que permite a entrega deeventos a um bucket Amazon S3 que você especificar. Você também pode entregar e analisar eventos emuma trilha com Amazon CloudWatch Logs e Eventos do Amazon CloudWatch. Você pode criar uma trilhacom o console CloudTrail, AWS CLI ou a API CloudTrail.

Você pode criar dois tipos de trilhas para uma conta da AWS:

Uma trilha que se aplica a todas as regiões

Quando você cria uma trilha que se aplica a todas as regiões, CloudTrail registra os eventos em cadaregião e fornece os arquivos de log de eventos CloudTrail a um bucket do S3 especificado por você.

Versão 1.01

http://aws.amazon.com/cloudtrail/pricing/

AWS CloudTrail Guia do usuárioComo CloudTrail funciona

Se for adicionada alguma região depois que você criar uma trilha que se aplica a todas as regiões,essa nova região será incluída automaticamente, e os eventos nessa região serão registrados. Essaé a opção padrão quando você cria uma trilha no console CloudTrail. Para obter mais informações,consulte Criar uma trilha no console (p. 70).

Uma trilha que se aplica a uma região

Quando você cria uma trilha que se aplica a uma única região, CloudTrail registra os eventossomente nessa região. Ele envia os arquivos de log de eventos CloudTrail a um bucket AmazonS3 especificado por você. Se você criar trilhas individuais adicionais, poderá fazer com que elasforneçam arquivos de log CloudTrail ao mesmo bucket Amazon S3 ou a buckets separados.Essa é a opção padrão quando você cria uma trilha usando AWS CLI ou a API CloudTrail. Paraobter mais informações, consulte Criar, atualizar e gerenciar trilhas com a AWS Command LineInterface (p. 76).

Note

Para os dois tipos de trilhas, você pode especificar um bucket Amazon S3 de qualquer região.

A partir de 12 de abril de 2019, as trilhas poderão ser visualizadas apenas em regiões da AWS em queelas registram eventos em log. Se você criar uma trilha que registra eventos em log em todas as regiõesda AWS, ela será exibida no console em todas as regiões da AWS. Se você criar uma trilha que registraeventos em log apenas em uma única região da AWS, poderá visualizá-la e gerenciá-la apenas nessaregião da AWS.

Se você criou uma organização no AWS Organizations, também pode criar uma trilha que registrarátodos os eventos de todas as contas da AWS dela. Elas são chamadas de trilhas da organização. Astrilhas da organização podem se aplicar a todas as regiões da AWS ou a uma única região. As trilhasda organização devem ser criadas na conta mestra e, quando especificadas como aplicadas a umaorganização, são aplicadas automaticamente a todas as contas-membro dela. As contas-membro podemver a trilha da organização, mas não podem modificá-la nem excluí-la. Por padrão, as contas-membro nãotêm acesso aos arquivos de log da trilha da organização no bucket do Amazon S3.

Você pode alterar a configuração de uma trilha depois que a criar, bem como se ela deve registrar eventosem uma única região ou em todas as regiões. Também é possível alterar se ela deve registrar em logeventos de dados ou eventos do CloudTrail Insights. A alteração sobre se uma trilha deve registrar eventosem uma região ou em todas as regiões afeta os eventos que são registrados. Para obter mais informações,consulte Atualizar uma trilha (p. 74) (console), Gerenciar trilhas com a AWS CLI (p. 82) (AWS CLI) eComo trabalhar com arquivos de log CloudTrail (p. 112).

Por padrão, os arquivos de log de evento CloudTrail são criptografados com criptografia no lado doservidor (SSE) Amazon S3. Também é possível optar por criptografar seus arquivos de log com uma chaveAWS Key Management Service (AWS KMS). Você pode armazenar seus arquivos de log no seu bucketpelo tempo que quiser. Você também pode definir as regras de ciclo de vida Amazon S3 para arquivarou excluir os arquivos de log automaticamente. Se você deseja receber notificações sobre a entrega e avalidação dos arquivos de log, configure as notificações de Amazon SNS.

CloudTrail normalmente fornece os arquivos de log dentro de 15 minutos após uma atividade daconta. Além disso, CloudTrail publica arquivos de log várias vezes em uma hora, aproximadamentea cada cinco minutos. Esses arquivos de log contêm chamadas de API de serviços na conta queoferece suporte a CloudTrail. Para obter mais informações, consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

Note

CloudTrail captura as ações feitas diretamente pelo usuário ou em nome do usuário por umserviço AWS. Por exemplo, uma chamada AWS CloudFormation CreateStack pode resultarem outras chamadas de API para Amazon EC2, Amazon RDS, Amazon EBS ou outros serviços,

Versão 1.02

AWS CloudTrail Guia do usuárioFluxo de trabalho CloudTrail

conforme exigido pelo modelo AWS CloudFormation. Esse comportamento é normal e esperado.Você pode identificar se a ação foi tomada por um serviço da AWS com o campo invokedby noevento CloudTrail.

Para começar a usar o CloudTrail, consulte Tutorial de conceitos básicos do AWS CloudTrail (p. 34).

Para obter a definição de preço do CloudTrail, consulte Definição de preço do AWS CloudTrail. Para obtera definição de preço do Amazon S3 e do Amazon SNS, consulte Definição de preço do Amazon S3 eDefinição de preço do Amazon SNS.

Fluxo de trabalho CloudTrailVisualizar o histórico de eventos da sua conta AWS

Você pode visualizar e pesquisar os últimos 90 dias de eventos registrados por CloudTrail no consoleCloudTrail ou usando AWS CLI. Para obter mais informações, consulte Visualizar eventos com ohistórico de eventos CloudTrail (p. 44).

Fazer download de eventos

Você pode fazer download de um arquivo CSV ou JSON contendo até os últimos 90 dias deeventos de CloudTrail para a sua conta AWS. Para obter mais informações, consulte Download deeventos (p. 48) ou Fazer download de eventos do Insights (p. 61).

Criar uma trilha

Uma trilha permite que CloudTrail envie arquivos de log para o seu bucket Amazon S3. Por padrão,quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra eventos detodas as regiões na partição AWS e entrega os arquivos de log ao bucket S3 que você especificar.Para obter mais informações, consulte Criar uma trilha para sua conta da AWS (p. 68).

Criar e se inscrever em um tópico Amazon SNS

Inscreva-se em um tópico para receber notificações sobre a entrega de arquivos de log ao seu bucket.Amazon SNS pode notificar você de várias maneiras, inclusive de modo programático com AmazonSimple Queue Service. Para obter informações, consulte Configuração de notificações do AmazonSNS para o CloudTrail (p. 105).

Note

Se você deseja receber notificações do SNS sobre a entrega de arquivos de log de todasas regiões, especifique apenas um tópico do SNS para a sua trilha. Se você desejaprocessar programaticamente todos os eventos, consulte Usar a CloudTrail ProcessingLibrary (p. 216).

Visualizar seus arquivos de log

Use Amazon S3 para recuperar os arquivos de log. Para obter informações, consulte Obter evisualizar seus arquivos de log do CloudTrail (p. 102).

Gerenciamento de permissões de usuário

Use AWS Identity and Access Management (IAM) para gerenciar quais usuários têm permissõespara criar, configurar ou excluir trilhas, iniciar e interromper o registro em logs e acessar bucketsque contenham arquivos de log. Para obter mais informações, consulte Controlar as permissões deusuários do CloudTrail (p. 106).

Monitorar eventos com CloudWatch Logs

Você pode configurar a sua trilha para enviar eventos para CloudWatch Logs. Você pode usarCloudWatch Logs para monitorar a sua conta quanto à existência de eventos e chamadas de API

Versão 1.03

https://aws.amazon.com/cloudtrail/pricing/

https://aws.amazon.com/s3/pricing/

https://aws.amazon.com/sns/pricing/

AWS CloudTrail Guia do usuárioConceitos do CloudTrail

específicos. Para obter mais informações, consulte Monitorar arquivos de log CloudTrail com AmazonCloudWatch Logs (p. 131).

Note

Se você configurar uma trilha que se aplica a todas as regiões para enviar eventos a umgrupo de log CloudWatch Logs, CloudTrail enviará eventos de todas as regiões a um únicogrupo de logs.

Gerenciamento de logs e eventos de dados

Configure suas trilhas para registrar eventos somente leitura, somente gravação ou todos os eventosde gerenciamento e dados. Por padrão, as trilhas registram eventos de gerenciamento. Para obtermais informações, consulte Como trabalhar com arquivos de log CloudTrail (p. 112).

Registrar em log eventos do CloudTrail Insights

Configure as trilhas para registrar em log Insights events a fim de ajudar a identificar e responder aatividade incomum associada às chamadas de API de gerenciamento de write. Se a trilha estiverconfigurada para registrar em log eventos sem gerenciamento ou somente leitura, não será possívelativar o registro em log de eventos do CloudTrail Insights. Para obter mais informações, consulteRegistrar em log eventos do Insights para trilhas (p. 126).

Ativar a criptografia de log

A criptografia de arquivos de log fornece uma camada extra de segurança para os seus arquivos delog. Para obter mais informações, consulte Criptografar os arquivos de log do CloudTrail com chavesgerenciadas do AWS KMS (SSE-KMS) (p. 259).

Ativar a integridade dos arquivos de log

A validação da integridade dos arquivos de log lhe ajuda a verificar se eles permanecem inalteradosdesde que foram enviados por CloudTrail. Para obter mais informações, consulte Validar a integridadedos arquivos de log CloudTrail (p. 195).

Compartilhar arquivos de log com outras contas AWS

Você pode compartilhar arquivos de log entre contas. Para obter mais informações, consulteCompartilhar arquivos de log CloudTrail entre contas da AWS (p. 186).

Agregar logs de várias contas

Você pode agregar arquivos de log de várias contas em um único bucket. Para obter maisinformações, consulte Recebimento de arquivos de log do CloudTrail de várias contas (p. 183).

Trabalhar com soluções de parceiros

Analise os seus resultados CloudTrail com uma solução de parceiros que se integre a CloudTrail. Assoluções de parceiros oferecem um amplo conjunto de recursos, como rastreamento de alterações,solução de problemas e análise de segurança. Para obter mais informações, consulte a página doparceiro do AWS CloudTrail.

Conceitos do CloudTrailEsta seção resume os conceitos básicos relacionados a CloudTrail.

Sumário• O que são eventos CloudTrail? (p. 5)

• O que são eventos de gerenciamento? (p. 5)• O que são eventos de dados? (p. 6)• O que são eventos do Insights? (p. 6)

Versão 1.04

https://aws.amazon.com/cloudtrail/partners/

AWS CloudTrail Guia do usuárioO que são eventos CloudTrail?

• O que é o histórico de eventos CloudTrail? (p. 7)• O que são trilhas? (p. 7)• O que são trilhas da organização? (p. 7)• Como gerenciar CloudTrail? (p. 7)

• Console do CloudTrail (p. 7)• CLI do CloudTrail (p. 8)• APIs do CloudTrail (p. 8)• SDKs da AWS (p. 8)• Por que usar tags para trilhas? (p. 8)

• Como controlar o acesso a CloudTrail? (p. 8)• Como registrar o gerenciamento e os eventos de dados? (p. 9)• Como você registra em log eventos do CloudTrail Insights? (p. 9)• Como executar o monitoramento com o CloudTrail? (p. 9)

• CloudWatch Logs, Eventos do CloudWatch, e CloudTrail (p. 9)• Como o CloudTrail se comporta nos âmbitos regional e global? (p. 10)

• Quais são as vantagens da aplicação de uma trilha a todas as regiões? (p. 10)• O que ocorre quando você aplica uma trilha a todas as regiões? (p. 10)• Várias trilhas por região (p. 10)• AWS Security Token Service (AWS STS) e CloudTrail (p. 11)

• Sobre eventos de serviços globais (p. 11)• Como CloudTrail se relaciona com outros serviços de monitoramento da AWS? (p. 12)• Soluções para parceiros (p. 12)

O que são eventos CloudTrail?Um evento no CloudTrail é o registro de uma atividade em uma conta AWS. Essa atividade pode seruma ação realizada por um usuário, uma função ou um serviço que possa ser monitorado por CloudTrail.CloudTrail eventos fornecem um histórico de atividades de contas da API e não API feitas por meio deConsole de gerenciamento da AWS, AWS SDKs, ferramentas de linha de comando e outros serviçosAWS. Há dois tipos de evento que podem ser registrados em CloudTrail: eventos de gerenciamento eeventos de dados. Por padrão, as trilhas registram eventos de gerenciamento, mas não eventos de dados.

Tanto eventos de gerenciamento quanto eventos de dados usam o mesmo formato de log JSON doCloudTrail.

Note

CloudTrail não registra todos os serviços AWS. Alguns serviços AWS não habilitam o registro detodos os eventos e APIs. Mesmo se você configurar o registro de todos os eventos de dados e degerenciamento em uma trilha, você não criará um log com todos os possíveis eventos AWS. Paraobter detalhes específicos sobre quais APIs são registradas para um serviço específico, consultea documentação desse serviço em CloudTrail Serviços compatíveis e integrações (p. 20).

O que são eventos de gerenciamento?Os eventos de gerenciamento fornecem informações sobre operações de gerenciamento executadasem recursos na sua conta da AWS. Elas também são conhecidas como operações de plano de controle.Exemplos de eventos de gerenciamento incluem:

• Configuração da segurança (por exemplo, operações de API do IAM AttachRolePolicy).• Registro de dispositivos (por exemplo, operações de API do Amazon EC2 CreateDefaultVpc).

Versão 1.05

AWS CloudTrail Guia do usuárioO que são eventos CloudTrail?

• Configuração de regras para roteamento de dados (por exemplo, operações de API do Amazon EC2CreateSubnet).

• Configuração de registro (por exemplo, operações de API do AWS CloudTrail CreateTrail).

Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem nasua conta. Por exemplo, quando um usuário faz login em sua conta, CloudTrail registra o eventoConsoleLogin. Para obter mais informações, consulte Eventos que não são da API capturados peloCloudTrail (p. 286). Para ver uma lista de eventos de gerenciamento que CloudTrail registra para osserviços AWS, consulte CloudTrail Serviços compatíveis e integrações (p. 20).

O que são eventos de dados?Os eventos de dados fornecem informações sobre as operações do recurso executadas em um recursoou dentro de um recurso. Elas também são conhecidas como operações de plano de dados. Eventos dedados geralmente são atividades de alto volume. Exemplos de eventos de dados incluem:

• Atividade de API do nível do objeto do Amazon S3 (por exemplo, operações de API GetObject,DeleteObject e PutObject).

• Atividade de execução da função AWS Lambda (a API Invoke).

Eventos de dados são desativados por padrão quando você cria uma trilha. Para registrar eventos dedados CloudTrail, é preciso adicionar claramente em uma trilha os recursos com suporte ou tipos derecursos para os quais você deseja coletar atividade. Para obter mais informações, consulte Criar umatrilha (p. 69) e Eventos de dados (p. 119).

Há cobranças adicionais para o registro de eventos de dados. Para obter a definição de preço doCloudTrail, consulte Definição de preço do AWS CloudTrail.

O que são eventos do Insights?Os eventos do CloudTrail Insights capturam atividade incomum na conta da AWS. Se os Insights eventsestiverem ativados, e o CloudTrail detectar atividade incomum, os Insights events serão registrados emlog em outra pasta ou em outro prefixo no bucket do S3 de destino para a trilha. Também é possível ver otipo de insight e o período do incidente ao visualizar Insights events no console do CloudTrail. Os Insightsevents fornecem informações relevantes, como a API associada, a hora do incidente e estatísticas, queajudam a entender e agir com relação à atividade incomum. Ao contrário de outros tipos de eventoscapturados em uma trilha do CloudTrail, Insights events são registrados em log somente quando oCloudTrail detecta alterações no uso de API da conta que diferem significativamente dos padrões de usotípicos da conta. Exemplos de atividades que podem gerar Insights events incluem:

• Sua conta geralmente registra em log no máximo 20 chamadas de API deleteBucket do AmazonS3 por minuto, mas sua conta começa a registrar em log uma média de 100 chamadas de APIdeleteBucket por minuto. Um evento do Insights é registrado em log no início da atividade incomum eoutro evento do Insights é registrado em log para marcar o fim da atividade incomum.

• Sua conta geralmente registra em log 20 chamadas por minutos para a APIAuthorizeSecurityGroupIngress do Amazon EC2, mas sua conta começa a registrar em log zerochamada para AuthorizeSecurityGroupIngress. Um evento do Insights é registrado em log noinício da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro eventodo Insights é registrado em log para marcar o fim da atividade incomum.

Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendodo seu caso de uso.

Os Insights events são desativados por padrão ao criar uma trilha. Para registrar eventos do CloudTrailInsights, é necessário ativar explicitamente a coleção de eventos do Insights em uma trilha nova ou

Versão 1.06


AWS CloudTrail Guia do usuárioO que é o histórico de eventos CloudTrail?

existente. Para obter mais informações, consulte Criar uma trilha (p. 69) e Registrar em log eventos doInsights para trilhas (p. 126).

Há cobranças adicionais para o registro em log de Insights events do CloudTrail. Para obter a definição depreço do CloudTrail, consulte Definição de preço do AWS CloudTrail.

O que é o histórico de eventos CloudTrail?O histórico de eventos CloudTrail fornece um registro dos últimos 90 dias de eventos CloudTrail que podeser visualizado, pesquisado e baixado. Você pode usar esse histórico para ter visibilidade das açõesrealizadas na sua conta AWS em Console de gerenciamento da AWS, nas AWS SDKs, nas ferramentasde linha de comando e em outros serviços AWS. Você pode personalizar a exibição de histórico deeventos no console do CloudTrail selecionando quais colunas são exibidas. Para obter mais informações,consulte Visualizar eventos com o histórico de eventos CloudTrail (p. 44).

O que são trilhas?Uma trilha é uma configuração que permite a entrega de eventos CloudTrail a um bucket AmazonS3, CloudWatch Logs e Eventos do CloudWatch. Você pode usar uma trilha para filtrar os eventosCloudTrail que você quer enviar, criptografar os seus arquivos de log de eventos CloudTrail com umachave AWS KMS e configurar as notificações Amazon SNS para entrega de arquivos de log. Para obtermais informações sobre como criar e gerenciar uma trilha, consulte Criar uma trilha para sua conta daAWS (p. 68).

O que são trilhas da organização?Uma trilha da organização é uma configuração que permite a entrega de eventos do CloudTrail na contamestra e todas as contas-membro em uma organização no mesmo bucket do Amazon S3, CloudWatchLogs e Eventos do CloudWatch. Criar uma trilha da organização ajuda você a definir uma estratégia deregistro de eventos uniforme para sua organização.

Quando você criar uma trilha da organização, será criada uma trilha com o nome atribuído a ela em cadaconta da AWS pertencente à sua organização. Os usuários com permissões do CloudTrail em contas-membro poderão ver essa trilha (incluindo o ARN da trilha) quando fizerem login no console do AWSCloudTrail de suas contas da AWS ou quando executarem comandos da AWS CLI, como describe-trails (embora contas-membro devam usar o ARN para a trilha da organização, e não o nome, aousar a AWS CLI). No entanto, os usuários de contas-membro não terão permissões suficientes paraexcluir a trilha da organização, ativar ou desativar o registro, alterar quais tipos de eventos são registradosou alterar a trilha da organização. Para obter mais informações sobre o AWS Organizations, consulteOrganizações Terminologia e conceitos. Para obter mais informações sobre como criar e trabalhar comtrilhas da organização, consulte Criar uma trilha para uma organização (p. 90).

Como gerenciar CloudTrail?Console do CloudTrailVocê pode usar e gerenciar o serviço CloudTrail com o console do AWSCloudTrail. O console fornece umainterface de usuário para desempenhar muitas tarefas CloudTrail, como:

• Visualizar eventos recentes e o histórico de eventos da sua conta AWS.• Fazer download de um arquivo filtrado ou completo dos últimos 90 dias de eventos.• Criar e editar trilhas CloudTrail.• Configurar trilhas CloudTrail, incluindo:

• Selecionar um bucket Amazon S3.

Versão 1.07


https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html

AWS CloudTrail Guia do usuárioComo controlar o acesso a CloudTrail?

• Definir um prefixo.• Configurar a entrega para CloudWatch Logs.• Usar chaves AWS KMS para criptografia.• Habilitar notificações Amazon SNS para entrega de arquivos de log.• Adicione e gerencie as tags de suas trilhas.


Para obter mais informações sobre o Console de gerenciamento da AWS, consulte Console deGerenciamento da AWS.

CLI do CloudTrailAWS Command Line Interface é uma ferramenta unificada que você pode usar para interagir comCloudTrail a partir da linha de comando. Para obter mais informações, consulte o Guia do usuário do AWSCommand Line Interface. Para obter uma lista completa dos comandos da CLI do CloudTrail, consulteComandos disponíveis.

APIs do CloudTrailAlém do console e da CLI, você também pode usar as APIs RESTful do CloudTrail para programar oCloudTrail diretamente. Para obter mais informações, consulte o AWS CloudTrail API Reference.

SDKs da AWSComo alternativa ao uso da API CloudTrail, você pode usar um dos SDKs da AWS. Cada SDK consisteem bibliotecas e código de exemplo para várias plataformas e linguagens de programação. Os SDKssão uma forma conveniente de criar acesso programático a CloudTrail. Por exemplo, você pode usar osSDKs para assinar solicitações de maneira criptográfica, gerenciar erros e realizar automaticamente novastentativas de solicitações. Para obter mais informações, consulte a página Ferramentas para a AmazonWeb Services.

Por que usar tags para trilhas?Uma tag é uma chave definida pelo cliente e um valor opcional que pode ser atribuído a recursos da AWS,como trilhas do CloudTrail, buckets do Amazon S3 usados para armazenar arquivos de log do CloudTrail,organizações do AWS Organizations e unidades organizacionais, e muito mais. Ao adicionar as mesmastags a trilhas e aos buckets do Amazon S3 que você usa para armazenar arquivos de log para trilhas, épossível facilitar o gerenciamento, a pesquisa e a filtragem desses recursos com AWS Resource Groups.Você pode implementar estratégias de marcação para ajudá-lo a encontrar e gerenciar seus recursos deforma consistente, efetiva e fácil. Para obter mais informações, consulte Estratégias de marcação da AWS.

Como controlar o acesso a CloudTrail?AWS Identity and Access Management é um serviço da web que permite aos clientes Amazon WebServices (AWS) gerenciar usuários e permissões de usuário. Use IAM para criar usuários individuaispara qualquer pessoa que precisa acessar AWS CloudTrail. Crie um usuário IAM para você, atribua a eleprivilégios de usuário administrador IAM e use esse usuário IAM para todos os seus trabalhos. Ao criarusuários individuais IAM para as pessoas que acessam a sua conta, você pode dar a cada usuário IAMum conjunto exclusivo de credenciais de segurança. Você também pode conceder permissões diferentespara cada usuário IAM. Se necessário, você pode alterar ou revogar a qualquer momento as permissões

Versão 1.08

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html

https://docs.aws.amazon.com/cli/latest/userguide/


https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/

https://aws.amazon.com/tools/


https://docs.aws.amazon.com/ARG/latest/userguide/

https://aws.amazon.com/answers/account-management/aws-tagging-strategies/

AWS CloudTrail Guia do usuárioComo registrar o gerenciamento e os eventos de dados?

de um usuário IAM. Para obter mais informações, consulte Controlar as permissões de usuários doCloudTrail (p. 106).

Como registrar o gerenciamento e os eventos dedados?Por padrão, as trilhas registram todos os eventos de gerenciamento para a sua conta AWS e não incluemeventos de dados. Você pode optar por criar ou atualizar as trilhas para registrar eventos de dados.Somente eventos que correspondem às suas configurações de trilhas são entregues para o seu bucketdo Amazon S3 e, opcionalmente, para um grupo de logs do Amazon CloudWatch Logs. Se o evento nãocorresponder às configurações de uma trilha, ela não registrará o evento. Para obter mais informações,consulte Como trabalhar com arquivos de log CloudTrail (p. 112).

Como você registra em log eventos do CloudTrailInsights?O AWS CloudTrail Insights ajuda os usuários da AWS a identificar e a responder a volumes incomunsde chamadas de API analisando continuamente os eventos de gerenciamento do CloudTrail. Um eventodo Insights é um registro de níveis incomuns de atividade da API de gerenciamento de write. A páginade detalhes de um evento do Insights mostra o evento como um gráfico de atividade incomum e mostraas horas de início e de término da atividade incomum com a linha de base usada para determinar sea atividade é incomum. Por padrão, as trilhas não registram em log eventos do CloudTrail Insights. Noconsole, é possível optar por registrar em log Insights events ao criar ou atualizar uma trilha. Ao usar a APIdo CloudTrail, é possível registrar em log Insights events editando as configurações de uma trilha existentecom a API PutInsightSelectors. Há cobranças adicionais para o registro em log de eventos do CloudTrailInsights. Para obter mais informações, consulte Registrar em log eventos do Insights para trilhas (p. 126)e Definição de preço do AWS CloudTrail.

Como executar o monitoramento com o CloudTrail?CloudWatch Logs, Eventos do CloudWatch, e CloudTrailAmazon CloudWatch é um serviço da web que coleta e acompanha métricas para monitorar os seusrecursos Amazon Web Services (AWS) e os aplicativos que você executa em AWS. Amazon CloudWatchLogs é um recurso de CloudWatch que você pode usar especificamente para monitorar dados de log.A integração com CloudWatch Logs permite que CloudTrail envie eventos contendo atividade API dasua conta AWS para um grupo de log CloudWatch Logs. CloudTrail eventos enviados para CloudWatchLogs podem acionar alarmes de acordo com os filtros de métricas que você definir. Opcionalmente,você pode configurar alarmes CloudWatch para enviar notificações ou fazer alterações nos recursosque você está monitorando com base em eventos de fluxo de log que seus filtros de métricas extraem.Usando CloudWatch Logs, você também pode monitorar eventos CloudTrail junto com eventos do sistemaoperacional, aplicativos ou outros serviços AWS que são enviados a CloudWatch Logs. Para obter maisinformações, consulte Monitorar arquivos de log CloudTrail com Amazon CloudWatch Logs (p. 131).

O Eventos do Amazon CloudWatch é um serviço da AWS que fornece um fluxo quase em tempo real doseventos do sistema que descrevem as alterações nos recursos da AWS. No Eventos do CloudWatch, vocêpode criar regras acionadas em qualquer evento gravado pelo CloudTrail. Para obter mais informações,consulte Criar uma regra do Eventos do CloudWatch que é acionada em uma chamada de API da AWSusando AWS CloudTrail.

Insights events são integrados ao CloudWatch. É possível entregar eventos assinados por você na trilha,incluindo Insights events, ao Eventos do CloudWatch e ao CloudWatch Logs. Para configurar o Eventos doCloudWatch com o console ou com a API do CloudWatch, selecione o tipo de evento AWS Insight viaCloudTrail na página Create rule (Criar regra) no console do CloudWatch.

Versão 1.09


https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html

AWS CloudTrail Guia do usuárioComo o CloudTrail se comportanos âmbitos regional e global?

O envio de dados que são registrados em log pelo CloudTrail para o CloudWatch Logs ou o Eventos doCloudWatch requer que você tenha pelo menos uma trilha. Para obter mais informações sobre como criaruma trilha, consulte Criar uma trilha (p. 69).

Como o CloudTrail se comporta nos âmbitos regionale global?Uma trilha pode ser aplicada a todas as regiões ou a uma única região. Como uma melhor prática, crieuma trilha que se aplica a todas as regiões na partição da AWS em que você está trabalhando. Essa é aconfiguração padrão quando você cria uma trilha no console CloudTrail.

Note

Ativar uma trilha significa que você cria uma trilha e começa a entrega de arquivos de log deeventos CloudTrail para um bucket Amazon S3. No console CloudTrail, o registro é ativadoautomaticamente quando você cria uma trilha.

Quais são as vantagens da aplicação de uma trilha a todas asregiões?Uma trilha que se aplica a todas as regiões da AWS tem as seguintes vantagens:

• As definições de configuração da trilha se aplicam de maneira consistente a todas as regiões da AWS.• Você recebe eventos CloudTrail de todas as regiões da AWS em um único bucket do Amazon S3 e,

opcionalmente, em um grupo de logs do CloudWatch Logs.• Você gerencia a configuração da trilha para todas as regiões da AWS a partir de um único local.• Você recebe imediatamente eventos de uma nova região da AWS. Quando uma nova região da AWS é

lançada, o CloudTrail cria automaticamente uma cópia de todas as trilhas da região na nova região comas mesmas configurações da sua trilha original.

• Você não precisa criar trilhas em regiões da AWS que não usa com frequência para monitorar atividadesincomuns. Qualquer atividade em qualquer região da AWS é registrada em uma trilha que se aplica atodas as regiões da AWS.

O que ocorre quando você aplica uma trilha a todas as regiões?Quando você aplica uma trilha a todas as regiões da AWS, o CloudTrail utiliza a trilha criada em umaregião específica para criar trilhas com configurações idênticas em todas as outras regiões da sua conta.

Isso causa os seguintes efeitos:

• O CloudTrail fornece arquivos de log de atividades da conta de todas as regiões da AWS ao únicobucket do Amazon S3 especificado e, opcionalmente, a um grupo de logs do CloudWatch Logs.

• Se você configurou um tópico do Amazon SNS para a trilha, as notificações do SNS sobre as entregasde arquivos de log em todas as regiões da AWS serão enviadas a esse único tópico do SNS.

• Se você habilitou a validação de integridade do arquivo de log, ela será ativada em todas asregiões da AWS. Para obter mais informações, consulte Validar a integridade dos arquivos de logCloudTrail (p. 195).

Várias trilhas por regiãoSe você tiver grupos de usuários diferentes, porém relacionados, como desenvolvedores, equipe desegurança e auditores de TI, poderá criar várias trilhas por região. Isso permite que cada grupo receba suaprópria cópia dos arquivos de log.

Versão 1.010

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

AWS CloudTrail Guia do usuárioSobre eventos de serviços globais

O CloudTrail oferece suporte a cinco trilhas por região. Uma trilha que se aplica a todas as regiões daAWS é considerada como uma trilha em cada região.

O exemplo a seguir é uma região com cinco trilhas:

• Você cria duas trilhas em Região do Oeste dos EUA (Norte da Califórnia) que se aplicam somente aessa região.

• Você cria mais duas trilhas em Região do Oeste dos EUA (Norte da Califórnia) que se aplicam a todasas regiões da AWS.

• Você cria uma trilha em Região Ásia-Pacífico (Sydney) que se aplica a todas as regiões da AWS. Essatrilha também existe como uma trilha em Região do Oeste dos EUA (Norte da Califórnia).

As trilhas aparecem na região da AWS em que existem. As trilhas que registram eventos em todas asregiões da AWS aparecem em cada região. Você pode visualizar uma lista de trilhas em uma regiãoda AWS na página Trails (Trilhas) do console do CloudTrail. Para mais informações, consulte Atualizaruma trilha (p. 74). Para obter a definição de preço do CloudTrail, consulte Definição de preço do AWSCloudTrail.

AWS Security Token Service (AWS STS) e CloudTrailAWS STS é um serviço que tem um endpoint global e também oferece suporte a endpoints específicosda região. Endpoint é um URL que é o ponto de entrada para solicitações de web service. Por exemplo,https://cloudtrail.us-west-2.amazonaws.com é um Oeste dos EUA (Oregon) ponto de entradaregional para o serviço AWS CloudTrail. Os endpoints regionais ajudam a reduzir a latência em seusaplicativos.

Quando você usa um endpoint específico de uma região AWS STS, a trilha nessa região forneceapenas os eventos AWS STS que ocorrem nessa região. Por exemplo, se você estiver usando oendpoint sts.us-west-2.amazonaws.com, a trilha em us-west-2 fornece apenas os eventos AWSSTSoriginados em us-west-2. Para obter mais informações sobre os endpoints regionais do AWS STS,consulte Ativação e desativação do AWS STS em uma região da AWS no Guia do usuário do IAM.

Para obter uma lista completa de endpoints regionais da AWS, consulte Regiões e endpoints da AWSna AWS General Reference. Para ver detalhes sobre os eventos do endpoint global AWS STS, consulteSobre eventos de serviços globais (p. 11).

Sobre eventos de serviços globaisPara a maioria dos serviços, os eventos são registrados na região em que a ação ocorreu. Para serviçosglobais como o AWS Identity and Access Management (IAM), o AWS STS e o Amazon CloudFront, oseventos são fornecidos a qualquer trilha que inclua serviços globais e são registrados como ocorridos emLeste dos EUA (Norte da Virgínia) Região.

Para evitar o recebimento de eventos de serviços globais duplicados, lembre-se do seguinte:

• Os eventos de serviços globais são fornecidos por padrão para trilhas criadas por meio do consoleCloudTrail. Os eventos resumo são fornecidos ao bucket da trilha.

• Se tiver várias trilhas em uma única região, considere a possibilidade de configurar suas trilhas paraque os eventos de serviços globais sejam fornecidos somente em uma das trilhas. Para obter maisinformações, consulte Habilitar e desabilitar o registro de eventos de serviços globais (p. 81).

• Quando você altera a configuração de uma trilha, do registro de todas as regiões para o registro de umaúnica região, o registro de eventos de serviços globais é desativado automaticamente nessa trilha. Domesmo modo, quando você altera a configuração de uma trilha, do registro de uma única região para oregistro de todas as regiões, o registro de eventos de serviços globais é ativado automaticamente nessatrilha.

Versão 1.011



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

https://docs.aws.amazon.com/general/latest/gr/rande.html

AWS CloudTrail Guia do usuárioComo CloudTrail se relaciona com outros

serviços de monitoramento da AWS?

Para obter mais informações sobre como alterar o registro de eventos de serviços globais de uma trilha,consulte Habilitar e desabilitar o registro de eventos de serviços globais (p. 81).

Exemplo:

1. Você cria uma trilha no console CloudTrail. Por padrão, essa trilha registra eventos de serviçosglobais.

2. Você tem várias trilhas de região única.3. Você não precisa incluir serviços globais para as trilhas de região única. Os eventos de serviços

globais são fornecidos à primeira trilha. Para obter mais informações, consulte Criar, atualizar egerenciar trilhas com a AWS Command Line Interface (p. 76).

Note

Quando você cria ou atualiza uma trilha com AWS CLI, os SDKs AWS ou a API CloudTrail, podeespecificar se deseja incluir ou excluir os eventos de serviços globais para as trilhas. Você nãopode configurar o registro de eventos de serviço global pelo console CloudTrail.

Como CloudTrail se relaciona com outros serviços demonitoramento da AWS?CloudTrail adiciona outra dimensão aos recursos de monitoramento já oferecidos por AWS. Ele não alteranem substitui recursos de registro que você já esteja usando, como aqueles de assinaturas AmazonS3 ou Amazon CloudFront. Amazon CloudWatch se concentra no monitoramento do desempenho ena integridade do sistema. CloudTrail se concentra nas atividades de API. Embora CloudTrail não gererelatórios sobre o desempenho ou a integridade do sistema, você pode usar CloudTrail com os alarmesCloudWatch para notificá-lo sobre atividades nas quais você pode ter interesse.

Soluções para parceirosA AWS; tem parceria com especialistas externos no registro e na análise para fornecer soluções queutilizam os resultados de CloudTrail. Para obter mais informações, acesse a página de detalhes doCloudTrail em AWS CloudTrail.

CloudTrail Regiões compatíveisNome daregião

Região Endpoint Protocolo ID da conta AWS Data dosuporte

Lestedos EUA(Ohio)

us-east-2 cloudtrail.us-east-2.amazonaws.com

HTTPS 475085895292 17/10/2016

Lestedos EUA(Norte daVirgínia)

us-east-1 cloudtrail.us-east-1.amazonaws.com

HTTPS 086441151436 13/11/2013

Oestedos EUA

us-west-1 cloudtrail.us-west-1.amazonaws.com

HTTPS 388731089494 13/05/2014

Versão 1.012

https://aws.amazon.com/cloudtrail

AWS CloudTrail Guia do usuárioCloudTrail Regiões compatíveis

Nome daregião


(Norte daCalifórnia)

Oestedos EUA(Oregon)

us-west-2 cloudtrail.us-west-2.amazonaws.com

HTTPS 113285607260 13/11/2013

Canadá(Central)

ca-central-1

cloudtrail.ca-central-1.amazonaws.com

HTTPS 819402241893 08/12/2016

África(Cidade doCabo)

af-south-1 cloudtrail.af-south-1.amazonaws.com

HTTPS 525921808201 22/04/2020

Ásia-Pacífico(HongKong)

ap-east-1 cloudtrail.ap-east-1.amazonaws.com

HTTPS 119688915426 24/04/2019

ÁsiaPacífico(Mumbai)

ap-south-1 cloudtrail.ap-south-1.amazonaws.com

HTTPS 977081816279 27/06/2016

Ásia-Pacífico(Osaka –Local)

ap-northeast-3

cloudtrail.ap-northeast-3.amazonaws.com

HTTPS 765225791966 12/02/2018

Ásia-Pacífico(Seul)

ap-northeast-2


HTTPS 492519147666 06/01/2016

Ásia-Pacífico(Cingapura)

ap-southeast-1

cloudtrail.ap-southeast-1.amazonaws.com

HTTPS 903692715234 30/06/2014

Ásia-Pacífico(Sydney)

ap-southeast-2

cloudtrail.ap-southeast-2.amazonaws.com

HTTPS 284668455005 13/05/2014

Ásia-Pacífico(Tóquio)

ap-northeast-1


HTTPS 216624486486 30/06/2014

China(Pequim)

cn-north-1 cloudtrail.cn-north-1.amazonaws.com.cn

HTTPS 193415116832 01/03/2014

China(Ningxia)

cn-northwest-1

cloudtrail.cn-northwest-1.amazonaws.com.cn

HTTPS 681348832753 11/12/2017

Europa(Frankfurt)

eu-central-1

cloudtrail.eu-central-1.amazonaws.com

HTTPS 035351147821 23/10/2014

Europa(Estocolmo)

eu-north-1 cloudtrail.eu-north-1.amazonaws.com

HTTPS 829690693026 11/12/2018

Versão 1.013

AWS CloudTrail Guia do usuárioCloudTrail Exemplos de arquivos de log

Nome daregião


Europa(Irlanda)

eu-west-1 cloudtrail.eu-west-1.amazonaws.com

HTTPS 859597730677 13/05/2014

Europa(Londres)


HTTPS 282025262664 13/12/2016

Europa(Paris)


HTTPS 262312530599 18/12/2017

Europa(Milão)

eu-south-1 cloudtrail.eu-south-1.amazonaws.com

HTTPS 669305197877 27/04/2020

OrienteMédio(Bahrein)

me-south-1

cloudtrail.me-south-1.amazonaws.com

HTTPS 034638983726 29/jul/2019

AWSGovCloud(Leste dosEUA)

us-gov-east-1

cloudtrail.us-gov-east-1.amazonaws.com

HTTPS 886388586500 12/11/2018

AWSGovCloud(Oeste dosEUA)

us-gov-west-1

cloudtrail.us-gov-west-1.amazonaws.com

HTTPS 608710470296 16/08/2011

Américado Sul(SãoPaulo)

sa-east-1 cloudtrail.sa-east-1.amazonaws.com

HTTPS 814480443879 30/06/2014

Para obter mais informações sobre como usar o CloudTrail in the Região AWS GovCloud (Leste dos EUA),consulte Endpoints da AWS GovCloud (Leste dos EUA) no AWS GovCloud (US) User Guide.

Para obter mais informações sobre como usar o CloudTrail na região AWS GovCloud (US-West),consulteEndpoints da AWS GovCloud (US-West) na AWS GovCloud (US) User Guide.

Para obter informações sobre como usar CloudTrail na região China (Pequim), consulte Endpoints daRegião China (Pequim) em Referência geral do Amazon Web Services.

CloudTrail Exemplos de arquivos de logCloudTrail monitora eventos para a sua conta. Se você criar uma trilha, ele fornece esses eventos comoarquivos de log para o seu bucket Amazon S3. Veja o seguinte para saber mais sobre os arquivos de log.

Tópicos• Formato dos nomes dos arquivos de log CloudTrail (p. 15)• Exemplos de arquivos de log (p. 15)

Versão 1.014

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

http://docs.amazonaws.cn/en_us/general/latest/gr/rande.html#cnnorth_region

http://docs.amazonaws.cn/en_us/general/latest/gr/rande.html#cnnorth_region

AWS CloudTrail Guia do usuárioFormato dos nomes dos arquivos de log CloudTrail

Formato dos nomes dos arquivos de log CloudTrailCloudTrail usa o seguinte formato de nome de arquivo para os objetos dos arquivos de log entregues aoseu bucket Amazon S3:

AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat

• YYYY, MM, DD, HH e mm são os dígitos do ano, mês, dia, hora e minuto quando o arquivo de log foifornecido. Os horários estão no formato de 24 horas. O Z indica que o horário está em UTC.

Note

Um arquivo de log fornecido em um horário específico pode conter registros gravados aqualquer momento antes desse horário.

• O componente UniqueString de 16 caracteres do nome do arquivo de log está presente para evitar asubstituição de arquivos. Ele não tem significado, e o software de processamento de logs deve ignorá-lo.

• FileNameFormat é a codificação do arquivo. Atualmente, ele é o json.gz, que é um arquivo de textoJSON em formato gzip compactado.

Exemplo de CloudTrail nome de arquivo de log

111122223333_CloudTrail_us-east-2_20150801T0210Z_Mu0KsOhtH1ar15ZZ.json.gz

Exemplos de arquivos de logUm arquivo de log contém um ou mais registros. Os exemplos a seguir são fragmentos de logs quemostram os registros de uma ação que iniciou a criação de um arquivo de log.

Sumário• Exemplos de log Amazon EC2 (p. 15)• Exemplos de log IAM (p. 17)• Exemplos de código de erro e log de mensagens (p. 19)• Exemplo de log de evento do CloudTrail Insights (p. 19)

Exemplos de log Amazon EC2Amazon Elastic Compute Cloud (Amazon EC2) fornece uma capacidade de computação redimensionávelna nuvem AWS. Você pode ativar servidores virtuais, configurar a segurança e a rede e gerenciar oarmazenamento. Amazon EC2 também pode escalonar para cima ou para baixo rapidamente paragerenciar alterações em requisitos ou picos de popularidade, reduzindo, assim, a sua necessidade deprever o tráfego do servidor. Para obter mais informações, consulte o Guia do usuário do Amazon EC2para instâncias do Linux.

O exemplo a seguir mostra que uma usuária IAM chamada Alice AWS CLI para chamar a ação AmazonEC2 StartInstances usando o comando ec2-start-instances da instância i-ebeaf9e2.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accessKeyId": "EXAMPLE_KEY_ID", "accountId": "123456789012",

Versão 1.015

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/

AWS CloudTrail Guia do usuárioExemplos de arquivos de log

"userName": "Alice" }, "eventTime": "2014-03-06T21:22:54Z", "eventSource": "ec2.amazonaws.com", "eventName": "StartInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": {"instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}}, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 0, "name": "pending" }, "previousState": { "code": 80, "name": "stopped" } }]}}}]}

O exemplo a seguir mostra que uma usuária IAM chamada Alice usou AWS CLI para chamar a açãoAmazon EC2 StopInstancesusando ec2-stop-instances.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-06T21:01:59Z", "eventSource": "ec2.amazonaws.com", "eventName": "StopInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": { "instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}, "force": false }, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 64, "name": "stopping" }, "previousState": { "code": 16, "name": "running" } }]}}}]}

O exemplo a seguir mostra que o back-end do console Amazon EC2 chamou a ação CreateKeyPair emresposta a solicitações iniciadas pela usuária IAM Alice. Observe que responseElements contém umhash do par de chaves, e o material das chaves foi removido por AWS.

{"Records": [{

Versão 1.016


"eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-06T15:15:06Z" }} }, "eventTime": "2014-03-06T17:10:34Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateKeyPair", "awsRegion": "us-east-2", "sourceIPAddress": "72.21.198.64", "userAgent": "EC2ConsoleBackend, aws-sdk-java/Linux/x.xx.fleetxen Java_HotSpot(TM)_64-Bit_Server_VM/xx", "requestParameters": {"keyName": "mykeypair"}, "responseElements": { "keyName": "mykeypair", "keyFingerprint": "30:1d:46:d0:5b:ad:7e:1b:b6:70:62:8b:ff:38:b5:e9:ab:5d:b8:21", "keyMaterial": "\u003csensitiveDataRemoved\u003e" }}]}

Exemplos de log IAMAWS Identity and Access Management (IAM) é um serviço da web que permite aos clientes AWS gerenciarusuários e permissões de usuário. Com IAM, você pode gerenciar usuários, credenciais de segurançacomo chaves de acesso e permissões que controlam quais recursos AWS os usuários podem acessar.Para obter mais informações, consulte o Guia do usuário do IAM.

O exemplo a seguir mostra que a usuária IAM Alice usou AWS CLI para chamar a ação CreateUser paracriar um novo usuário chamado Bob.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-24T21:11:59Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateUser", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": {"userName": "Bob"}, "responseElements": {"user": { "createDate": "Mar 24, 2014 9:11:59 PM", "userName": "Bob", "arn": "arn:aws:iam::123456789012:user/Bob", "path": "/", "userId": "EXAMPLEUSERID" }}}]}

Versão 1.017

https://docs.aws.amazon.com/IAM/latest/UserGuide/


O exemplo a seguir mostra que a usuária IAM Alice usou Console de gerenciamento da AWS para chamara ação AddUserToGroup para adicionar Bob ao grupo de administradores.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-25T18:45:11Z" }} }, "eventTime": "2014-03-25T21:08:14Z", "eventSource": "iam.amazonaws.com", "eventName": "AddUserToGroup", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "AWSConsole", "requestParameters": { "userName": "Bob", "groupName": "admin" }, "responseElements": null}]}

O exemplo a seguir mostra que a usuária IAM Alice usou AWS CLI para chamar a ação CreateRole paracriar uma nova função IAM.

{ "Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-25T20:17:37Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateRole", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": { "assumeRolePolicyDocument": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Sid\": \"\", \n\"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::210987654321:root\"\n },\n \"Action\": \"sts:AssumeRole\"\n }\n ]\n}", "roleName": "TestRole" }, "responseElements": { "role": { "assumeRolePolicyDocument": "%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20%20%22Statement%22%3A%20%5B%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0A%20%20%20%20%20%20%22Principal%22%3A%20%7B%0A%20%20%20%20%20%20%20%20%22AWS

Versão 1.018


%22%3A%20%22arn%3Aaws%3Aiam%3A%3A803981987763%3Aroot%22%0A%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0A%20%20%20%20%7D%0A%20%20%5D%0A%7D", "roleName": "TestRole", "roleId": "AROAIUU2EOWSWPGX2UJUO", "arn": "arn:aws:iam::123456789012:role/TestRole", "createDate": "Mar 25, 2014 8:17:37 PM", "path": "/" } } }]}

Exemplos de código de erro e log de mensagensO exemplo a seguir mostra que a usuária IAM Alice usou AWS CLI para chamar a ação UpdateTrailpara atualizar uma trilha chamada myTrail2, mas o nome da trilha não foi encontrado. O registro mostraesse erro nos elementos errorCode e errorMessage.

{"Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2016-07-14T19:15:45Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "UpdateTrail", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.182", "userAgent": "aws-cli/1.10.32 Python/2.7.9 Windows/7 botocore/1.4.22", "errorCode": "TrailNotFoundException", "errorMessage": "Unknown trail: myTrail2 for the user: 123456789012", "requestParameters": {"name": "myTrail2"}, "responseElements": null, "requestID": "5d40662a-49f7-11e6-97e4-d9cb6ff7d6a3", "eventID": "b7d4398e-b2f0-4faa-9c76-e2d316a8d67f", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}]}

Exemplo de log de evento do CloudTrail InsightsO exemplo a seguir mostra um log de evento do CloudTrail Insights. Um evento do Insights é, naverdade, um par de eventos que marcam o início e o fim de um período de atividade incomum da API degerenciamento de gravação. O campo state mostra se o evento foi registrado em log no início ou no fimdo período de atividade incomum. O nome do evento, UpdateInstanceInformation, é o mesmo nomeda API do AWS Systems Manager para a qual o CloudTrail analisou os eventos de gerenciamento a fim dedeterminar se ocorreu atividade incomum. Embora os eventos de início e de fim tenham valores eventIDexclusivos, eles também têm um valor sharedEventID usado pelo par. O evento do Insights mostra obaseline ou o padrão normal de atividade, o insight ou a atividade média incomum que acionou oevento do Insights de início e no evento de término, o valor insight para a atividade média incomum peladuração do evento do Insights. Para obter mais informações sobre o CloudTrail Insights, consulte Registrarem log eventos do Insights para trilhas (p. 126).

{

Versão 1.019

AWS CloudTrail Guia do usuárioCloudTrail Serviços compatíveis e integrações

"Records": [ { "eventVersion": "1.07", "eventTime": "2019-11-14T00:51:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE8-9621-4d00-b913-beca2EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-11-14T00:52:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-28be-486c-8928-49ce6EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 }, "insightDuration": 1 } } }, "eventCategory": "Insight" } ]}

CloudTrail Serviços compatíveis e integraçõesCloudTrail dá suporte ao registro de eventos para muitos serviços AWS. Você pode encontrar informaçõesespecíficas para cada serviço compatível no guia do serviço. Os links para tópicos específicos dos serviços

Versão 1.020

AWS CloudTrail Guia do usuárioIntegrações de serviços AWS com os logs CloudTrail

são fornecidos abaixo. Além disso, alguns serviços AWS podem ser usados para analisar e executar açõesnos dados coletados em logs CloudTrail. Você pode procurar pela visão geral dessas integrações deserviços aqui.

Note

Para ver a lista de regiões com suporte para cada serviço, consulte Regiões e endpoints noReferência geral do Amazon Web Services.

Tópicos• Integrações de serviços AWS com os logs CloudTrail (p. 21)• Integração do CloudTrail com o AWS Organizations (p. 22)• Tópicos de serviços AWS para CloudTrail (p. 22)• CloudTrail Serviços não compatíveis (p. 31)

Integrações de serviços AWS com os logs CloudTrailÉ possível configurar outros serviços AWS para analisar e atuar mais profundamente sobre os dados deeventos coletados nos logs CloudTrail. Para obter mais informações, consulte os tópicos a seguir.

AWS Serviço Tópico Descrição

Amazon Athena Consulta de logs do AWSCloudTrail

O uso de Athena com logsCloudTrail é uma maneiraavançada de melhorar a suaanálise das atividades do serviçoAWS. Por exemplo, é possívelusar consultas para identificartendências e isolar ainda maisa atividade por atributos, comoendereço IP de origem ouusuário.

Você pode criar tabelas paralogs de consulta de formaautomática, diretamente noconsole do CloudTrail e usaressas tabelas para executaras consultas em Athena. Paraobter mais informações, consulteCriação de uma tabela para logsdo CloudTrail no console doCloudTrail no Guia do usuário doAmazon Athena.

Note

Executar consultas emAmazon Athena implicacustos adicionais. Paraobter mais informações,consulte AmazonAthena Definição depreços.

Versão 1.021


https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html


https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct



https://docs.aws.amazon.com/athena/latest/ug/


https://aws.amazon.com/athena/pricing/



AWS CloudTrail Guia do usuárioIntegração do CloudTrail com o AWS Organizations

AWS Serviço Tópico Descrição

Amazon CloudWatch Logs Monitorar arquivos de logCloudTrail com AmazonCloudWatch Logs (p. 131)

Você pode configurar CloudTrailcom CloudWatch Logs paramonitorar seus logs de trilha eser notificado quando ocorrerematividades específicas. Porexemplo, você pode definir filtrosde métrica CloudWatch Logs queacionarão alarmes CloudWatche enviarão notificações a vocêquando esses alarmes foremacionados.

Note

A definição de preçopadrão do AmazonCloudWatch e AmazonCloudWatch Logs seaplica. Para obter maisinformações, consulteAmazon CloudWatchPricing.

Integração do CloudTrail com o AWS OrganizationsVocê pode criar uma trilha na conta mestra de uma organização que coleta todos os dados de eventosde todas as contas da AWS em uma organização no AWS Organizations. Ela é chamada de trilha daorganização. Criar uma trilha da organização ajuda você a definir uma estratégia de registro de eventosuniforme para sua organização. A trilha da organização é aplicada automaticamente a cada conta da AWSem sua organização. Os usuários de contas-membro podem ver essas trilhas, mas não podem modificá-las e, por padrão, não podem ver os arquivos de log criados para a trilha da organização. Para maisinformações, consulte Criar uma trilha para uma organização (p. 90).

Tópicos de serviços AWS para CloudTrailSaiba mais sobre como os eventos de serviços individuais AWS são registrados em logs CloudTrail,incluindo eventos de exemplo para esse serviço em arquivos de log. Para obter mais informações sobrecomo serviços específicos AWS integram-se a CloudTrail, consulte o tópico sobre integração no guiaindividual do serviço.

AWS Serviço CloudTrail Tópicos O suportecomeçou

Alexa for Business Registro de chamadas de administração do Alexafor Business usando AWS CloudTrail

29/11/2017

Amazon API Gateway Registrar chamadas de gerenciamento de API parao Amazon API Gateway usando o AWS CloudTrail

09/07/2015

Amazon Connect Registrar em log chamadas de API do AmazonConnect com o AWS CloudTrail

11/12/2019

Versão 1.022

https://aws.amazon.com/cloudwatch/pricing/


http://docs.aws.amazon.com/a4b/latest/ag/cloudtrail.html

http://docs.aws.amazon.com/a4b/latest/ag/cloudtrail.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/cloudtrail.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/cloudtrail.html

https://docs.aws.amazon.com/connect/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/connect/latest/adminguide/logging-using-cloudtrail.html

AWS CloudTrail Guia do usuárioTópicos de serviços AWS para CloudTrail


Aplicativo Auto Scaling Registrar chamadas de API do Aplicativo AutoScaling com o AWS CloudTrail

31/10/2016

AWS Application DiscoveryService

Referência de API do Application Discovery Service 12/05/2016

Amazon AppFlow Registrar em log chamadas de API do AmazonAppFlow com o AWS CloudTrail

22/04/2020

AWS App Mesh Registrar chamadas à API do App Mesh com oAWS CloudTrail

Amazon AppStream 2.0 Registrar chamadas de API do Amazon AppStream2.0 com o AWS CloudTrail

25/04/2019

AWS AppSync Registrar chamadas de API do AWS AppSync como AWS CloudTrail

13/02/2018

Amazon Athena Registrar chamadas de API do Amazon Athena como AWS CloudTrail

19/05/2017

AWS Auto Scaling Registrar chamadas de API do AWS Auto Scalingusando o CloudTrail

15/08/2018

AWS Backup Registrar chamadas de API do AWS Backup com oAWS CloudTrail

04/02/2019

AWS Batch Registrar chamadas de API do AWS Batch com oAWS CloudTrail

10/01/2018

AWS Billing and CostManagement

Registrar chamadas de API do AWS Billing andCost Management com o AWS CloudTrail

07/06/2018

AWS Certificate Manager Como usar o AWS CloudTrail 25/03/2016

Autoridade de certificadosprivada do AWS CertificateManager

Como usar o CloudTrail 06/06/2019

Amazon Chime Registrar chamadas de administração do AmazonChime usando o AWS CloudTrail

27/09/2017

Amazon Cloud Directory Registrar chamadas de API do Amazon CloudDirectory usando o AWS CloudTrail

26/01/2017

AWS Cloud9 Registrar chamadas de API do AWS Cloud9 com oAWS CloudTrail

21/01/2019

AWS CloudFormation Registrar chamadas de API do AWSCloudFormation no AWS CloudTrail

02/04/2014

Amazon CloudFront Uso do AWS CloudTrail para capturar solicitaçõesenviadas à API do CloudFront

28/05/2014

AWS CloudHSM Registrar chamadas de API do AWS CloudHSMusando o AWS CloudTrail

08/01/2015

Versão 1.023

https://docs.aws.amazon.com/autoscaling/application/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/application/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/application-discovery/latest/APIReference/

https://docs.aws.amazon.com/appflow/latest/userguide/appflow-cloudtrail-logs.html

https://docs.aws.amazon.com/appflow/latest/userguide/appflow-cloudtrail-logs.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/athena/latest/ug/monitor-with-cloudtrail.html

https://docs.aws.amazon.com/athena/latest/ug/monitor-with-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/plans/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/plans/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/batch/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/batch/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/logging-using-cloudtrail.html

https://docs.aws.amazon.com/acm/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCtIntro.html

https://docs.aws.amazon.com/chime/latest/ag/cloudtrail.html

https://docs.aws.amazon.com/chime/latest/ag/cloudtrail.html

https://docs.aws.amazon.com/amazoncds/latest/APIReference/cloudtrail_logging.html

https://docs.aws.amazon.com/amazoncds/latest/APIReference/cloudtrail_logging.html

https://docs.aws.amazon.com/cloud9/latest/user-guide/cloudtrail.html

https://docs.aws.amazon.com/cloud9/latest/user-guide/cloudtrail.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/logging_using_cloudtrail.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/logging_using_cloudtrail.html

https://docs.aws.amazon.com/cloudhsm/latest/userguide/get-api-logs-using-cloudtrail.html

https://docs.aws.amazon.com/cloudhsm/latest/userguide/get-api-logs-using-cloudtrail.html



AWS Cloud Map Registrar chamadas de API do AWS Cloud Mapcom o AWS CloudTrail

28/11/2018

Amazon CloudSearch Registrar chamadas de configuração de serviço doAmazon CloudSearch usando o AWS CloudTrail

16/10/2014

AWS CloudTrail AWS CloudTrail API Reference (Todas aschamadas de API do CloudTrail são registradas emlog pelo CloudTrail).

13/11/2013

Amazon CloudWatch Registrar chamadas de API do Amazon CloudWatchno AWS CloudTrail

30/04/2014

Eventos do CloudWatch Registrar chamadas de API do Eventos do AmazonCloudWatch no AWS CloudTrail

16/01/2016

CloudWatch Logs Registrar chamadas de API do Amazon CloudWatchLogs no AWS CloudTrail

10/03/2016

AWS CodeBuild Registrar chamadas de API do AWS CodeBuild como AWS CloudTrail

01/12/2016

AWS CodeCommit Registrar chamadas de API do AWS CodeCommitcom o AWS CloudTrail

11/01/2017

AWS CodeDeploy Monitoramento de implantações com o AWSCloudTrail

16/12/2014

Amazon CodeGuru Reviewer Registrar chamadas de API do Amazon CodeGuruReviewer com o AWS CloudTrail

02/12/2019

AWS CodePipeline Registrar chamadas de API do CodePipelineusando o AWS CloudTrail

09/07/2015

AWS CodeStar Registrar chamadas de API do AWS CodeStar como AWS CloudTrail

14/06/2017

AWS CodeStar Notifications Registrar chamadas à API do AWS CodeStarNotifications com o AWS CloudTrail

05/11/2019

Amazon Cognito Registrar chamadas de API do Amazon Cognitocom o AWS CloudTrail

18/02/2016

Amazon Comprehend Registrar chamadas de API do AmazonComprehend com o AWS CloudTrail

17/01/2018

Amazon Comprehend Medical Registrar em log chamadas de API do AmazonComprehend Medical usando o AWS CloudTrail

27/11/2018

AWS Config Registrar chamadas de API do AWS Config com oAWS CloudTrail

10/02/2015

AWS Control Tower Registro em log de ações do AWS Control Towercom o AWS CloudTrail

12/ago/2019

Versão 1.024

https://docs.aws.amazon.com/cloud-map/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cloud-map/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cloudsearch/latest/developerguide/logging-config-api-calls.html

https://docs.aws.amazon.com/cloudsearch/latest/developerguide/logging-config-api-calls.html


https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/logging_cw_api_calls.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/logging_cw_api_calls.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/logging_cw_api_calls_cwe.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/logging_cw_api_calls_cwe.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/logging_cw_api_calls_cwl.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/logging_cw_api_calls_cwl.html

https://docs.aws.amazon.com/codebuild/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/codebuild/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/codecommit/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codecommit/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codedeploy/latest/userguide/cloudtrail-integ.html

https://docs.aws.amazon.com/codedeploy/latest/userguide/cloudtrail-integ.html

https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codestar/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codestar/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codestar-notifications/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codestar-notifications/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cognito/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cognito/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail2.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail2.html

https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html

https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html

https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html



Gerenciador de ciclo de vida dedados da Amazon

Registrar chamadas de API do Gerenciador deciclo de vida de dados da Amazon usando o AWSCloudTrail

24/07/2018

AWS Data Pipeline Registrar chamadas de API do AWS Data Pipelineusando o AWS CloudTrail

02/12/2014

AWS Database Migration Service(AWS DMS)

Registrar chamadas de API do AWS DatabaseMigration Service usando o AWS CloudTrail

04/02/2016

AWS DataSync Registrar chamadas de API do AWS DataSync como AWS CloudTrail

26/11/2018

AWS Device Farm Registrar chamadas de API do AWS Device Farmusando o AWS CloudTrail

13/07/2015

AWS Direct Connect Registrar chamadas de API do AWS Direct Connectno AWS CloudTrail

08/03/2014

AWS Directory Service Registrar chamadas de API do AWS DirectoryService usando o CloudTrail

14/05/2015

Amazon DocumentDB(compatível com MongoDB)

Registrar chamadas de API do AmazonDocumentDB com o AWS CloudTrail

09/01/2019

Amazon DynamoDB Registrar operações do DynamoDB usando o AWSCloudTrail

28/05/2015

Amazon Elastic ContainerRegistry (Amazon ECR)

Registrar chamadas de API do Amazon ECRusando o AWS CloudTrail

21/12/2015

Amazon Elastic ContainerService (Amazon ECS)

Registrar chamadas de API do Amazon ECSusando o AWS CloudTrail

09/04/2015

AWS Elastic Beanstalk (ElasticBeanstalk)

Usar chamadas de API do Elastic Beanstalk com oAWS CloudTrail

31/03/2014

Amazon Elastic Block Store(Amazon EBS)

Registrar chamadas de API usando o AWSCloudTrail

13/11/2013

Amazon Elastic Compute Cloud(Amazon EC2)


13/11/2013

Amazon EC2 Auto Scaling Registrar chamadas de API do Auto Scaling usandoo CloudTrail

16/07/2014

Amazon Elastic File System(Amazon EFS)

Registrar chamadas de API do Amazon EFS com oAWS CloudTrail

28/06/2016

Amazon Elastic KubernetesService (Amazon EKS)

Registrar chamadas de API do Amazon EKS com oAWS CloudTrail

05/06/2018

Elastic Load Balancing Registro do AWS CloudTrail no seu Classic LoadBalancer e Registro do AWS CloudTrail no seuBalanceador de carga de aplicações

04/04/2014

Versão 1.025

https://docs.aws.amazon.com/dlm/latest/APIReference/logging-using-cloudtrail.html



https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-cloudtrail-logging.html

https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-cloudtrail-logging.html

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#logging-using-cloudtrail

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#logging-using-cloudtrail

https://docs.aws.amazon.com/datasync/latest/userguide/security.html#logging-using-cloudtrail

https://docs.aws.amazon.com/datasync/latest/userguide/security.html#logging-using-cloudtrail

https://docs.aws.amazon.com/devicefarm/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/devicefarm/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/logging_dc_api_calls.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/logging_dc_api_calls.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/documentdb/latest/developerguide/logging-with-cloudtrail.html

https://docs.aws.amazon.com/documentdb/latest/developerguide/logging-with-cloudtrail.html

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudtrail.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudtrail.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/using-cloudtrail.html




https://docs.aws.amazon.com/autoscaling/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/efs/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/efs/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/eks/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/eks/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/ELB-API-Logs.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/ELB-API-Logs.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudtrail-logs.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudtrail-logs.html



Amazon Elastic Transcoder Registrar chamadas de API do Amazon ElasticTranscoder com o AWS CloudTrail

27/10/2014

Amazon ElastiCache Registrar chamadas de API do Amazon ElastiCacheusando o AWS CloudTrail

15/09/2014

Amazon Elasticsearch Service Auditoria de domínios do Amazon ElasticsearchService com o AWS CloudTrail

01/10/2015

AWS Elemental MediaConnect Registrar chamadas de API do AWS ElementalMediaConnect com o AWS CloudTrail

27/11/2018

AWS Elemental MediaConvert Registrar chamadas de API do AWS ElementalMediaConvert com o CloudTrail

27/11/2017

AWS Elemental MediaLive Registrar chamadas de API do MediaLive com oAWS CloudTrail

19/01/2019

AWS Elemental MediaPackage Registrar chamadas de API do AWS ElementalMediaPackage com o AWS CloudTrail

21/12/2018

AWS Elemental MediaStore Registrar chamadas de API do AWS ElementalMediaStore com o CloudTrail

27/11/2017

AWS Elemental MediaTailor Registrar chamadas de API do AWS ElementalMediaTailor com o AWS CloudTrail

11/02/2019

Amazon EMR Registrar chamadas de API do Amazon EMR noAWS CloudTrail

04/04/2014

AWS Firewall Manager Registrar chamadas de API do AWS FirewallManager com o AWS CloudTrail

05/04/2018

Amazon Forecast Registrar chamadas de API do Amazon Forecastcom o AWS CloudTrail

28/11/2018

Atualizações remotas (OTA,Over-the-Air) do FreeRTOS

Registro de chamadas de API OTA do AWS IoTcom AWS CloudTrail

05/22/2019

Amazon FSx for Lustre Registrar chamadas de API do Amazon FSx forLustre com o AWS CloudTrail

11/01/2019

Amazon FSx para servidor dearquivos do Windows

Monitoramento com o AWS CloudTrail 28/11/2018

Amazon GameLift Registrar chamadas de API do Amazon GameLiftcom o AWS CloudTrail

27/01/2016

Amazon S3 Glacier Registrar chamadas de API do S3 Glacier usando oAWS CloudTrail

11/12/2014

Acelerador global da AWS Registrar chamadas de API do acelerador global daAWS com o AWS CloudTrail

26/11/2018

AWS Glue Registrar operações do AWS Glue usando o AWSCloudTrail

07/11/2017

Versão 1.026

https://docs.aws.amazon.com/elastictranscoder/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elastictranscoder/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-cloudtrailauditing.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-cloudtrailauditing.html

https://docs.aws.amazon.com/mediaconnect/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediaconnect/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediaconvert/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediaconvert/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/medialive/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/medialive/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediapackage/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediapackage/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediastore/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediastore/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediatailor/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediatailor/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging_emr_api_calls.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging_emr_api_calls.html

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-fms

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-fms

https://docs.aws.amazon.com/forecast/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/forecast/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/freertos/latest/userguide/iot-using-cloudtrail-afr.html

https://docs.aws.amazon.com/freertos/latest/userguide/iot-using-cloudtrail-afr.html

https://docs.aws.amazon.com/fsx/latest/LustreGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/fsx/latest/LustreGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/gamelift/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/gamelift/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/amazonglacier/latest/dev/audit-logging.html

https://docs.aws.amazon.com/amazonglacier/latest/dev/audit-logging.html

https://docs.aws.amazon.com/global-accelerator/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/global-accelerator/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/glue/latest/dg/monitor-cloudtrail.html

https://docs.aws.amazon.com/glue/latest/dg/monitor-cloudtrail.html



AWS Ground Station Registrar chamadas de API do AWS Ground Stationcom o AWS CloudTrail

31/05/2019

Amazon GuardDuty Registrar chamadas de API do Amazon GuardDutycom o AWS CloudTrail

12/02/2018

AWS Health Registrar chamadas de API do Integridade da AWScom o AWS CloudTrail

21/11/2016

Amazon Inspector Registrar chamadas de API do Amazon Inspectorcom o AWS CloudTrail

20/04/2016

AWS IoT Registrar chamadas de API do AWS IoT com oAWS CloudTrail

11/04/2016

AWS IoT Análise Registrar análises de chamadas de API do AWS IoTcom o AWS CloudTrail

23/04/2018

AWS IoT 1-Click Registrar chamadas de API do AWS IoT 1-Clickcom o AWS CloudTrail

14/05/2018

Eventos do AWS IoT Registro de chamadas de API do AWS IoT Eventscom o AWS CloudTrail

06/11/2019

AWS IoT Greengrass Registrar chamadas de API do AWS IoTGreengrass com o AWS CloudTrail

29/10/2018

AWS IoT SiteWise Registrar em log chamadas de API do AWS IoTSiteWise com o AWS CloudTrail

29/04/2020

AWS IoT Things Graph Registrar chamadas de API do AWS IoT ThingsGraph com o AWS CloudTrail

31/05/2019

AWS Identity and AccessManagement (IAM)

Registrar eventos do IAM com o AWS CloudTrail 13/11/2013

Amazon Kendra Registrar em log chamadas de API do AmazonKendra com o AWS CloudTrail

11/05/2020

AWS Key Management Service(AWS KMS)

Registrar chamadas de API do AWS KMS usando oAWS CloudTrail

12/11/2014

Amazon Kinesis Data Analytics Monitorar o Amazon Kinesis Data Analytics como AWS CloudTrail (aplicativos SQL) e Monitoraro Amazon Kinesis Data Analytics com o AWSCloudTrail (aplicativos Apache Flink)

22/03/2019

Amazon Kinesis Data Firehose Monitoramento de chamadas de API do AmazonKinesis Data Firehose com o AWS CloudTrail

17/03/2016

Amazon Kinesis Data Streams Registrar chamadas de API do Amazon KinesisData Streams usando o AWS CloudTrail

25/04/2014

Amazon Streams de vídeo doKinesis

Registrar chamadas de API do Streams de vídeo doKinesis com o AWS CloudTrail

24/05/2018

Versão 1.027

https://docs.aws.amazon.com/ground-station/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ground-station/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/health/latest/ug/logging-using-cloudtrail.html


https://docs.aws.amazon.com/inspector/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/inspector/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html#iot-using-cloudtrail

https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html#iot-using-cloudtrail

https://docs.aws.amazon.com/iotanalytics/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/iotanalytics/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/iot-1-click/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot-1-click/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-using-cloudtrail.html

https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-using-cloudtrail.html

https://docs.aws.amazon.com/greengrass/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/greengrass/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/thingsgraph/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/thingsgraph/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html

https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail.html

https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail.html

https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html


https://docs.aws.amazon.com/kinesisanalytics/latest/dev/logging-using-cloudtrail.html

https://docs.aws.amazon.com/kinesisanalytics/latest/dev/logging-using-cloudtrail.html

https://docs.aws.amazon.com/kinesisanalytics/latest/java/logging-using-cloudtrail.html



https://docs.aws.amazon.com/firehose/latest/dev/monitoring-with-cloudtrail.html

https://docs.aws.amazon.com/firehose/latest/dev/monitoring-with-cloudtrail.html

https://docs.aws.amazon.com/kinesis/latest/dev/logging_using_cloudtrail.html

https://docs.aws.amazon.com/kinesis/latest/dev/logging_using_cloudtrail.html

https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/monitoring-cloudtrail.html

https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/monitoring-cloudtrail.html



AWS Lambda Registrar chamadas de API do AWS Lambdausando o AWS CloudTrail

Usar o Lambda com o AWS CloudTrail

Eventos degerenciamento:09/04/2015

Eventosde dados:30/11/2017

Amazon Lex Registrar chamadas de API do Amazon Lex com oCloudTrail

15/08/2017

AWS License Manager Registrar chamadas de API do AWS LicenseManager com o AWS CloudTrail

01/03/2019

Amazon Lightsail Registrar chamadas de API do Lightsail com o AWSCloudTrail

23/12/2016

Amazon Machine Learning Registrar chamadas de API do Amazon ML usandoo AWS CloudTrail

10/12/2015

Amazon Macie Registrar em log as chamadas de API do AmazonMacie usando o AWS CloudTrail

13/05/2020

Amazon Managed ApacheCassandra Service

Registrar chamadas de API do Amazon ManagedCassandra Service com o AWS CloudTrail

13/01/2020

AWS Managed Services AWS Managed Services 21/12/2016

Amazon Managed Streaming forApache Kafka

Registro de chamadas de API do Amazon MSK como AWS CloudTrail

11/12/2018

AWS Marketplace Registrar chamadas de API do AWS Marketplacecom o AWS CloudTrail

02/05/2017

Serviço de medição do AWSMarketplace

Registrar chamadas de API do AWS Marketplacecom o AWS CloudTrail

08/22/2018

AWS Migration Hub Registrar chamadas de API do AWS Migration Hubcom o AWS CloudTrail

14/08/2017

AWS Mobile Hub Registrar chamadas de API da AWS Mobile CLIcom o AWS CloudTrail

29/06/2018

Amazon MQ Registrar chamadas de API do Amazon MQ usandoo AWS CloudTrail

19/07/2018

Amazon Neptune Registrar chamadas de API do Amazon Neptuneusando o AWS CloudTrail

30/05/2018

AWS OpsWorks Registrar chamadas de API do AWS OpsWorksusando o AWS CloudTrail

04/06/2014

AWS OpsWorks for ChefAutomate

Registrar chamadas de API do AWS OpsWorks forChef Automate com o AWS CloudTrail

16/07/2018

AWS OpsWorks for PuppetEnterprise

Registrar chamadas de API do OpsWorks paraPuppet Enterprise com o AWS CloudTrail

16/07/2018

Versão 1.028

https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/lambda/latest/dg/wt-cloudtrail-events-adminuser.html

https://docs.aws.amazon.com/lex/latest/dg/monitoring-aws-lex-cloudtrail.html

https://docs.aws.amazon.com/lex/latest/dg/monitoring-aws-lex-cloudtrail.html

https://docs.aws.amazon.com/license-manager/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/license-manager/latest/userguide/logging-using-cloudtrail.html

https://lightsail.aws.amazon.com/ls/docs/how-to/article/logging-lightsail-api-calls-using-aws-cloudtrail

https://lightsail.aws.amazon.com/ls/docs/how-to/article/logging-lightsail-api-calls-using-aws-cloudtrail

https://docs.aws.amazon.com/machine-learning/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/machine-learning/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/macie/latest/user/macie-cloudtrail.html

https://docs.aws.amazon.com/macie/latest/user/macie-cloudtrail.html

https://docs.aws.amazon.com/mcs/latest/devguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mcs/latest/devguide/logging-using-cloudtrail.html

https://aws.amazon.com/managed-services

https://docs.aws.amazon.com/msk/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/msk/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/marketplace/latest/userguide/logging-aws-marketplace-api-calls-with-aws-cloudtrail.html




https://docs.aws.amazon.com/migrationhub/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/migrationhub/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/aws-mobile/latest/developerguide/aws-mobile-cli-cloudtrail-logging.html

https://docs.aws.amazon.com/aws-mobile/latest/developerguide/aws-mobile-cli-cloudtrail-logging.html

https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-logging-cloudtrail.html

https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-logging-cloudtrail.html

https://docs.aws.amazon.com/neptune/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/neptune/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/monitoring-cloudtrail.html


https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opsca-using-cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opsca-using-cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opspup-using-cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opspup-using-cloudtrail.html



AWS OpsWorks Stacks Registrar chamadas de API do AWS OpsWorksStacks com o AWS CloudTrail

04/06/2014

AWS Organizations Registrar em log eventos do AWS Organizationscom o AWS CloudTrail

27/02/2017

AWS Personal Health Dashboard Registrar chamadas de API do Integridade da AWScom o AWS CloudTrail

01/12/2016

Amazon Personalize Registrar chamadas de API do Amazon Personalizecom o AWS CloudTrail

28/11/2018

Amazon Pinpoint Registrar chamadas de API do Amazon Pinpointcom o AWS CloudTrail

06/02/2018

API de voz e SMS do AmazonPinpoint

Registrar chamadas de API do Amazon Pinpointcom o AWS CloudTrail

16/11/2018

Amazon Polly Registrar chamadas de API do Amazon Polly com oAWS CloudTrail

30/11/2016

Amazon Quantum LedgerDatabase (Amazon QLDB)

Registrar chamadas de API do Amazon QLDB como AWS CloudTrail

10/09/2019

Autoridade de certificaçãoprivada do AWS CertificateManager

Uso do CloudTrail 04/04/2018

Amazon QuickSight Registrar operações com o CloudTrail 28/04/2017

Amazon Redshift Registrar chamadas de API do Amazon Redshiftcom o AWS CloudTrail

10/06/2014

Amazon Rekognition Registrar chamadas de API do Amazon Rekognitionusando o AWS CloudTrail

06/04/2018

Amazon Relational DatabaseService (Amazon RDS)

Registrar chamadas de API do Amazon RDSusando o AWS CloudTrail

13/11/2013

Amazon RDS PerformanceInsights

Registrar chamadas de API do Amazon RDSusando o AWS CloudTrail

A Amazon RDS API Performance Insights é umsubconjunto da Amazon RDS API.

21/06/2018

AWS Resource Access Manager(AWS RAM)

Registrar chamadas de API do AWS RAM com oAWS CloudTrail

20/11/2018

AWS Resource Groups Registro de chamadas API de grupos de recursosda AWS com o AWS CloudTrail

29/06/2018

AWS RoboMaker Registrar chamadas de API do AWS RoboMakercom o AWS CloudTrail

16/01/2019

Amazon Route 53 Usar o AWS CloudTrail para capturar solicitaçõesenviadas à API do Route 53

11/02/2015

Versão 1.029



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_incident-response.html#orgs_cloudtrail-integration

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_incident-response.html#orgs_cloudtrail-integration



https://docs.aws.amazon.com/personalize/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/personalize/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/pinpoint/latest/developerguide/logging-using-cloudtrail.html




https://docs.aws.amazon.com/polly/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/polly/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/qldb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/qldb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCtIntro.html

https://docs.aws.amazon.com/quicksight/latest/user/logging-using-cloudtrail.html

https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html#rs-db-auditing-cloud-trail

https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html#rs-db-auditing-cloud-trail

https://docs.aws.amazon.com/rekognition/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/rekognition/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/logging-using-cloudtrail.html




https://docs.aws.amazon.com/ram/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ram/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ARG/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ARG/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/robomaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/robomaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-using-cloudtrail.html



Amazon SageMaker Registrar chamadas de API do Amazon SageMakercom o AWS CloudTrail

11/01/2018

AWS Secrets Manager Monitorar o uso dos seus segredos do AWS SecretsManager

05/04/2018

Security Hub da AWS Registrar chamadas de API do Security Hub daAWS com o AWS CloudTrail

27/11/2018

AWS Security Token Service(AWS STS)

Registrar eventos do IAM com o AWS CloudTrail

O tópico IAM inclui informações para AWS STS.

13/11/2013

AWS Server Migration Service Referência da API do AWS SMS 14/11/2016

AWS Serverless ApplicationRepository

Registrar chamadas de API do AWS ServerlessApplication Repository com o AWS CloudTrail

20/02/2018

AWS Service Catalog Registrar chamadas de API do AWS ServiceCatalog com o AWS CloudTrail

06/07/2016

AWS Shield Registrar chamadas de API do Shield Advancedcom o AWS CloudTrail

08/02/2018

Amazon Simple Email Service(Amazon SES)

Registrar chamadas de API do Amazon SESusando o AWS CloudTrail

07/05/2015

Amazon Simple NotificationService (Amazon SNS)

Registrar chamadas de API do Amazon SimpleNotification Service usando o AWS CloudTrail

09/10/2014

Amazon Simple Queue Service(Amazon SQS)

Registro de ações de API do Amazon SQS usandoo AWS CloudTrail

16/07/2014

Amazon Simple Storage Service Registrar chamadas de API do Amazon S3 usandoo AWS CloudTrail

Eventos degerenciamento:01/09/2015

Eventosde dados:21/11/2016

Amazon Simple WorkflowService (Amazon SWF)

Registrar chamadas de API do Amazon SimpleWorkflow Service com o AWS CloudTrail

13/05/2014

Logon único da AWS (AWSSSO)

Registrar chamadas de API do AWS SSO com oAWS CloudTrail

07/12/2017

AWS Snowball Registrar chamadas de API do AWS Snowball como AWS CloudTrail

25/01/2019

AWS Snowball Edge Registrar chamadas de API do AWS Snowball Edgecom o AWS CloudTrail

25/01/2019

AWS Step Functions Registrar chamadas de API do AWS Step Functionscom o AWS CloudTrail

01/12/2016

AWS Storage Gateway Registrar chamadas de API do AWS StorageGateway usando o AWS CloudTrail

16/12/2014

Versão 1.030

https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html#monitoring_cloudtrail

https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html#monitoring_cloudtrail

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-ct.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-ct.html


https://docs.aws.amazon.com/server-migration-service/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/serverlessrepo/latest/devguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/serverlessrepo/latest/devguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/servicecatalog/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/servicecatalog/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#shield-info-in-cloudtrail

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#shield-info-in-cloudtrail

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sns/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sns/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/cloudtrail-logging.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/cloudtrail-logging.html

https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html

https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/developer-guide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/developer-guide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/step-functions/latest/dg/cloud-trail.html

https://docs.aws.amazon.com/step-functions/latest/dg/cloud-trail.html

https://docs.aws.amazon.com/storagegateway/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/storagegateway/latest/userguide/logging-using-cloudtrail.html

AWS CloudTrail Guia do usuárioCloudTrail Serviços não compatíveis


AWS Support Registrar chamadas de API do AWS Support com oAWS CloudTrail

21/04/2016

AWS Systems Manager(Systems Manager)

Registrar chamadas de API do Systems Managercom o AWS CloudTrail

13/11/2013

Amazon Textract Registrar chamadas de API do Amazon Textractcom o AWS CloudTrail

05/29/2019

Amazon Transcribe Registrar chamadas de API do Amazon Transcribecom o AWS CloudTrail

28/06/2018

Transferência da AWS paraSFTP

Registrar chamadas de API do Transferência daAWS para SFTP com o AWS CloudTrail

08/01/2019

Amazon Translate Registrar chamadas à API do Amazon Translatecom o AWS CloudTrail

04/04/2018

Transit Gateway da AWS Registrar chamadas de API para seu TransitGateway usando o AWS CloudTrail

26/11/2018

Amazon Virtual Private Cloud(Amazon VPC)


A API Amazon VPC é um subconjunto da APIAmazon EC2.

13/11/2013

AWS WAF Registrar chamadas de API do AWS WAF com oAWS CloudTrail

28/04/2016

Amazon WorkDocs Registrar chamadas de API do Amazon WorkDocsusando o AWS CloudTrail

27/08/2014

Amazon WorkLink Registrar em log chamadas de API do AmazonWorkLink com o AWS CloudTrail

23/01/2019

Amazon WorkMail Registrar chamadas de API do Amazon WorkMailusando o AWS CloudTrail

12/12/2017

Amazon WorkSpaces Registrar chamadas de API do AmazonWorkSpaces usando o CloudTrail

09/04/2015

AWS X-Ray Registrar chamadas de API do AWS X-Ray com oCloudTrail

25/04/2018

CloudTrail Serviços não compatíveisOs seguintes serviços da AWS não são compatíveis com o registro de eventos com o AWS CloudTrail. Osmotivos pelos quais um serviço não oferece suporte ao registro em log do CloudTrail podem variar. Porexemplo, um serviço que ainda está em demonstração, ou que ainda não está disponível para o público,não é considerado compatível com o registro em log do CloudTrail.

Para obter uma lista dos serviços da AWS com suporte, consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

Versão 1.031

https://docs.aws.amazon.com/awssupport/latest/user/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awssupport/latest/user/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ssm/latest/APIReference/logging-using-cloudtrail.html


https://docs.aws.amazon.com/textract/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/textract/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/transcribe/latest/dg/monitoring-transcribe-cloud-trail.html

https://docs.aws.amazon.com/transcribe/latest/dg/monitoring-transcribe-cloud-trail.html

https://docs.aws.amazon.com/transfer/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/transfer/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/translate/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/translate/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudtrail-logs.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudtrail-logs.html



https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/cloudtrail_logging.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/cloudtrail_logging.html

https://docs.aws.amazon.com/worklink/latest/ag/logging-using-cloudtrail.html

https://docs.aws.amazon.com/worklink/latest/ag/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workmail/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workmail/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workspaces/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/workspaces/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html

https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html

AWS CloudTrail Guia do usuárioLimites em AWS CloudTrail

AWS serviço Data de lançamento

AWS Trusted Advisor 30 de abril de 2013

Os seguintes serviços AWS não têm operações de API públicas.

AWS serviço Data de lançamento

AWS Deep Learning AMI 15 de novembro de 2017

Amazon WorkSpaces Application Manager 9 de abril de 2015

AWS Artifact 30 de novembro de 2016

AWS DeepComposer 2 de dezembro de 2019

AWS DeepLens 29 de novembro de 2017

AWS DeepRacer 29 de abril de 2019

AWS Snowmobile 30 de novembro de 2016

Amazon Sumerian 15 de maio de 2018

AWS Well-Architected Tool 29 de novembro de 2018

Limites em AWS CloudTrailA tabela a seguir descreve os limites no CloudTrail. CloudTrail não tem limites ajustáveis. Para obterinformações sobre outros limites na AWS, consulte Limites de serviço da AWS.

Recurso Limite padrão Comentários

Trilhas por região 5 Este limite não pode seraumentado.

Obter, descrever e listar APIs 10 transações por segundo(TPS)

O número máximo desolicitações de operaçãoque você pode fazer porsegundo sem ser limitado. A APILookupEvents não é incluídanessa categoria.

Este limite não pode seraumentado.

API LookupEvents 2 transações por segundo (TPS). O número máximo desolicitações de operação quevocê pode fazer por segundosem ser limitado.


Versão 1.032

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html

AWS CloudTrail Guia do usuárioLimites em AWS CloudTrail

Recurso Limite padrão Comentários

Todas as outras APIs 1 transação por segundo (TPS) O número máximo desolicitações de operação quevocê pode fazer por segundosem ser limitado.


Seletores de eventos 5 por trilha Este limite não pode seraumentado.

Recursos de dados nos seletoresde eventos

250 em todos os seletores deeventos em uma trilha

O número total de recursosde dados não pode exceder250 em todos os seletores deeventos em uma trilha. O limitede número de recursos em umseletor de evento individual éconfigurável até 250. Esse limitesuperior é permitido apenas seo número total de recursos dedados não exceder 250 em todosos seletores de eventos.

Exemplos:

• Uma trilha com 5 seletores deeventos, cada um configuradocom 50 recursos de dados, épermitida. (5*50=250)

• Também é permitida umatrilha com 5 seletores deeventos, 3 dos quais estãoconfigurados com 50 recursosde dados, 1 está configuradocom 99 recursos de dados e1 com um recurso de dados.((3*50)+1+99=250)

• Uma trilha configurada com 5seletores de eventos, todosconfigurados com 100 recursosde dados, não é permitida.(5*100=500)


Versão 1.033

AWS CloudTrail Guia do usuárioPré-requisitos

Tutorial de conceitos básicos doAWS CloudTrail

Se você for novo, no AWS CloudTrail este tutorial o ajudará a aprender a usar seus recursos. Nestetutorial, você revisa a atividade recente da sua conta da AWS no console do CloudTrail e examinaum evento. Em seguida, você cria uma trilha, que é um registro contínuo de atividades de eventos degerenciamento que é armazenado em um bucket do Amazon S3. Diferente do histórico de eventos, esseregistro contínuo não é limitado a 90 dias, registra eventos em todas as regiões da AWS e pode ajudá-lo aatender às suas necessidades de segurança e auditoria ao longo do tempo.

Tópicos• Pré-requisitos (p. 34)• Etapa 1: revisar a atividade da conta da AWS no histórico de eventos (p. 34)• Etapa 2: criar sua primeira trilha (p. 38)• Etapa 3: visualizar seus arquivos de log (p. 40)• Etapa 4: planejar para próximas etapas (p. 42)

Pré-requisitosAntes de começar, conclua os seguintes pré-requisitos e configuração:

• Crie uma conta da AWS se você não tiver uma.

Se você ainda não tiver uma conta da AWS, use o procedimento a seguir para criar uma.

Para cadastrar-se na AWS

1. Abra https://aws.amazon.com/ e escolha Create an AWS Account.2. Siga as instruções online.

• Crie um usuário do IAM para administrar o CloudTrail. Para mais informações, consulte Concederpermissões para administração do CloudTrail (p. 238).

Etapa 1: revisar a atividade da conta da AWS nohistórico de eventos

O CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando ocorre atividade em qualquer serviçoda AWS compatível com o CloudTrail, essa atividade é registrada em um evento do CloudTrail junto comoutros eventos de serviços da AWS em Event history (Histórico de eventos). Em outras palavras, vocêpode visualizar, pesquisar e fazer download de eventos recentes na sua conta da AWS antes de criar umatrilha, embora a criação de uma trilha seja essencial para registros e auditoria de longo prazo da atividadeda conta da AWS. Ao contrário de uma trilha, o Event history (Histórico de eventos) é limitado a eventosrecentes.

Versão 1.034

https://aws.amazon.com/

AWS CloudTrail Guia do usuárioEtapa 1: revisar a atividade da conta

da AWS no histórico de eventos

1. Faça login no Console de gerenciamento da AWS usando o usuário do IAM que você configuroupara administração do CloudTrail. Abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/home/.

2. Revise as informações em seu painel sobre os eventos mais recentes que ocorreram em sua contada AWS. Um desses eventos deve ser um evento ConsoleSignin, mostrando que você acabou deacessar o Console de gerenciamento da AWS.

3. Para ver mais informações sobre um evento, expanda-o.

Versão 1.035

https://console.aws.amazon.com/cloudtrail/home/




4. No painel de navegação, selecione Event history (Histórico de eventos). Você verá uma lista filtradade eventos, com os eventos mais recentes exibidos primeiro. O filtro padrão para eventos é somenteRead only (Somente leitura), definido como false (falso). Você pode limpar esse filtro escolhendo oícone de exclusão.

Versão 1.036



5. Muitos outros eventos são mostrados sem o filtro padrão. Você pode filtrar eventos de váriasmaneiras. Por exemplo, para visualizar todos os eventos de login do console, você pode escolher ofiltro Event name (Nome do evento) e especificar ConsoleLogin. Você escolhe os filtros.

6. Você pode salvar o histórico de eventos baixando-o como um arquivo no formato JSON ou CSV.

Versão 1.037

AWS CloudTrail Guia do usuárioEtapa 2: criar sua primeira trilha

Para obter mais informações, consulte Visualizar eventos com o histórico de eventos CloudTrail (p. 44).

Etapa 2: criar sua primeira trilhaEmbora os eventos fornecidos no histórico de eventos no console do CloudTrail sejam úteis para analisaratividades recentes, eles são limitados a atividades recentes e não incluem todos os eventos possíveis quepodem ser registrados pelo CloudTrail. Além disso, a exibição de eventos no console é limitado a região daAWS em que você está conectado. Para criar um registro contínuo de atividade em sua conta da AWS quecapta informações para todas as regiões da AWS, crie uma trilha. Para a primeira trilha, recomendamos acriação de uma trilha que registre todos os eventos de gerenciamento (p. 5) em todas as regiões da AWS enão registre todos os eventos de dados (p. 6). Os exemplos de eventos de gerenciamento incluem eventosde segurança, como os eventos do IAM CreateUser e AttachRolePolicy, eventos de recurso comoRunInstances e CreateBucket e muito mais. Você criará um bucket do Amazon S3 onde armazenaráos arquivos de log para a trilha como parte da criação da trilha no console do CloudTrail.

Note

Este tutorial pressupõe que você está criando a primeira trilha. Dependendo do número de trilhasna sua conta da AWS e de como as trilhas são configuradas, o procedimento a seguir pode ounão incorrer em despesas. Além disso, o CloudTrail armazena arquivos de log em um bucket doAmazon S3. Para obter mais informações sobre definição de preço, consulte Definição de preçodo AWS CloudTrail e Definição de preço do Amazon S3.

1. Faça login no Console de gerenciamento da AWS usando o usuário do IAM que você configuroupara administração do CloudTrail. Abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/home/. No seletor da região, escolha a região da AWS onde você deseja criar a trilha. Esta éa região inicial da trilha.

Note

A região inicial é a única região da AWS onde você pode visualizar e atualizar a trilha depoisque ela é criada, mesmo se a trilha registrar eventos em todas as regiões da AWS.

2. No painel de navegação, selecione Trilhas. Na página Trails (Trilhas), escolha Get Started Now(Começar a usar). Se você não vir essa opção, escolha Create Trail (Criar trilha).

Versão 1.038



https://aws.amazon.com/s3/pricing/



AWS CloudTrail Guia do usuárioEtapa 2: criar sua primeira trilha

3. Em Trail name (Nome da trilha), atribua um nome para a trilha, como My-Management-Events-Trail. Como prática recomendada, use um nome que identifique rapidamente a finalidade da trilha.Nesse caso, você está criando uma trilha que registra eventos de gerenciamento.

4. Em Management Events (Eventos de gerenciamento), certifique-se de que Read/Write events(Eventos de leitura/gravação) seja definido como All (Todos). Deixe o valor padrão, Yes (Sim), em LogAWS KMS events (Registrar em log eventos do AWS KMS).

5. Em Data Events (Eventos de dados), não faça alterações. Essa trilha não registrará nenhum eventode dados.

6. Em Storage Location (Local de armazenamento), em Create a new S3 bucket (Criar um novo bucketdo S3), escolha Yes (Sim). Em S3 bucket (Bucket do S3), atribua um nome ao bucket, como my-bucket-for-storing-cloudtrail-logs.

Note

O nome do bucket do Amazon S3 deve ser exclusivo globalmente. Para obter maisinformações, consulte Requisitos de nomenclatura para buckets do Amazon S3 (p. 109).

7. Em Tags, adicione uma ou mais tags personalizadas (pares chave-valor) à sua trilha. As tags podemajudá-lo a identificar suas trilhas do CloudTrail e outros recursos, como os buckets do Amazon S3que contêm arquivos de log do CloudTrail. Por exemplo, você poderia anexar uma tag com o nomeCompliance e o valor Auditing.

Note

Embora você possa adicionar tags a trilhas ao criá-las no console do CloudTrail e criar umbucket do Amazon S3 para armazenar seus arquivos de log no console do CloudTrail, não épossível adicionar tags ao bucket do Amazon S3 a partir do console do CloudTrail. Para obtermais informações sobre como exibir e alterar as propriedades de um bucket do Amazon S3,inclusive adicionar tags a um bucket, consulte o Guia do usuário do console do Amazon S3.

8. Escolha Criar.

Versão 1.039

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html

AWS CloudTrail Guia do usuárioEtapa 3: visualizar seus arquivos de log

Etapa 3: visualizar seus arquivos de logDepois de 15 minutos de criar sua primeira trilha, o CloudTrail fornece o primeiro conjunto de arquivos delog ao bucket do Amazon S3 para a sua trilha. Você pode examinar esses arquivos e saber mais sobre asinformações que eles contêm.

1. No painel de navegação, selecione Trilhas. Na página Trails (Trilhas), localize o nome da trilha quevocê acabou de criar (no exemplo, My-Management-Events-Trail).

Note

Verifique se você ainda está conectado usando o usuário do IAM que configurou para aadministração do CloudTrail. Caso contrário, você pode não ter permissões suficientes paravisualizar trilhas no console do CloudTrail ou bucket do Amazon S3 que contém os arquivosde log dessa trilha.

2. Na linha dessa trilha, localize o valor para o bucket do S3 (no exemplo, my-bucket-for-storing-cloudtrail-logs). Escolha-o.

3. O console do Amazon S3 é aberto e mostra esse bucket, no nível superior para arquivos de log. Comovocê criou uma trilha que registra eventos em todas as regiões da AWS, a exibição é aberta no nívelque mostra a pasta de cada região. A hierarquia de navegação do bucket do Amazon S3 nesse nívelé bucket-name/AWSLogs/AWS-account-id/CloudTrail. Escolha a pasta para a região da AWS emque você deseja revisar os arquivos de log. Por exemplo, se você quiser revisar os arquivos de logpara a região Leste dos EUA (Ohio), escolha us-east-2.

Versão 1.040

AWS CloudTrail Guia do usuárioEtapa 3: visualizar seus arquivos de log

4. Navegue a estrutura de pastas do bucket até o ano, o mês e o dia em que você deseja revisaros logs de atividade nessa região. Nesse dia, há uma série de arquivos. O nome dos arquivoscomeça com o ID da conta da AWS e termina com a extensão .gz. Por exemplo, se o ID daconta for 123456789012, você poderá visualizar arquivos com nomes semelhante a este:123456789012_CloudTrail_us-east-2_20190610T1255abcdeEXAMPLE.json.gz.

Para visualizar esses arquivos, você pode baixá-los, descompactá-los e visualizá-los em um editor detexto simples ou um visualizador de arquivo JSON. Alguns navegadores também oferecem suportepara a visualização de arquivos .gz e JSON diretamente. É recomendável usar um visualizador deJSON, pois facilita a análise de informações em arquivos de log do CloudTrail.

À medida que você navegar pelo conteúdo do arquivo, poderá começar a pensar sobre o que estávendo. O CloudTrail registra eventos para cada serviço da AWS que apresentou alguma atividadenessa região da AWS no momento em que o evento ocorreu. Em outras palavras, os eventos paradiferentes serviços da AWS são misturados, apenas com base no tempo. Para saber mais sobre oque um serviço da AWS específico registra com o CloudTrail, incluindo exemplos de entradas dearquivo de log para chamadas de API para esse serviço, consulte a lista de serviços com suporte parao CloudTrail (p. 22) e leia o tópico de integração do CloudTrail para esse serviço. Você também pode

Versão 1.041

AWS CloudTrail Guia do usuárioEtapa 4: planejar para próximas etapas

saber mais sobre o conteúdo e a estrutura de arquivos de log do CloudTrail ao analisar a Referência aeventos de log do CloudTrail (p. 271).

Você também pode detectar o que não está vendo em arquivos de log em Leste dos EUA (Ohio).Especificamente, você não verá eventos de login no console, embora saiba que fez login no console.Isso porque os eventos de login do console e do IAM são eventos de serviço globais (p. 11) e sãoconectados a uma região da AWS específica. Neste caso, eles estão conectados à Leste dos EUA(Norte da Virgínia), o que corresponde à pasta us-east-1. Navegue até essa pasta e até o ano, o mêse o dia em que você está interessado. Procure os arquivos de log e encontre eventos ConsoleLoginsemelhantes ao seguinte:

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "userName": "Mary_Major" }, "eventTime": "2019-06-10T17:14:09Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.67", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "2681fc29-EXAMPLE", "eventType": "AwsConsoleSignIn", "recipientAccountId": "123456789012"}

Você verá que essa entrada de arquivo de log mostra mais do que apenas a identidade do usuáriodo IAM que está conectado (Mary_Major), a data e a hora em que se conectou, e que o login foi bem-sucedido. Você também pode saber o endereço IP em que ela está conectada, o sistema operacionale o software de navegador do computador usado, e que ela não estava usando a autenticaçãomultifator.

Etapa 4: planejar para próximas etapasAgora que tem uma trilha, você tem acesso a um registro contínuo de eventos e atividades em sua contada AWS. Esse registro contínuo ajuda você a atender às necessidades de contabilidade e auditoria da suaconta da AWS. No entanto, você pode fazer muito mais com o CloudTrail e os dados do CloudTrail.

• Adicione mais segurança aos dados da trilha. O CloudTrail aplica automaticamente um determinadonível de segurança quando você cria uma trilha. No entanto, há etapas adicionais que você pode tomarpara ajudar a manter seus dados seguros.• Por padrão, o bucket do Amazon S3 que você criou como parte da criação de uma trilha tem uma

política aplicada que permite que o CloudTrail grave arquivos de log nesse bucket. O bucket não

Versão 1.042

AWS CloudTrail Guia do usuárioEtapa 4: planejar para próximas etapas

é acessível publicamente, mas pode ser acessível para outros usuários na sua conta da AWS quetem permissões para ler e gravar em buckets em sua conta da AWS. Analise a política do buckete, se necessário, faça alterações para restringir o acesso a um conjunto específico de usuáriosdo IAM. Para obter mais informações, consulte a documentação de segurança do Amazon S3 e ademonstração de exemplo para proteger um bucket.

• Os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pela criptografiado servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3). Parafornecer uma layer de segurança diretamente gerenciável, você pode usar a criptografia do servidorcom chaves gerenciadas do AWS KMS (SSE-KMS) para os arquivos de log do CloudTrail. Parausar o SSE-KMS com o CloudTrail, crie e gerencie uma chave do KMS, também conhecida comochave mestra do cliente (CMK). Para mais informações, consulte Criptografar os arquivos de log doCloudTrail com chaves gerenciadas do AWS KMS (SSE-KMS) (p. 259).

• Para planejamento de segurança adicional, revise as práticas recomendadas de segurança para oCloudTrail (p. 256).

• Crie uma trilha para registrar eventos de dados. Se você estiver interessado em registrar quando osobjetos são adicionados, recuperados e excluídos em um ou mais buckets do Amazon S3 ou quandouma ou mais funções do AWS Lambda são invocadas, esses são eventos de dados. A trilha de eventosde gerenciamento que você criou anteriormente neste tutorial não registra esses tipos de eventos. Vocêpode criar uma trilha especificamente separada para registrar eventos de dados para alguns ou todos osrecursos do Lambda e do Amazon S3. Para mais informações, consulte Eventos de dados (p. 119).

Note

Há cobranças adicionais para o registro de eventos de dados. Para obter mais informações,consulte Definição de preço do AWS CloudTrail.

• Configure alarmes do CloudWatch Logs para avisá-lo quando determinados eventos ocorrem. OCloudWatch Logs permite monitorar e receber alertas para eventos específicos capturados peloCloudTrail. Por exemplo, você pode monitorar eventos de gerenciamento relacionados a rede esegurança de chave, como eventos de login do console da AWS com falha (p. 165), chamadas deAPI que falharam devido a falhas de autorização (p. 167) ou alterações em instâncias do AmazonEC2 (p. 159). Para mais informações, consulte Monitorar arquivos de log CloudTrail com AmazonCloudWatch Logs (p. 131).

• Use ferramentas de análise para identificar tendências em seus logs do CloudTrail. Embora os filtrosno histórico de eventos possam ajudar você a localizar eventos ou tipos de evento específicos em suaatividade recente, isso não permite pesquisar atividade por longos períodos. Para uma análise maisprofunda e mais sofisticada, você pode usar o Amazon Athena. Para obter mais informações, consulteConsultar logs do AWS CloudTrail no Guia do usuário do Amazon Athena.

Versão 1.043

https://docs.aws.amazon.com/AmazonS3/latest/dev/security.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/walkthrough1.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html


https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html


https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html



AWS CloudTrail Guia do usuárioVisualizar eventos com o histórico de eventos CloudTrail

Trabalhar com o CloudTrailO CloudTrail é habilitado por padrão para a conta da AWS. Você pode usar o Event history (Históricode eventos) no console do CloudTrail para visualizar, pesquisar, fazer download, arquivar, analisar eresponder às atividades da conta em toda a infraestrutura da AWS. Isso inclui as atividades feitas por meiodo Console de gerenciamento da AWS, do AWS Command Line Interface e dos SDKs e APIs da AWS.

Para obter um registro contínuo de eventos em sua conta da AWS, crie uma trilha. Uma trilha permite queo CloudTrail forneça arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilhano console, ela é aplicada a todas as regiões da AWS. A trilha registra eventos de todas as regiões napartição da AWS e fornece os arquivos de log para o bucket do Amazon S3 que você especificar. Alémdisso, é possível configurar outros serviços da AWS para analisar mais profundamente e agir sobre osdados de evento coletados nos logs do CloudTrail.

Se você criou uma organização no AWS Organizations, pode criar uma trilha que registrará todos oseventos de todas as contas da AWS dela. Criar uma trilha da organização ajuda você a definir umaestratégia de registro de eventos uniforme para sua organização.

Tópicos• Visualizar eventos com o histórico de eventos CloudTrail (p. 44)• Visualizar eventos do CloudTrail Insights (p. 55)• Criar uma trilha para sua conta da AWS (p. 68)• Criar uma trilha para uma organização (p. 90)• Obter e visualizar seus arquivos de log do CloudTrail (p. 102)• Configuração de notificações do Amazon SNS para o CloudTrail (p. 105)• Controlar as permissões de usuários do CloudTrail (p. 106)• Dicas para gerenciar trilhas (p. 107)• Como usar AWS CloudTrail com VPC endpoints de interface (p. 110)

Visualizar eventos com o histórico de eventosCloudTrail

É possível resolver problemas operacionais e incidentes de segurança nos últimos 90 dias no consoleCloudTrail visualizando o Event history (Histórico de eventos). Você pode examinar eventos relacionados àcriação, à modificação ou à exclusão de recursos (como usuários IAM ou instâncias Amazon EC2) em suaconta AWS por região. Os eventos podem ser visualizados e o download pode ser feito usando o consoleAWS CloudTrail. Você pode personalizar a exibição do histórico de eventos no console selecionando quaiscolunas são exibidas e quais são ocultadas. Você pode examinar eventos programaticamente usando osSDKs AWS ou AWS Command Line Interface.

Note

Com o tempo, serviços da AWS podem adicionar eventos extras. O CloudTrail registrará esseseventos no Event history (Histórico de eventos), no entanto, o registro completo das atividadesque incluem os eventos adicionados só estará disponível 90 dias após eles serem adicionados.

Versão 1.044

AWS CloudTrail Guia do usuárioVisualizar eventos CloudTrail no console CloudTrail

Esta seção descreve como procurar eventos usando o console CloudTrail e AWS CLI. Ela tambémdescreve como fazer download de um arquivo de eventos. Para obter informações sobre como usar aAPI LookupEvents para recuperar informações de eventos CloudTrail, consulte AWS CloudTrail APIReference.

Para obter informações sobre como criar uma trilha para que você tenha um registro de eventos queestende até os últimos 90 dias, consulte Criar uma trilha (p. 69) e Obter e visualizar seus arquivos delog do CloudTrail (p. 102).

Tópicos• Visualizar eventos CloudTrail no console CloudTrail (p. 45)• Visualizar eventos CloudTrail com AWS CLI (p. 49)

Visualizar eventos CloudTrail no console CloudTrailVocê pode usar o console CloudTrail para visualizar os últimos 90 dias de eventos e de atividades deAPI registrados em uma região AWS. Você também pode fazer download de um arquivo com essasinformações, ou um subconjunto de informações com base no filtro e intervalo de tempo que escolher. Épossível personalizar sua visualização de Event history (Histórico de eventos) selecionando quais colunassão exibidas no console. Você também pode pesquisar e filtrar eventos pelos tipos de recursos disponíveispara um determinado serviço.

Após 90 dias, os eventos não são mais exibidos em Event history (Histórico de eventos). Você não podeexcluir manualmente eventos do Event history (Histórico de eventos). Ao criar uma trilha (p. 69), vocêpode visualizar eventos registrados em log na trilha, desde que os armazene no bucket do S3 configuradonas definições da trilha.

O registro CloudTrail varia entre os serviços AWS. Embora a maioria dos serviços AWS suportemo registro CloudTrail de todos os eventos, alguns serviços dão suporte ao registro de somente umsubconjunto de APIs e eventos, e alguns serviços não dão suporte. Você pode saber mais detalhes sobrecomo CloudTrail registra os eventos para um serviço específico consultando a documentação do serviçoem questão. Para mais informações, consulte CloudTrail Serviços compatíveis e integrações (p. 20).

Note

Para obter um registro contínuo de atividade e eventos, crie uma trilha (p. 69). Criar uma trilhatambém permite que você aproveite as seguintes integrações:

• Uma trilha permite registrar em log eventos do CloudTrail Insights, o que pode ajudara identificar e a responder a atividade incomum associada às chamadas da API degerenciamento de write. Para obter mais informações, consulte Registrar em log eventos doInsights para trilhas (p. 126).

• Analise a sua atividade de serviço AWS com consultas em Amazon Athena. Para obter maisinformações, consulte Criação de uma tabela para logs do CloudTrail no console do CloudTrailem Guia do usuário do Amazon Athena, ou simplesmente escolha a opção para criar umatabela diretamente do Event history (Histórico de eventos) no console do CloudTrail.

• Monitore os seus logs da trilha e receba notificações quando uma atividade específica ocorrercom Amazon CloudWatch Logs. Para mais informações, consulte Monitorar arquivos de logCloudTrail com Amazon CloudWatch Logs (p. 131).

Para visualizar eventos CloudTrail

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/home/.

Versão 1.045








2. No painel de navegação, selecione Event history (Histórico de eventos).

Uma lista filtrada de eventos é exibida no painel de conteúdo com o evento mais recente primeiro. Desçapara ver mais eventos.

A visualização padrão dos eventos em Event history (Histórico de eventos) tem um filtro aplicado para quenão sejam exibidos eventos somente leitura. Para remover esse filtro ou para aplicar outros filtros, altere asconfigurações de filtros. Para obter mais informações, consulte Filtragem de eventos CloudTrail (p. 46).

Sumário• Exibir eventos CloudTrail (p. 46)• Filtragem de eventos CloudTrail (p. 46)• Visualizar detalhes de um evento (p. 48)• Download de eventos (p. 48)• Visualizar recursos referenciados com AWS Config (p. 48)

Exibir eventos CloudTrailÉ possível personalizar a exibição de Event history (Histórico de eventos) selecionando quais colunasdevem ser exibidas no console do CloudTrail. Por padrão, as colunas a seguir são exibidas:

• Event time (Hora do evento)• User name (Nome de usuário)• Event name (Nome do evento)• Resource type (Tipo de recurso)• Resource name (Nome do recurso)

Note

Você não pode alterar a ordem das colunas ou excluir manualmente eventos do Event history(Histórico de eventos).

Para personalizar as colunas exibidas em Event history (Histórico de eventos)


2. No painel de navegação, selecione Event history (Histórico de eventos).3. Escolha o ícone de engrenagem.4. Em Show/Hide Columns (Mostrar/ocultar colunas), selecione as colunas que você deseja exibir. Limpe

as colunas que você não deseja exibir. Quando terminar, escolha Save (Salvar).

Filtragem de eventos CloudTrailA exibição padrão de eventos em Event history (Histórico de eventos) usa um filtro de atributo para excluireventos somente leitura da lista de eventos exibidos. Esse filtro de atributo é chamado de Read only(Somente leitura) e está definido como false (falso). É possível remover esse filtro para exibir tanto eventosde leitura, como de gravação. Se você quiser visualizar somente os eventos de leitura, poderá alterar ovalor do filtro para true (verdadeiro). Também é possível filtrar eventos por outros atributos. Além disso, épossível filtrar por intervalo de tempo.

Versão 1.046




Note

É possível aplicar somente um filtro de atributo e um filtro de intervalo de tempo. Não é possívelaplicar vários filtros de atributo.

Chave de acesso da AWS

O ID da chave de acesso da AWS que foi usada para assinar a solicitação. Se a solicitação foi feitacom credenciais de segurança temporárias, esse é o ID da chave de acesso delas.

ID do evento

O CloudTrail ID do evento. Cada evento tem um ID exclusivo.Nome do evento

O nome do evento. Por exemplo, você pode filtrar eventos IAM, como CreatePolicy, ou eventosAmazon EC2, como RunInstances.

Origem do evento

O serviço AWS para o qual a solicitação foi feita, como iam.amazonaws.com ous3.amazonaws.com. Você pode percorrer uma lista de fontes de eventos depois que selecionar ofiltro Origem do evento.

Somente leitura

O tipo de leitura do evento. Os eventos são categorizados como eventos de leitura ou eventos degravação. Se estiverem definidos como false (falso), eventos de leitura não serão incluídos na lista deeventos exibidos. Por padrão, esse filtro de atributo é aplicado e o valor é definido como false (falso).

Resource name (Nome do recurso)

O nome ou o ID do recurso ao qual o evento faz referência. Por exemplo, o nome do recurso pode ser"auto-scaling-test-group" para um grupo Auto Scaling ou "i-1234567" para uma instância do EC2.

Resource type (Tipo de recurso)

O tipo de recurso ao qual o evento faz referência. Por exemplo, um tipo de recurso pode serInstance para EC2 ou DBInstance para RDS. Os tipos de recursos variam para cada serviço AWS.

Intervalo

O período no qual você deseja filtrar eventos. Você pode filtrar os eventos dos últimos 90 dias.Nome de usuário

O identidade do usuário ao qual o evento faz referência. Por exemplo, isso pode ser um usuário doIAM, uma função do IAM ou uma função de serviço.

Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultadosestará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro deatributo diferente, o intervalo de tempo especificado será preservado.

As etapas a seguir descrevem como filtrar por atributo.

Para filtrar por atributo

1. Para filtrar os resultados por um atributo, escolha Select attribute (Selecionar atributo) e digite ouescolha um valor na caixa Enter lookup value (Inserir valor de pesquisa).

2. Para remover um filtro de atributo, selecione o X à direita da caixa de filtros de atributos.

As etapas a seguir descrevem como filtrar por data e hora de início e de término.

Versão 1.047


Para filtrar por data e hora de início e de término

1. Para limitar o período dos eventos que você deseja ver, escolha Select time range (Selecionarperíodo).

2. Para remover um filtro de período, selecione o ícone de calendário à direita da caixa Time range(Período) e escolha Remove (Remover).

Visualizar detalhes de um evento1. Escolha um evento na lista de resultados para mostrar os detalhes dele.2. Se o evento fez referência a mais de um recurso, os recursos adicionais são listados na parte inferior

do painel de detalhes.3. Alguns recursos referenciados têm links. Selecione o link para abrir o console para esse recurso.4. Escolha View Event (Visualizar evento) no painel de detalhes para visualizar o evento no formato

JSON.5. Selecione o evento novamente para fechar o painel de detalhes.

Download de eventosVocê pode fazer download do histórico de eventos registrados como um arquivo no formato JSON ou CSV.Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizer download.

Note

CloudTrail os arquivos do histórico de eventos são arquivos de dados contendo informações(como nomes de recursos) que podem ser configurados por usuários específicos. Alguns dadospodem ser interpretados como comandos em programas usados para ler e analisar esses dados(injeção de CSV). Por exemplo, quando os eventos CloudTrail são exportados para CSV eimportados para um programa de planilha, esse programa pode avisá-lo sobre problemas desegurança. Você deve optar por desabilitar esse conteúdo para manter o sistema seguro. Sempredesabilite links ou macros de arquivos do histórico de eventos obtidos por download.

1. Especifique o filtro e o intervalo de tempo para os eventos dos quais você deseja fazer download.Por exemplo, você pode especificar o nome do evento, StartInstances, e um período relativo aosúltimos três dias de atividade.

2.

Selecione e selecione Export to CSV (Exportar para CSV) ou Export to JSON (Exportarpara JSON). O download inicia imediatamente.

Note

O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos,antes de iniciar o processo de download, use um filtro específico ou um período mais curtopara restringir os resultados.

3. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.4. Para cancelar o download, escolha Cancel download (Cancelar download).

Visualizar recursos referenciados com AWS ConfigAWS Config registra os detalhes da configuração, de relacionamentos e de alterações em seus recursosAWS.

Versão 1.048

AWS CloudTrail Guia do usuárioVisualizar eventos CloudTrail com AWS CLI

No painel Recursos referenciados, selecione na coluna Config. linha do tempo para visualizar orecurso no console AWS Config.

Se o ícone estiver cinza, AWS Config não está ativado ou não está registrando o tipo de recurso.Selecione o ícone para acessar o console AWS Config para ativar o serviço ou iniciar a gravação dessetipo de recurso. Para obter mais informações, consulte Configuração do AWS Config usando o console emAWS Config Developer Guide.

Se Link not available (Link não disponível) for exibido na coluna, o recurso não poderá ser visualizado porum dos seguintes motivos:

• AWS Config não oferece suporte ao tipo de recurso. Para obter mais informações, consulte Recursoscom suporte, itens de configuração e relacionamentos no AWS Config Developer Guide.

• Recentemente, AWS Config adicionou suporte para o tipo de recurso, mas ele ainda não está disponívelno console CloudTrail. Você pode procurar o recurso no console AWS Config para ver o cronograma dorecurso.

• O recurso é de propriedade de outra conta AWS.• O recurso é de propriedade de outro serviço AWS, como uma política gerenciada IAM.• O recurso foi criado e excluído imediatamente.• O recurso foi criado ou atualizado recentemente.

Example

1. Você configura AWS Config para registrar recursos IAM.2. Você cria um usuário IAM, Pedro-usuário. A página Event history (Histórico de eventos) mostra o

evento CreateUser e Pedro-usuário como um recurso IAM. Você pode selecionar o ícone AWSConfig para visualizar esse recurso IAM no cronograma AWS Config.

3. Você atualiza o nome do usuário para Pedro-administrador.4. A página do Histórico de eventos mostra o evento UpdateUser e Pedro-administrador como o

recurso IAM atualizado.5. Você pode selecionar o ícone para visualizar o recurso IAM Pedro-administrador no cronograma. No

entanto, você não pode selecionar o ícone de Pedro-usuário porque o nome do recurso mudou. AWSConfig agora está registrando o recurso atualizado.

Para conceder aos usuários permissão somente para leitura a fim de visualizar os recursos no consoleAWS Config, consulte Conceder permissão para visualizar informações do AWS Config no console doCloudTrail (p. 243).

Para obter mais informações sobre AWS Config, consulte AWS Config Developer Guide.

Visualizar eventos CloudTrail com AWS CLIVocê pode pesquisar eventos CloudTrail dos últimos 90 dias usando o comando aws cloudtrail lookup-events. lookup-events tem as seguintes opções:

• --max-results

• --start-time

• --lookup-attributes

• --next-token

• --generate-cli-skeleton

Versão 1.049

https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html

https://docs.aws.amazon.com/config/latest/developerguide/


• --cli-input-json

Essas opções são explicadas neste tópico. Para obter informações gerais sobre como usar a interface delinha de comando da AWS, consulte o Guia do usuário do AWS Command Line Interface.

Sumário• Pré-requisitos (p. 50)• Receber ajuda da linha de comando (p. 50)• Procurar eventos (p. 50)• Especificar o número de eventos a serem retornados (p. 51)• Procurar eventos por período (p. 51)

• Formatos <timestamp> válidos (p. 52)• Procurar eventos por atributo (p. 52)

• Exemplos de consulta de atributo (p. 52)• Especificar a próxima página de resultados (p. 53)• Obter entrada JSON de um arquivo (p. 54)• Campos de resultados de pesquisa (p. 55)

Pré-requisitos• Para executar comandos AWS CLI, é necessário instalar AWS CLI. Para obter informações, consulte

Instalar a interface de linha de comando da AWS.• Certifique-se de que a sua versão AWS CLI seja posterior à 1.6.6. Para verificar a versão da CLI,

execute aws --version na linha de comando.• Para definir a conta, a região e o formato de saída padrão de uma sessão AWS CLI, use o comando aws

configure. Para obter mais informações, consulte Configurar a interface de linha de comando da AWS.

Note

Os comandos CloudTrail AWS CLI diferenciam maiúsculas e minúsculas.

Receber ajuda da linha de comandoPara ver a ajuda da linha de comando para lookup-events, digite o seguinte comando:

aws cloudtrail lookup-events help

Procurar eventosPara ver os 10 eventos mais recentes, digite o seguinte comando:

aws cloudtrail lookup-events

Um evento retornado tem aparência semelhante ao seguinte exemplo fictício, que foi formatado paramelhorar a fluência:

{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=",

Versão 1.050


https://docs.aws.amazon.com/cli/latest/userguide/installing.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html


"Events": [ { "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", "Username": "root", "EventTime": 1424476529.0, "CloudTrailEvent": "{ \"eventVersion\":\"1.02\", \"userIdentity\":{ \"type\":\"Root\", \"principalId\":\"111122223333\", \"arn\":\"arn:aws:iam::111122223333:root\", \"accountId\":\"111122223333\"}, \"eventTime\":\"2015-02-20T23:55:29Z\", \"eventSource\":\"signin.amazonaws.com\", \"eventName\":\"ConsoleLogin\", \"awsRegion\":\"us-east-2\", \"sourceIPAddress\":\"203.0.113.4\", \"userAgent\":\"Mozilla/5.0\", \"requestParameters\":null, \"responseElements\":{\"ConsoleLogin\":\"Success\"}, \"additionalEventData\":{ \"MobileVersion\":\"No\", \"LoginTo\":\"https://console.aws.amazon.com/console/home", \"MFAUsed\":\"No\"}, \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\", \"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"111122223333\"}", "EventName": "ConsoleLogin", "Resources": [] } ]}

Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte a seção Camposde resultados de pesquisa (p. 55) mais adiante neste documento. Para ver uma explicação dos camposno evento CloudTrail, consulte Conteúdo do registro do CloudTrail (p. 273).

Especificar o número de eventos a serem retornadosPara especificar o número de eventos a serem retornados, digite o seguinte comando:

aws cloudtrail lookup-events --max-results <integer>

O valor padrão para <integer> é 10. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna umresultado.

aws cloudtrail lookup-events --max-results 1

Procurar eventos por períodoOs eventos dos últimos 90 dias estão disponíveis para pesquisa. Para especificar um período, digite oseguinte comando:

aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp> especifica que apenas os eventos ocorridos no horário especificado oudepois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro seráretornado.

Versão 1.051


--end-time <timestamp> especifica que apenas os eventos ocorridos no horário especificado ouantes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro seráretornado.

O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. Ohorário de término padrão é o horário do evento ocorrido mais próximo do horário atual.

Formatos <timestamp> válidosOs atributos --start-time e --end-time usam valores de tempo do UNIX ou equivalentes válidos.

Veja a seguir exemplos de formatos válidos. Os valores de data, mês e ano podem ser separados porhífens ou barras. Se houver espaços, é necessário usar aspas duplas.

14223177821422317782.001-27-201501-27-2015,01:16PM"01-27-2015, 01:16 PM""01/27/2015, 13:16"2015-01-27"2015-01-27, 01:16 PM"

Procurar eventos por atributoPara filtrar por um atributo, digite o seguinte comando:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

Você pode especificar apenas um par de chave/valor de atributo para cada comando lookup-events. Veja aseguir valores de AttributeKey. Os nomes dos valores diferenciam maiúsculas de minúsculas.

• AccessKeyId• EventId• EventName• EventSource• ReadOnly• ResourceName• ResourceType• Nome de usuário

Exemplos de consulta de atributoO exemplo de comando a seguir retorna os eventos nos quais o valor de AccessKeyId éAKIAIOSFODNN7EXAMPLE.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE

O exemplo de comando a seguir retorna o evento do CloudTrail EventId especificado.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

Versão 1.052


O exemplo de comando a seguir retorna os eventos nos quais o valor de EventName é RunInstances.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances

O exemplo de comando a seguir retorna os eventos nos quais o valor de EventSource éiam.amazonaws.com.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com

O comando de exemplo a seguir retorna eventos de gravação. Ele exclui eventos de leitura, comoGetBucketLocation e DescribeStream.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false

O exemplo de comando a seguir retorna os eventos nos quais o valor de ResourceName éCloudTrail_CloudWatchLogs_Role.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role

O exemplo de comando a seguir retorna os eventos nos quais o valor de ResourceType éAWS::S3::Bucket.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket

O exemplo de comando a seguir retorna os eventos nos quais o valor de Username é root.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

Especificar a próxima página de resultadosPara obter a próxima página de resultados de um comando lookup-events, digite o seguinte comando:

aws cloudtrail lookup-events <same parameters as previous command> --next-token=<token>

em que o valor do <token> é obtido a partir do primeiro campo de resultados do comando anterior.

Quando você usa --next-token em um comando, precisa usar os mesmos parâmetros do comandoanterior. Por exemplo, imagine que você executou o seguinte comando:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

Para obter a próxima página de resultados, seu próximo comando teria esta aparência:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=

Versão 1.053


Obter entrada JSON de um arquivoAWS CLI para alguns serviços AWS tem dois parâmetros, --generate-cli-skeleton e --cli-input-json, que você pode usar para gerar um modelo JSON que você pode modificar e usar comoentrada para o parâmetro --cli-input-json. Esta seção descreve como usar esses parâmetros comaws cloudtrail lookup-events. Para obter mais informações gerais, consulte Gerar esqueleto daCLI e parâmetros JSON de entrada da CLI.

Para pesquisar os eventos CloudTrail obtendo a entrada JSON de um arquivo

1. Crie um modelo de entrada para uso com lookup-events redirecionando os resultados --generate-cli-skeleton para um arquivo, como no exemplo a seguir.

aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt

O arquivo de modelo gerado (neste caso, LookupEvents.txt) tem esta aparência:

{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": ""}

2. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisaconter apenas os valores especificados.

Important

Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele sejausado.

O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.

{ "StartTime": "2015-01-01", "EndTime": "2015-01-27", "MaxResults": 2}

3. Para usar o arquivo editado como entrada, use a sintaxe --cli-input-jsonfile://<filename>, como no exemplo a seguir:

aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt

Note

Você pode usar outros argumentos na mesma linha de comando como --cli-input-json.Versão 1.0

54

https://docs.aws.amazon.com/cli/latest/userguide/generate-cli-skeleton.html


AWS CloudTrail Guia do usuárioVisualizar eventos do CloudTrail Insights

Campos de resultados de pesquisaEventos

Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foramespecificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cadaentrada contém informações sobre a solicitação de pesquisa e inclui uma representação de string doevento CloudTrail que foi recuperado.

As seguintes entradas descrevem os campos de cada evento de pesquisa.CloudTrailEvent

Uma string JSON que contém uma representação do objeto do evento retornado. Para obterinformações sobre cada um dos elementos retornados, consulte Conteúdo do corpo do registro.

EventId

Uma string que contém a GUID do evento retornado.EventName

Uma string que contém o nome do evento retornado.EventSource

O serviço AWS para o qual a solicitação foi feita.EventTime

A data e a hora, em formato de horário do UNIX, do evento.Recursos

Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especificaum tipo e um nome do recurso.

ResourceName

Uma string que contém o nome do recurso referenciado pelo evento.ResourceType

Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso nãopode ser determinado, null é retornado.

Nome de usuário

Uma string que contém o nome do usuário da conta do evento retornado.NextToken

Uma string para obter a próxima página de resultados de um comando lookup-events anterior.Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entradaNextToken aparecer nos resultados, significa que não há mais resultados a serem retornados.

Visualizar eventos do CloudTrail InsightsApós ativar o CloudTrail Insights em uma trilha, é possível visualizar até 90 dias de Insights events usandoo console do CloudTrail ou a AWS CLI. Esta seção descreve como visualizar, pesquisar e fazer downloadde um arquivo de Insights events. Para obter informações sobre como usar a API LookupEventspara recuperar informações de eventos do CloudTrail, consulte o AWS CloudTrail API Reference. Para

Versão 1.055

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html


AWS CloudTrail Guia do usuárioVisualizar eventos do CloudTrailInsights no console do CloudTrail

obter mais informações sobre o CloudTrail Insights, consulte Registrar em log eventos do Insights paratrilhas (p. 126) neste guia.

Para obter informações sobre como criar uma trilha para que você tenha um registro de eventos que seestenda após os 90 dias, consulte Criar uma trilha (p. 69) e Obter e visualizar seus arquivos de log doCloudTrail (p. 102).

Tópicos• Visualizar eventos do CloudTrail Insights no console do CloudTrail (p. 56)• Visualizar eventos do CloudTrail Insights com a AWS CLI (p. 62)

Visualizar eventos do CloudTrail Insights no consoledo CloudTrailApós ativar os eventos do CloudTrail Insights em uma trilha, quando o CloudTrail detectar atividade deAPI de gerenciamento de gravação incomum, o CloudTrail gerará Insights events e eles serão exibidosnas páginas Dashboard (Painel) e Insights no Console de gerenciamento da AWS. É possível visualizaros Insights events no console e solucionar problemas da atividade incomum. Os últimos 90 dias dosInsights events são mostrados no console. Também é possível fazer download dos Insights events usandoo console do AWS CloudTrail. Você pode examinar eventos programaticamente usando os SDKs AWSou AWS Command Line Interface. Para obter mais informações sobre os eventos do CloudTrail Insights,consulte Registrar em log eventos do Insights para trilhas (p. 126).

Depois que os eventos do Insights forem registrados em log, eles serão exibidos na página Insights por90 dias. Não é possível excluir manualmente os eventos na página Insights. Como é necessário criar umatrilha (p. 69) antes de ativar o CloudTrail Insights, será possível visualizar os Insights events registradosem log na trilha, desde que os armazene no bucket do S3 definido nas configurações da trilha.

Monitore os logs da trilha e receba notificações quando uma atividade específica de Insights eventsocorrer com o Amazon CloudWatch Logs. Para obter mais informações, consulte Monitorar arquivos de logCloudTrail com Amazon CloudWatch Logs (p. 131).

Como visualizar Insights events

Os eventos do CloudTrail Insights devem estar ativados na trilha para ver Insights events no console.Aguarde até 36 horas para que o CloudTrail entregue os primeiros Insights events, caso seja detectadaatividade incomum.


2. No painel de navegação, selecione Dashboard (Painel) para ver os cinco últimos Insights events, ouInsights para ver todos os Insights events registrados em log na conta nos últimos 90 dias.

Na página Insights, é possível filtrar Insights events por critérios, incluindo a origem da API do evento,o nome do evento e o ID do evento, além de limitar os eventos exibidos aos que ocorrem em umintervalo de tempo específico. Para obter mais informações sobre a filtragem de Insights events,consulte Filtrar eventos do Insights (p. 57).

Sumário• Filtrar eventos do Insights (p. 57)• Visualizar detalhes de um evento do Insights (p. 48)• Zoom, panorâmica e download do gráfico (p. 59)• Alterar as configurações de intervalo de tempo do gráfico (p. 60)• Fazer download de eventos do Insights (p. 61)

Versão 1.056




Filtrar eventos do InsightsA exibição padrão de eventos em Insights mostra eventos em ordem cronológica inversa. Os Insightsevents mais recentes, classificados por hora de início do evento, estão no topo. A lista a seguir descreveos atributos disponíveis.

Nome do evento

O nome do evento, normalmente a API da AWS em que níveis incomuns de atividade foramregistrados.

Origem do evento

O serviço AWS para o qual a solicitação foi feita, como iam.amazonaws.com ous3.amazonaws.com. Você pode percorrer uma lista de fontes de eventos depois que selecionar ofiltro Origem do evento.

ID do evento

O ID de evento do Insights. Os IDs de evento não são mostrados na tabela da página Insights, masestão em um atributo no qual é possível filtrar Insights events. Os IDs de evento de gerenciamentoque são analisados para gerar Insights events são diferente dos IDs de evento de Insights events.

Horário de início

A hora de início do evento do Insights, medida como o primeiro minuto em que a atividade de APIincomum foi registrada.

Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultadosestará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro deatributo diferente, o intervalo de tempo especificado será preservado.

As etapas a seguir descrevem como filtrar por atributo.

Para filtrar por atributo

1. Para filtrar os resultados por um atributo, escolha Select attribute (Selecionar atributo) e digite ouescolha um valor na caixa Enter lookup value (Inserir valor de pesquisa).

2. Para remover um filtro de atributo, selecione o X à direita da caixa de filtros de atributos.

As etapas a seguir descrevem como filtrar por data e hora de início e de término.

Para filtrar por data e hora de início e de término

1. Para limitar o período dos eventos que você deseja ver, escolha Select time range (Selecionarperíodo).

2. Em From (De), escolha o dia e especifique a hora que deseja ser o início do intervalo de tempo.3. Em To (Até), escolha o dia e especifique a hora que deseja ser o fim do intervalo de tempo. Escolha

Apply (Aplicar).4. Para remover um filtro de período, selecione o ícone de calendário à direita da caixa Time range

(Período) e escolha Remove (Remover).

Visualizar detalhes de um evento do Insights1. Escolha um evento do Insights na lista de resultados para mostrar os detalhes dele. A página de

detalhes de um evento do Insights mostra um gráfico da linha do tempo da atividade incomum.

Versão 1.057


2. Passe o mouse sobre as faixas destacadas para mostrar estatísticas sobre cada evento do Insights nográfico.

As informações a seguir são exibidas quando você passa o mouse em um evento do Insights nográfico:

Versão 1.058


• Estatísticas• Média da linha de base – a taxa típica de chamadas por minuto dessa API, conforme medida na

semana anterior, em uma região específica da sua conta.• Média do Insights – a taxa de chamadas por minuto para essa API que acionou o evento do

Insights. A média do CloudTrail Insights para o evento de início é a taxa de chamadas por minutopara a API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividadeincomum. A média do Insights para o evento de término é a taxa de chamadas de API por minutosobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insightsde término.

• Detalhes sobre o evento do Insights• Hora de início do evento -– o minuto durante o qual a atividade incomum foi registrada pela

primeira vez.• Hora de término do evento – o minuto durante o qual a atividade incomum foi registrada pela

última vez.3. Expanda Insights event record (Registro de evento do Insights) no painel de detalhes para visualizar o

evento do Insights no formato JSON.4. Na guia CloudTrail events (Eventos do CloudTrail), visualize eventos relacionados que o CloudTrail

analisou para determinar que ocorreu uma atividade incomum. Observe que um filtro já está aplicadoao nome do evento do Insights, que também é o nome da API relacionada. A guia CloudTrail events(Eventos doCloudTrail) mostra eventos de gerenciamento do CloudTrail relacionados à API deassunto que ocorreu entre a hora de início (menos um minuto) e a hora de término (mais um minuto)do evento do Insights.

À medida que você seleciona outros eventos do Insights no gráfico, os eventos mostrados na tabelaCloudTrail events (Eventos do CloudTrail) mudam. Esses eventos ajudam a executar uma análisemais profunda para determinar a provável causa de um evento do Insights e os motivos da atividadede API incomum.

5. No painel da esquerda da página de detalhes, selecionar a Event source (Origem do evento)vinculada retorna a página Insights, filtrada por essa origem do evento.

6. Para remover o filtro e visualizar todos os eventos do CloudTrail, não somente os eventosrelacionados à API de assunto do evento do Insights, selecione X na caixa Enter lookup value (Inserirvalor de pesquisa).

Zoom, panorâmica e download do gráficoÉ possível aplicar zoom, panorâmica e reiniciar os eixos do gráfico na página de detalhes do evento doInsights usando uma barra de ferramentas no canto direito superior.

Da esquerda para a direita, os botões de comando na barra de ferramentas do gráfico fazem o seguinte:

• Download plot as a PNG (Fazer download do gráfico como PNG) – faça download da imagem do gráficomostrada na página de detalhes, e salve-a no formato PNG.

• Zoom – arraste para selecionar uma área no gráfico que você deseja ampliar e ver com mais detalhes.• Pan (Panorâmica) – desloque o gráfico para ver datas ou horas adjacentes.• Reset axes (Redefinir eixos) – altere os eixos do gráfico de volta aos originais, limpando as

configurações de zoom e panorâmica.

Versão 1.059


Alterar as configurações de intervalo de tempo do gráficoÉ possível alterar o intervalo de tempo — a duração selecionada dos eventos mostrada no eixo x — que éexibida no gráfico escolhendo uma configuração no canto superior direito do gráfico. O intervalo de tempopadrão mostrado no gráfico depende da duração do evento do Insights selecionado.

Duração do evento do Insights Intervalo de tempo padrão

Menos de 4 horas 3h (três horas)

Entre 4 e 12 horas 12h(12 horas)

Entre 12 e 24 horas 1d (um dia)

Entre 24 e 72 horas 3d (três dias)

Mais de 72 horas 1w (uma semana)

É possível escolher uma hora, 12 horas, um dia, três dias, uma semana ou custom (personalizado). Aimagem a seguir mostra períodos de Relative (Relativo) que podem ser escolhidos nas configurações decustom (personalizado). Períodos relativos são períodos aproximados do início e do término do evento doInsights selecionado exibido em uma página de detalhes do evento do Insights.

Para especificar um intervalo de tempo e uma data exatos, selecione a guia Absolute (Absoluto).

Versão 1.060


Fazer download de eventos do InsightsÉ possível fazer download do histórico de eventos registrados do Insights como um arquivo no formatoCSV ou JSON. Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizerdownload.

Note

CloudTrail os arquivos do histórico de eventos são arquivos de dados contendo informações(como nomes de recursos) que podem ser configurados por usuários específicos. Alguns dadospodem ser interpretados como comandos em programas usados para ler e analisar esses dados(injeção de CSV). Por exemplo, quando os eventos CloudTrail são exportados para CSV eimportados para um programa de planilha, esse programa pode avisá-lo sobre problemas desegurança. Como melhor prática de segurança, desative links ou macros de arquivos do históricode eventos obtidos por download.

1. Especifique o filtro e o intervalo de tempo para os eventos dos quais você deseja fazer download.Por exemplo, você pode especificar o nome do evento, StartInstances, e um período relativo aosúltimos três dias de atividade.

2.

Selecione e Download CSV (Fazer download em CSV) ou Download JSON (Fazerdownload em JSON). O download inicia imediatamente.

Versão 1.061

AWS CloudTrail Guia do usuárioVisualizar eventos do CloudTrail Insights com a AWS CLI

Note

O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos,antes de iniciar o processo de download, use um filtro específico ou um período mais curtopara restringir os resultados.

3. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.4. Para cancelar o download, escolha Cancel download (Cancelar download).

Visualizar eventos do CloudTrail Insights com a AWSCLIÉ possível pesquisar eventos do CloudTrail Insights dos últimos 90 dias executando o comando awscloudtrail lookup-events. lookup-events tem as seguintes opções:

• --end-time

• --event-category

• --max-results

• --start-time

• --lookup-attributes

• --next-token

• --generate-cli-skeleton

• --cli-input-json

Essas opções são explicadas neste tópico. Para obter informações gerais sobre como usar a AWSCommand Line Interface, consulte o Guia do usuário do AWS Command Line Interface.

Sumário• Pré-requisitos (p. 62)• Obter ajuda da linha de comando (p. 63)• Procurar eventos do Insights (p. 63)• Especificar o número de eventos do Insights que devem ser retornados (p. 64)• Procurar eventos do Insights por intervalo de tempo (p. 64)

• Formatos de <timestamp> válidos (p. 65)• Procurar eventos do Insights por atributo (p. 65)

• Exemplos de consulta de atributo (p. 65)• Especificar a próxima página de resultados (p. 65)• Obter entrada JSON de um arquivo (p. 66)• Campos de resultados de pesquisa (p. 67)

Pré-requisitos• Para executar comandos AWS CLI, é necessário instalar AWS CLI. Para obter mais informações,

consulte Instalação da interface de linha de comando da AWS.• Certifique-se de que a sua versão AWS CLI seja posterior à 1.6.6. Para verificar a versão da CLI,

execute aws --version na linha de comando.

Versão 1.062


https://docs.aws.amazon.com/cli/latest/userguide/installing.html


• Para definir a conta, a região e o formato de saída padrão de uma sessão da AWS CLI, use o comandoaws configure. Para obter mais informações, consulte Configurar a interface de linha de comando daAWS.

Note

Os comandos CloudTrail AWS CLI diferenciam maiúsculas e minúsculas.

Obter ajuda da linha de comandoPara ver a ajuda da linha de comando para lookup-events, digite o comando a seguir.

aws cloudtrail lookup-events help

Procurar eventos do InsightsPara ver os dez últimos Insights events, digite o comando a seguir.

aws cloudtrail lookup-events --event-category insight

Um evento retornado tem aparência semelhante ao exemplo fictício a seguir, que foi formatado paramelhorar a legibilidade.

{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "PutLifecycleHook", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0017857143 }, "insight": { "average": 4 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight",

Versão 1.063




"recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "PutLifecycleHook", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0017857143 }, "insight": { "average": 4 }, "insightDuration": 1 } } }, "eventCategory": "Insight" } ]}

Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte a seção Camposde resultados de pesquisa (p. 67) mais adiante neste documento. Para ver uma explicação sobre oseventos do Insights, consulte Conteúdo do registro do CloudTrail (p. 273).

Especificar o número de eventos do Insights que devem serretornadosPara especificar o número de eventos que devem ser retornados, digite o comando a seguir.

aws cloudtrail lookup-events --event-category insight --max-results <integer>

O valor padrão para <integer>, se ele não for especificado, será 10. Os valores possíveis são de 1 a 50.O exemplo a seguir retorna um resultado.

aws cloudtrail lookup-events --event-category insight --max-results 1

Procurar eventos do Insights por intervalo de tempoInsights events dos últimos 90 dias estão disponíveis para pesquisa. Para especificar um intervalo detempo, digite o comando a seguir.

aws cloudtrail lookup-events --event-category insight --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp> especifica que apenas os Insights events ocorridos no horárioespecificado ou depois dele devem ser retornados. Se o horário de início especificado for posterior ao detérmino, um erro será retornado.

--end-time <timestamp> especifica que apenas os Insights events ocorridos no horário especificadoou antes dele devem ser retornados. Se o horário de término especificado for anterior ao de início, um erroserá retornado.

O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. Ohorário de término padrão é o horário do evento ocorrido mais próximo do horário atual.

Versão 1.064


Formatos de <timestamp> válidos

Os atributos --start-time e --end-time usam valores de tempo do UNIX ou equivalentes válidos.

Veja a seguir exemplos de formatos válidos. Os valores de data, mês e ano podem ser separados porhífens ou barras. Se houver espaços, é necessário usar aspas duplas.

14223177821422317782.001-27-201501-27-2015,01:16PM"01-27-2015, 01:16 PM""01/27/2015, 13:16"2015-01-27"2015-01-27, 01:16 PM"

Procurar eventos do Insights por atributoPara filtrar por um atributo, digite o comando a seguir.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

É possível especificar somente um par de chave-valor do atributo para cada comando lookup-events. Vejaa seguir os valores de evento do Insights válidos para AttributeKey. Os nomes dos valores diferenciammaiúsculas de minúsculas.

• EventId• EventName• EventSource

Exemplos de consulta de atributo

O exemplo de comando a seguir retorna Insights events nos quais o valor de EventName é PutRule.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

O exemplo de comando a seguir retorna Insights events nos quais o valor de EventId éb5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

O exemplo de comando a seguir retorna Insights events nos quais o valor de EventSource éiam.amazonaws.com.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com

Especificar a próxima página de resultadosPara obter a próxima página de resultados de um comando lookup-events, digite o comando a seguir.

Versão 1.065


aws cloudtrail lookup-events --event-category insight <same parameters as previous command> --next-token=<token>

Neste comando, o valor de <token> é obtido do primeiro campo da saída do comando anterior.

Quando você usa --next-token em um comando, precisa usar os mesmos parâmetros do comandoanterior. Por exemplo, suponha que você tenha executado o comando a seguir.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=

Obter entrada JSON de um arquivoA AWS CLI para alguns serviços da AWS tem dois parâmetros, --generate-cli-skeleton e --cli-input-json, que podem ser usados para gerar um modelo JSON, o qual pode ser modificado e usadocomo entrada para o parâmetro --cli-input-json. Esta seção descreve como usar esses parâmetroscom aws cloudtrail lookup-events. Para obter mais informações, consulte Gerar esqueleto da CLIe parâmetros JSON de entrada da CLI.

Para pesquisar Insights events obtendo a entrada JSON de um arquivo

1. Crie um modelo de entrada para uso com lookup-events redirecionando os resultados --generate-cli-skeleton para um arquivo, como no exemplo a seguir.

aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt

O arquivo de modelo gerado (neste caso, LookupEvents.txt) parece com o indicado a seguir.

{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": ""}

2. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisaconter apenas os valores especificados.

Important

Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele sejausado.

O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.

Versão 1.066




{ "StartTime": "2015-01-01", "EndTime": "2015-01-27", "MaxResults": 2}

3. Para usar o arquivo editado como entrada, use a sintaxe --cli-input-jsonfile://<filename>, como no exemplo a seguir.

aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt

Note

É possível usar outros argumentos na mesma linha de comando como --cli-input-json.

Campos de resultados de pesquisaEventos

Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foramespecificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cadaentrada contém informações sobre a solicitação de pesquisa e inclui uma representação de string doevento CloudTrail que foi recuperado.

As seguintes entradas descrevem os campos de cada evento de pesquisa.CloudTrailEvent

Uma string JSON que contém uma representação do objeto do evento retornado. Para obterinformações sobre cada um dos elementos retornados, consulte Conteúdo do corpo do registro.

EventId

Uma string que contém a GUID do evento retornado.EventName

Uma string que contém o nome do evento retornado.EventSource

O serviço AWS para o qual a solicitação foi feita.EventTime

A data e a hora, em formato de horário do UNIX, do evento.Recursos

Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especificaum tipo e um nome do recurso.

ResourceName

Uma string que contém o nome do recurso referenciado pelo evento.ResourceType

Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso nãopode ser determinado, null é retornado.

Versão 1.067

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html

AWS CloudTrail Guia do usuárioCriar uma trilha para sua conta da AWS

Nome de usuário

Uma string que contém o nome do usuário da conta do evento retornado.NextToken

Uma string para obter a próxima página de resultados de um comando lookup-events anterior.Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entradaNextToken aparecer nos resultados, significa que não há mais resultados a serem retornados.

Para obter mais informações sobre os eventos do CloudTrail Insights, consulte Registrar em log eventosdo Insights para trilhas (p. 126).

Criar uma trilha para sua conta da AWSAo criar uma trilha, você habilita o fornecimento contínuo de eventos como arquivos de log para um bucketdo Amazon S3 especificado. Há muitos benefícios na criação de uma trilha, incluindo:

• Um registro de eventos que abrange mais de 90 dias.• A opção de monitoramento e alarmes automáticos sobre eventos especificados ao enviar eventos de log

ao Amazon CloudWatch Logs.• A opção de consultar logs e analisar a atividade de serviços da AWS com o Amazon Athena.


Se você usa o AWS Organizations, pode criar uma trilha que registrará os eventos de todas as contas daAWS da organização. Uma trilha com o mesmo nome será criada em cada conta-membro, e eventos decada trilha serão fornecidos ao bucket do Amazon S3 que você especificar.

Note

Somente a conta mestra de uma organização pode criar uma trilha para a organização. Acriação de uma trilha para uma organização habilita automaticamente a integração entre oCloudTrail e o Organizações. Para obter mais informações, consulte Criar uma trilha para umaorganização (p. 90).

Você pode definir as seguintes configurações ao criar ou atualizar uma trilha com o console do CloudTrailou o AWS Command Line Interface (AWS CLI). Os dois métodos seguem as mesmas etapas:

1. Crie uma trilha. Por padrão, quando você cria uma trilha em uma região no console do CloudTrail, ela éaplicada a todas as regiões.

2. Crie um bucket do Amazon S3 ou especifique um bucket existente ao qual você deseja que osarquivos de log sejam fornecidos. Por padrão, os arquivos de log de todas as regiões da sua conta sãofornecidos ao bucket que você especificar.

3. Configure a trilha para registrar em log eventos somente leitura, somente gravação ou todos os eventosde gerenciamento, todos os Insights events e todos ou um subconjunto de eventos de dados. Porpadrão, as trilhas registram em log todos os eventos de gerenciamento e nenhum evento de dados ouInsights events.

4. Crie um tópico do Amazon SNS para receber notificações quando os arquivos de log forem fornecidos.As notificações de fornecimento de todas as regiões são enviadas ao tópico que você especificar.

Versão 1.068

AWS CloudTrail Guia do usuárioCriar e atualizar uma trilha com o console

5. Configure o CloudWatch Logs para receber seus logs do CloudTrail, de modo que você possa monitorareventos de log específicos.

6. Altere o método de criptografia para os arquivos de log da criptografia no lado do servidor com aschaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) para a criptografia no lado do servidorcom as chaves gerenciadas pelo AWS KMS (SSE-KMS).

7. Ative a validação da integridade dos arquivos de log. Isso permite o fornecimento de arquivos deresumo que você pode usar para validar a integridade dos arquivos de log depois que o CloudTrail osfornecer.

8. Adicione tags (pares de chave-valor personalizados) à sua trilha.

Tópicos• Criar e atualizar uma trilha com o console (p. 69)• Criar, atualizar e gerenciar trilhas com a AWS Command Line Interface (p. 76)

Criar e atualizar uma trilha com o consoleVocê pode criar, atualizar ou excluir trilhas com o console do CloudTrail. Você pode criar até cinco trilhaspara cada região. Assim que você cria uma trilha, o CloudTrail inicia automaticamente o registro dechamadas de API e eventos relacionados na sua conta para o bucket do Amazon S3 especificado porvocê. Para interromper o registro, você pode desativá-lo para a trilha ou excluí-lo.

A criação e a atualização de trilhas no console do CloudTrail indisponibiliza vários recursos ao criar umatrilha usando a AWS CLI. Por exemplo, se você estiver configurando uma trilha para registrar eventos dedados para buckets do Amazon S3 ou funções do AWS Lambda em sua conta da AWS, pode visualizaruma lista desses recursos ao criar a trilha na experiência do console. Se esta for a primeira vez que vocêcria uma trilha, fazer isso usando o console ajudará você a entender os recursos e as opções disponíveispara a trilha.

Para obter informações específicas para a criação de uma trilha da organização no AWS Organizations,consulte Criar uma trilha para uma organização (p. 90).

Tópicos• Criar uma trilha (p. 69)• Atualizar uma trilha (p. 74)• Excluir uma trilha (p. 75)• Desativar o registro de uma trilha (p. 76)

Criar uma trilhaSiga o procedimento para criar uma trilha que se aplica a todas as regiões. Uma trilha que se aplica atodas as regiões fornece arquivos de log de todas as regiões a um bucket do S3. Depois que você cria atrilha, o CloudTrail começa a registrar automaticamente os eventos que você especificou.

Note

Depois de criar uma trilha, configure outros serviços da AWS para analisar e atuar de formamais profunda sobre os dados de evento coletados nos logs do CloudTrail. Para obter maisinformações, consulte CloudTrail Serviços compatíveis e integrações (p. 20).

Sumário• Criar uma trilha no console (p. 70)• Definir configurações avançadas para a trilha (p. 72)• Próximas etapas (p. 74)

Versão 1.069


Criar uma trilha no console

Você pode configurar a trilha para:

• Especifique se você deseja que a trilha seja aplicada a todas as regiões ou a uma única região.• Especifique um bucket do Amazon S3 para receber os arquivos de log.• Para o gerenciamento e os eventos de dados, especifique se você deseja registrar eventos somente

leitura, somente gravação ou todos os eventos.

Para criar uma trilha do CloudTrail com a Console de gerenciamento da AWS

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

2. Escolha a região da AWS em que você deseja que a trilha seja criada.3. Escolha Get Started Now.

Tip

Se você não vir Get Started Now (Comece agora), escolha Trails (Trilhas) e Criar trilha(Create trail).

4. Na página Create Trail (Criar trilha), em Trail name (Nome da trilha), digite um nome para a sua trilha.Para obter mais informações, consulte Requisitos de nomenclatura de trilhas do CloudTrail (p. 109).

5. Em Apply trail to all regions (Aplicar a todas as regiões), escolha Yes (Sim) para receber os arquivosde log de todas as regiões. Essa é a configuração padrão recomendada. Se você escolher No (Não), atrilha registrará arquivos somente da região em que você a criou.

6. Em Management events (Eventos de gerenciamento), faça o indicado a seguir.

a. Em Read/Write events (Eventos de leitura/gravação), escolha se você deseja que sua trilharegistre All (Todos), Read-only (Somente leitura), Write-only (Somente gravação) ou None(Nenhum) e escolha Save (Salvar). Por padrão, as trilhas registram todos os eventos degerenciamento. Para obter mais informações, consulte Eventos de gerenciamento (p. 115).

b. Em Log AWS KMS events (Registrar em log eventos do AWS KMS), selecione Yes (Sim) pararegistrar em log eventos do AWS Key Management Service (AWS KMS) na trilha. Selecione No(Não) para excluir eventos do AWS KMS da trilha. A configuração padrão é Sim.

As ações do AWS KMS, como Encrypt, Decrypt e GenerateDataKey normalmente geramum grande volume (mais de 99%) de eventos. Agora essas ações são registradas em logcomo eventos de Read (Leitura). As ações relevantes e de baixo volume do AWS KMS, comoDisable, Delete e ScheduleKey (que normalmente representam menos de 0,5% do volumede eventos do AWS KMS) são registradas em log como eventos de Write (Gravação).

Para excluir eventos de grande volume, como Encrypt, Decrypt e GenerateDataKey, masainda assim registrar em log eventos relevantes, como Disable, Delete e ScheduleKey, optepor registrar em log eventos de gerenciamento Write-only (Somente gravação) e selecione Yes(Sim) para Log AWS KMS events (Registrar em log eventos do AWS KMS).

7. Em Insights events (Eventos do Insights), para Log Insights events (Registrar em log eventos doInsights), selecione Yes (Sim), caso você queira que a trilha registre em log eventos do Insights.Por padrão, as trilhas não registram em log eventos do Insights. Para obter mais informaçõessobre eventos do Insights, consulte Registrar em log eventos do Insights para trilhas (p. 126). Hácobranças adicionais para o registro em log de eventos do Insights. Para obter a definição de preço doCloudTrail, consulte Definição de preço do AWS CloudTrail.

Insights events são entregues a outra pasta chamada /CloudTrail-Insight do mesmo bucket doS3 especificado na área Storage location (Local de armazenamento) da página de detalhes da trilha.O CloudTrail cria o prefixo para você. Por exemplo, se o bucket de destino do S3 atual for chamado

Versão 1.070

https://console.aws.amazon.com/cloudtrail/




de S3bucketName/AWSLogs/CloudTrail/, o nome do bucket do S3 com um novo prefixo seráchamado de S3bucketName/AWSLogs/CloudTrail-Insight/.

8. Para Eventos de dados, você pode especificar o registro de eventos de dados para buckets doAmazon S3, para funções AWS Lambda ou ambos. Por padrão, as trilhas não registram eventos dedados. Há cobranças adicionais para o registro de eventos de dados. Para obter a definição de preçodo CloudTrail, consulte Definição de preço do AWS CloudTrail.

Você pode selecionar a opção para registrar todos os buckets do S3 e funções do Lambda ou podeespecificar buckets ou funções individuais.

Para buckets do Amazon S3:

• Selecione a guia S3.• Para especificar um bucket, escolha Adicionar bucket do S3. Digite o nome do bucket do S3

e o prefixo (opcional) para o qual você deseja registrar eventos de dados. Para cada bucket,especifique se você deseja registrar eventos de Read (Leitura), como GetObject; eventos de Write(Gravação), como PutObject, ou ambos os tipos de evento. Para obter mais informações, consulteEventos de dados (p. 119).

• Para registrar eventos de dados para todos os buckets do S3 na sua conta do AWS, selecioneSelecionar todos os buckets do S3 na sua conta. Escolha se você deseja registrar eventos de Read(Leitura), como GetObject, eventos de Write (Gravação), como PutObject, ou ambos. Essaconfiguração tem precedência sobre configurações individuais que você configura para bucketsindividuais. Por exemplo, se você especificar o registro de eventos de Read (Leitura) para todos osbuckets do S3 e escolher adicionar um bucket específico ao registro de eventos de dados, Read(Leitura) já estará selecionada para o bucket adicionado. Você não pode limpar a seleção. Vocêpode somente configurar a opção para Write (Gravação).

Note

A seleção da opção Selecionar todos os buckets do S3 em sua conta habilita o registrode eventos de dados para todos os buckets atualmente em sua conta da AWS e qualquerbucket criados depois da criação da trilha. Também habilita o registro de atividades deeventos de dados realizadas por qualquer usuário ou função em sua conta da AWS,mesmo se essa atividade for realizada em um bucket que pertence a outra conta da AWS.Se a trilha se aplicar somente a uma região, a seleção da opção Select all S3 bucketsin your account (Selecionar todos os buckets do S3 em sua conta) ativará o registro deeventos de dados para todos os buckets do S3 na mesma região que a trilha e todos osbuckets que você criar posteriormente nessa região. Os eventos de dados não serãoregistrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS.

Para funções Lambda:

• Escolha a guia Lambda.• Para especificar o registro de funções individuais, selecione-as na lista.

Note

Se você tiver mais de 15.000 funções do Lambda em sua conta, não poderá visualizarou selecionar todas as funções no console do CloudTrail ao criar uma trilha. Você aindapoderá selecionar a opção de registrar todas as funções, mesmo se elas não foremexibidas. Se você desejar registrar eventos de dados para funções específicas, poderáadicionar manualmente uma função se você souber seu ARN. Você também pode concluira criação da trilha no console e usar o AWS CLI e o comando put-event-selectors paraconfigurar o registro de eventos de dados para funções Lambda específicas. Para obtermais informações, consulte Gerenciar trilhas com a AWS CLI (p. 82).

• Para registrar eventos de dados para todas as funções do Lambda em sua conta da AWS, selecioneLog all current and future functions (Registrar todas as funções atuais e futuras). Essa configuraçãoVersão 1.0

71



tem precedência sobre configurações individuais definidas para funções individuais. Todas asfunções são registradas, mesmo se todas as funções não forem exibidas.

Note

Se estiver criando uma trilha para todas as regiões, essa seleção ativará o registro deeventos de dados para todas as funções atualmente em sua conta da AWS e qualquerfunção Lambda que você venha a criar em qualquer região depois de concluir a criação datrilha. Se estiver criando uma trilha para uma única região, essa seleção ativará o registrode eventos de dados para todas as funções atualmente nessa região em sua conta daAWS e qualquer função Lambda que você venha a criar nessa região depois de concluir acriação da trilha. Ela não permite o registro de eventos de dados para funções do Lambdacriadas em outras regiões.O registro de eventos de dados para todas as funções também permite o registro deatividades de eventos de dados realizadas por qualquer usuário ou função em sua conta daAWS, mesmo se essa atividade for realizada em uma função que pertence a outra conta daAWS.

9. Em Storage location (Local de armazenamento), Create a S3 bucket (Criar um bucket do S3), escolhaYes (Sim) para criar um novo bucket. Ao criar um novo bucket, o CloudTrail cria e aplica as políticasnecessárias do bucket.

Note

Se você optar por No, escolha um bucket do S3 existente. A política de bucket precisaconceder ao CloudTrail permissão para gravar nele. Para obter informações sobre comoeditar manualmente a política de bucket, consulte Amazon S3 Política de bucket para oCloudTrail (p. 244).

10. Em S3 bucket, digite um nome para o bucket que você deseja designar para o armazenamento dearquivos de log. O nome precisa ser globalmente exclusivo. Para obter mais informações, consulteRequisitos de nomenclatura para buckets do Amazon S3 (p. 109).

11. Para Tags, adicione uma ou mais tags personalizadas (pares chave-valor) à sua trilha. As tags podemajudá-lo a identificar as trilhas do CloudTrail e os buckets do Amazon S3 que contêm arquivos de logdo CloudTrail. Em seguida, você pode usar grupos de recursos para seus recursos do CloudTrail.Para obter mais informações, consulte AWS Resource Groups e Por que usar tags para trilhas? (p. 8).

12. Para definir as configurações avançadas, consulte Definir configurações avançadas para atrilha (p. 72). Caso contrário, escolha Create (Criar).

13. A nova trilha será exibida na página Trails (Trilhas). A página Trails (Trilhas) mostra as trilhas de todasas regiões na sua conta. Em cerca de 15 minutos, o CloudTrail publica arquivos de log que mostramas chamadas de API da AWS feitas na sua conta. Você pode ver os arquivos de log no bucket doS3 que você especificou. Pode levar até 36 horas para que o CloudTrail entregue o primeiro eventodo Insights, caso o registro em log de eventos do Insights esteja ativado e seja detectada atividadeincomum.

Note

Não é possível renomear uma trilha após sua criação. Em vez disso, você pode excluir a trilha ecriar uma nova.

Definir configurações avançadas para a trilha

Você pode definir as seguintes configurações para a sua trilha:

• Especifique um prefixo para o arquivo de log do bucket do S3 que recebe os arquivos de log.• Criptografe os arquivos de log com o AWS Key Management Service (SSE-KMS) em vez da criptografia

padrão (chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)).• Ative a validação dos arquivos para logs.

Versão 1.072

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html



• Configure o Amazon SNS para notificar você quando os arquivos de log forem entregues.

Para definir as configurações avançadas para a trilha

1. Em Storage location (Local de armazenamento), escolha Advanced (Avançado).2. No campo Log file prefix (Prefixo de arquivo de log), digite um prefixo para seu bucket do Amazon S3.

O prefixo é uma adição ao URL de um objeto do Amazon S3 que cria uma organização em formatode pasta no seu bucket. O local em que os arquivos de log serão armazenados é exibido abaixo docampo de texto.

3. Em Encrypt log files with SSE-KMS (Criptografar arquivos de log com SSE-KMS), escolha Yes (Sim)se você deseja criptografar os arquivos de log com SSE-KMS, em vez de SSE-S3.

4. Em Create a new KMS key (Criar uma chave do KMS), selecione Yes (Sim) para criar uma chavemestra do cliente do AWS KMS ou No (Não) para usar uma existente.

5. Se você selecionar Yes (Sim), no campo KMS key (Chave do KMS), digite um alias. O CloudTrailcriptografa os arquivos de log com a chave mestra do cliente e adiciona a política para você.

Note

Se você selecionar No (Não), escolha uma chave mestra do cliente do AWS KMSexistente. Você também pode digitar o Nome de região da Amazon (ARN) de uma chavede outra conta. Para obter mais informações, consulte Atualizar uma trilha para usar suaCMK (p. 268). A política de chaves precisa permitir que o CloudTrail use a chave paracriptografar seus arquivos de log e que os usuários especificados leiam arquivos de log demodo não criptografado. Para obter informações sobre como editar manualmente a políticade chaves, consulte Configurar políticas de chave do AWS KMS para o CloudTrail (p. 261).

6. Em Enable log file validationg (Habilitar validação de arquivo de log), escolha Yes (Sim) para receberresumos de log no seu bucket do S3. Você pode usar os arquivos de resumo para verificar seseus arquivos de log não foram alterados depois que o CloudTrail os forneceu. Para obter maisinformações, consulte Validar a integridade dos arquivos de log CloudTrail (p. 195).

7. Em Send SNS notification for every log file delivery (Enviar notificação do SNS para todas as entregasde arquivo de log), selecione Yes (Sim) se quiser ser notificado sempre que um log é entregue aobucket. O CloudTrail armazena vários eventos em um arquivo de log. As notificações do SNS sãoenviadas para todos os arquivos de log, não para todos os eventos.

8. Em Create a SNS topic (Criar um tópico do SNS), escolha Yes (Sim) para criar um tópico ou No (Não)para usar um tópico existente. Se criar uma trilha aplicável a todas as regiões, as notificações do SNSsobre a entrega de arquivos de log de todas as regiões serão enviadas ao único tópico do SNS quevocê criar.

Note

Se você optar por No (Não), escolha um tópico existente. Você também pode inserir o Nomede região da Amazon (ARN) de um tópico de outra região ou de uma conta com permissõesapropriadas. Para obter mais informações, consulte Política de tópicos do Amazon SNS parao CloudTrail (p. 248).

9. Se você optar por Yes (Sim), no campo SNS topic (Tópico do SNS), digite um nome.

Se você criar um tópico, precisará se inscrever nele para ser notificado sobre a entrega de arquivosde log. Você pode se inscrever no console do Amazon SNS. Devido à frequência das notificações,recomendamos que você configure a inscrição para usar uma fila de Amazon SQS para gerenciaras notificações de modo programático. Para obter mais informações, consulte o Guia de conceitosbásicos do Amazon Simple Notification Service.

10. Escolha Criar.

Versão 1.073

https://docs.aws.amazon.com/sns/latest/gsg/



Próximas etapas

Depois que você criar a trilha, poderá retornar a ela para fazer alterações:

• Configure o CloudTrail para enviar arquivos de log ao CloudWatch Logs. Para obter mais informações,consulte Enviar eventos ao CloudWatch Logs (p. 131).

• Crie uma tabela e use-a para executar uma consulta no Amazon Athena para analisar sua atividade deserviço da AWS. Para obter mais informações, consulte Criação de uma tabela para logs do CloudTrailno console do CloudTrail no Guia do usuário do Amazon Athena.

• Adicione tags personalizadas (pares de chave-valor) à trilha.• Para criar outra trilha, volte para a página Trails (Trilhas) e escolha Add new trail (Adicionar nova trilha).

Note

Ao configurar uma trilha, você pode escolher um bucket do S3 e um tópico do SNS quepertençam a outra conta. No entanto, se você quiser que o CloudTrail forneça eventos a um grupode logs do CloudWatch Logs, precisará escolher um grupo de logs existente na sua conta atual.

Atualizar uma trilhaPara alterar as configurações da trilha, use o procedimento a seguir.

Para atualizar uma trilha com o Console de gerenciamento da AWS


2. Escolha Trails (Trilhas) e escolha uma trilha.3. Para fazer atualizações nas Trail settings (Configurações de trilha), selecione o ícone de lápis,

especifique se você deseja que a trilha seja aplicada a uma única região ou a todas as regiões eescolha Save (Salvar).

4. Em Management events (Eventos de gerenciamento), faça o indicado a seguir.

a. Em Read/Write events (Eventos de leitura/gravação), escolha se você deseja que sua trilharegistre All (Todos), Read-only (Somente leitura), Write-only (Somente gravação) ou None(Nenhum) e escolha Save (Salvar). Por padrão, as trilhas registram todos os eventos degerenciamento. Para obter mais informações, consulte Eventos de gerenciamento (p. 115).

b. Em Log AWS KMS events (Registrar em log eventos do AWS KMS), selecione Yes (Sim) pararegistrar em log eventos do AWS Key Management Service (AWS KMS) na trilha. Selecione No(Não) para excluir eventos do AWS KMS da trilha. A configuração padrão é Sim.

As ações do AWS KMS, como Encrypt, Decrypt e GenerateDataKey normalmente geramum grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log comoeventos de Read (Leitura), como ações de baixo volume do AWS KMS, por exemplo, Disable,Delete e ScheduleKey (que geralmente representam menos de 0,5% do volume de eventos doAWS KMS).


5. Em Insights events (Eventos do Insights), para Log Insights events (Registrar em log eventos doInsights), selecione Yes (Sim), caso você queira que a trilha registre em log eventos do Insights.Por padrão, as trilhas não registram em log eventos do Insights. Para obter mais informaçõessobre eventos do Insights, consulte Registrar em log eventos do Insights para trilhas (p. 126). Há

Versão 1.074







cobranças adicionais para o registro em log de eventos do Insights. Para obter a definição de preço doCloudTrail, consulte Definição de preço do AWS CloudTrail.

Insights events são entregues a outra pasta chamada /CloudTrail-Insight do mesmo bucket doS3 especificado na área Storage location (Local de armazenamento) da página de detalhes da trilha.O CloudTrail cria o prefixo para você. Por exemplo, se o bucket de destino do S3 atual for chamadode S3bucketName/AWSLogs/CloudTrail/, o nome do bucket do S3 com um novo prefixo seráchamado de S3bucketName/AWSLogs/CloudTrail-Insight/.

6. Em Data events (Eventos de dados), escolha o ícone de lápis ou Configure (Configurar), faça asalterações e escolha Save (Salvar). Por padrão, as trilhas não registram eventos de dados. Para obtermais informações, consulte Eventos de dados (p. 119).

7. Em Local de armazenamento, escolha o ícone de lápis para atualizar as configurações dos seguintesitens:

• O bucket do S3 (com o prefixo opcional) que está recebendo seus arquivos de log.• A criptografia de arquivos de log com o AWS KMS.• A validação dos arquivos dos logs.• O tópico do Amazon SNS para notificar você quando os arquivos de log são fornecidos.

Para obter mais informações, consulte Definir configurações avançadas para a trilha (p. 72).8. Escolha Save (Salvar).

Para configurar o CloudWatch Logs e as tags da sua trilha

1. Para configurar o CloudTrail de modo a fornecer eventos ao CloudWatch Logs para monitoramento,em CloudWatch Logs , selecione Configure (Configurar). Para obter mais informações sobre essasconfigurações, consulte Enviar eventos ao CloudWatch Logs (p. 131).

2. Para configurar as tags (pares personalizados de chave de ativação-valor) da sua trilha, em Tags,clique no ícone de lápis. Você pode adicionar até 50 pares de chave-valor por trilha. As tags da trilhadevem ser configuradas na região em que ela foi criada.

3. Quando terminar, escolha Apply (Aplicar).

Excluir uma trilhaVocê pode excluir trilhas com o console do CloudTrail. Se você deseja excluir uma trilha que recebe osarquivos de log de todas as regiões, é necessário escolher a região em que ela foi criada originalmente.

Para excluir uma trilha com o console do CloudTrail


2. Acesse a página Trails (Trilhas) do console do CloudTrail da região em que a trilha foi criada.3. Escolha o nome da trilha.4. Na parte superior da página de configuração, selecione o ícone de lixeira.5. Escolha Delete para excluir a trilha permanentemente. A trilha é removida da lista de trilhas da região.

Os arquivos de log que já foram entregues ao bucket do Amazon S3 não serão excluídos.

Note

O conteúdo entregue aos buckets do Amazon S3 podem conter conteúdo do cliente. Paraobter mais informações sobre como remover dados confidenciais, consulte Como esvaziarum bucket do S3? ou Como excluir um bucket do S3?.

Versão 1.075




https://docs.aws.amazon.com/AmazonS3/latest/user-guide/empty-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/empty-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-bucket.html

AWS CloudTrail Guia do usuárioCriar, atualizar e gerenciar trilhas

com a AWS Command Line Interface

Desativar o registro de uma trilhaQuando você cria uma trilha, o registro é ativado automaticamente. Você pode desativar o registro de umatrilha. Os logs anteriores ainda poderão ser acessados.

Para desativar o registro de uma trilha com o console do CloudTrail


2. No painel de navegação, escolha Trails (Trilhas) e depois escolha a trilha que você deseja configurar.3. Na parte superior da página de configuração, escolha Logging para desativar o registro da trilha.4. Quando a mensagem stop logging (interromper registro) for exibida, selecione Continue (Continuar). O

CloudTrail interrompe a atividade de log dessa tralha.5. Para retomar o registro dessa trilha, escolha Logging (Registro) novamente.

Criar, atualizar e gerenciar trilhas com a AWSCommand Line InterfaceVocê pode usar a AWS CLI para criar, atualizar e gerenciar suas trilhas. Ao usar a AWS CLI, lembre-se de que os comandos são executados na região da AWS configurada para o seu perfil. Se vocêdeseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use oparâmetro --region com o comando.

Note

Você precisa das ferramentas de linha de comando da AWS para executar os comandos da AWSCommand Line Interface (AWS CLI) neste tópico. Verifique se você tem uma versão recente daAWS CLI instalada. Para obter mais informações, consulte o Guia do usuário do AWS CommandLine Interface. Para obter ajuda com os comandos do CloudTrail na linha de comando da AWSCLI, digite aws cloudtrail help.

Comandos normalmente usados para criação, gerenciamento estatus de trilhasAlguns dos comandos mais comumente usados para criar e atualizar trilhas no CloudTrail incluem:

• create-trail (p. 77) para criar uma trilha.• update-trail (p. 80) para alterar a configuração de uma trilha existente.• add-tags (p. 82) para adicionar uma ou mais tags (pares de chave-valor) a uma trilha existente.• remove-tags (p. 83) para remover uma ou mais tags de uma trilha.• list-tags (p. 82) para retornar uma lista de tags associadas a uma trilha.• put-event-selectors (p. 86) para adicionar ou modificar seletores de evento a uma trilha.• put-insight-selectors para adicionar ou modificar seletores de eventos do Insights para uma trilha

existente e ativar ou desativar eventos do Insights.• start-logging (p. 78) para iniciar eventos de log com sua trilha.• stop-logging (p. 89) para pausar eventos de log com sua trilha.• delete-trail (p. 90) para excluir uma trilha. Esse comando não exclui o bucket do Amazon S3 que

contém os arquivos de log dessa trilha, se houver.• describe-trails (p. 83) para retornar informações sobre trilhas em uma região da AWS.

Versão 1.076





https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html



• get-trail (p. 83) para retornar informações de configurações de uma trilha.• get-trail-status (p. 83) para retornar informações sobre o status atual de uma trilha.• get-event-selectors (p. 86) para retornar informações sobre seletores de evento configurados para

uma trilha.• get-insight-selectors para retornar informações sobre seletores de eventos do Insights configurados para

uma trilha.

Os comandos com suporte para criar e atualizar trilhas: create-trail e update-trail

Os comandos update-trail e create-trail oferecem uma variedade de funcionalidades para criar egerenciar trilhas, incluindo:

• Criar uma trilha que recebe logs entre regiões ou atualizar uma trilha com a opção --is-multi-region-trail. Na maioria dos casos, você deve criar trilhas que registram eventos em todas asregiões da AWS.

• Criar uma trilha que recebe logs para todas as contas da AWS em uma organização com a opção --is-organization-trail.

• Converter uma trilha multirregional em uma trilha de região única com a opção --no-is-multi-region-trail.

• Ativar ou desativar a criptografia de arquivos de log com a opção --kms-key-id. A opção especificauma chave do AWS KMS que você já criou e à qual anexou uma política que permite que o CloudTrailcriptografe seus logs. Para obter mais informações, consulte Habilitar e desabilitar a criptografia dearquivos de log do CloudTrail com a AWS CLI (p. 269).

• Ativar ou desativar a validação do arquivo de log com as opções --no-enable-log-file-validation e --enable-log-file-validation. Para obter mais informações, consulte Validar aintegridade dos arquivos de log CloudTrail (p. 195).

• Especificar uma função e um grupo de logs do CloudWatch Logs para que o CloudTrail possa fornecereventos a um grupo de logs do CloudWatch Logs. Para obter mais informações, consulte Monitorararquivos de log CloudTrail com Amazon CloudWatch Logs (p. 131).

Comandos suspensos: create-subscription e update-subscriptionImportant

Os comandos create-subscription e update-subscription foram usados paracriar e atualizar trilhas, mas estão defasados. Não use esses comandos. Eles não fornecemfuncionalidade completa para criar e gerenciar as trilhas.Se você configurou automação que usa um ou ambos os comandos, recomendamos que atualizeseu código ou scripts para usar comandos suportados como create-trail.

Usar create-trailVocê pode usar o comando create-trail para criar trilhas que são especificamente configuradas paraatender às suas necessidades de negócios. Ao usar a AWS CLI, lembre-se de que os comandos sãoexecutados na região da AWS configurada para o seu perfil. Se você deseja executar os comandos emuma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.

Criar uma trilha que se aplica a todas as regiões

Para criar uma trilha que se aplica a todas as regiões, use a opção --is-multi-region-trail. Porpadrão, o comando create-trail cria uma trilha que registra eventos apenas na região da AWS em quea trilha foi criada. Para garantir que você registre eventos de serviço globais e capture todas as atividades

Versão 1.077

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html



de eventos de gerenciamento em sua conta da AWS, crie trilhas que registrem eventos em todas asregiões da AWS.

Note

Ao criar uma trilha, se você especificar um bucket do Amazon S3 que não foi criado comCloudTrail, será necessário anexar a política apropriada. Consulte Amazon S3 Política de bucketpara o CloudTrail (p. 244).

O exemplo a seguir cria uma trilha com o nome my-trail e uma tag com uma chave denominada Groupcom um valor de Marketing que fornece logs de todas as regiões a um bucket existente chamado my-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar se sua trilha existe em todas as regiões, o elemento IsMultiRegionTrail no resultadomostra true:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Note

Use o comando start-logging para iniciar o registro da sua trilha.

Inicie o registro da trilha

Depois que o comando create-trail for concluído, execute o comando start-logging para iniciar oregistro dessa trilha.

Note

No console do CloudTrail, o registro é ativado automaticamente quando você cria uma trilha.

O exemplo a seguir inicia o registro de uma trilha.

aws cloudtrail start-logging --name my-trail

Esse comando não retorna uma saída, mas você pode usar o comando get-trail-status paraverificar se o registro foi iniciado.

aws cloudtrail get-trail-status --name my-trail

Para confirmar se a trilha está sendo registrada, o elemento IsLogging no resultado mostra true.

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",

Versão 1.078



"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": ""}

Criar uma trilha de região única

O comando a seguir cria uma trilha de região única. O bucket do Amazon S3 especificado já deve existir eter as permissões apropriadas do CloudTrail aplicadas. Para obter mais informações, consulte Amazon S3Política de bucket para o CloudTrail (p. 244).

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

Para obter mais informações, consulte Requisitos de nomenclatura de trilhas do CloudTrail (p. 109).

A seguir está um exemplo de saída.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Criar uma trilha que se aplica a todas as regiões e que tem a validação do arquivode log ativada

Para ativar a validação do arquivo de log ao usar create-trail, use a opção --enable-log-file-validation.

Para obter informações sobre a validação do arquivo de log, consulte Validar a integridade dos arquivos delog CloudTrail (p. 195).

O exemplo a seguir cria uma trilha que fornece logs de todas as regiões ao bucket especificado. Ocomando usa a opção --enable-log-file-validation.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabledno resultado mostra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false,

Versão 1.079



"S3BucketName": "my-bucket"}

Usar update-trailVocê pode usar o comando update-trail para alterar as definições de configuração de uma trilha. Vocêtambém pode usar os comandos remove-tags e add-tags para adicionar e remover tags de uma trilha.Você só pode atualizar as trilhas da região da AWS em que a trilha foi criada (a região inicial). Ao usar aAWS CLI, lembre-se de que os comandos são executados na região da AWS configurada para o seu perfil.Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ouuse o parâmetro --region com o comando.

Note

Se você usa a AWS CLI ou um dos SDKs da AWS para modificar uma trilha, verifiquese a política de bucket da trilha está atualizada. Para que seu bucket receba eventosautomaticamente de uma nova região da AWS, a política deve conter o nome completo doserviço, cloudtrail.amazonaws.com. Para obter mais informações, consulte Amazon S3Política de bucket para o CloudTrail (p. 244).

Converter uma trilha que se aplica a uma região para que ela se aplique a todasas regiões

Para alterar uma trilha existente para que ela se aplique a todas as regiões, use a opção --is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar se a trilha agora se aplica a todas as regiões, o elemento IsMultiRegionTrail noresultado mostra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Converter uma trilha multirregional em uma trilha de região única

Para alterar uma trilha multirregional existente de modo que ela se aplique somente à região na qual foicriada, use a opção --no-is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

Para confirmar se a trilha agora se aplica a uma única região, o elemento IsMultiRegionTrail noresultado mostra false.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",

Versão 1.080



"LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Habilitar e desabilitar o registro de eventos de serviços globais

Para alterar uma trilha para que ela não registre eventos de serviços globais, use a opção --no-include-global-service-events.

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

Para confirmar se a trilha não deve registrar eventos de serviços globais, o elementoIncludeGlobalServiceEvents no resultado deve mostrar false.

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Para alterar uma trilha para que ela registre eventos de serviços globais, use a opção --include-global-service-events.

Ativar a validação do arquivo de log

Para ativar a validação do arquivo de log em uma trilha, use a opção --enable-log-file-validation. Os arquivos de resumo são fornecidos ao bucket do Amazon S3 dessa trilha.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabledno resultado mostra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Desativar a validação do arquivo de log

Para desativar a validação do arquivo de log em uma trilha, use a opção --no-enable-log-file-validation.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

Versão 1.081



Para confirmar se a validação do arquivo de log está desativada, o elementoLogFileValidationEnabled no resultado mostra false.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Para validar os arquivos de log com a AWS CLI, consulte Validar a integridade dos arquivos de log doCloudTrail com a AWS CLI (p. 197).

Gerenciar trilhas com a AWS CLIA AWS CLI inclui vários outros comandos que ajudam você a gerenciar suas trilhas. Esses comandosadicionam tags a trilhas, obtêm o status da trilha, iniciam e interrompem o registro de trilhas e excluemuma trilha. Você deve executar esses comandos na mesma região da AWS em que a trilha foi criada (aregião inicial). Ao usar a AWS CLI, lembre-se de que os comandos são executados na região da AWSconfigurada para o seu perfil. Se você deseja executar os comandos em uma região diferente, altere aregião padrão para o seu perfil ou use o parâmetro --region com o comando.

Tópicos• Adicionar uma ou mais tags a uma trilha (p. 82)• Listar tags para uma ou mais trilhas (p. 82)• Remover uma ou mais tags de uma trilha (p. 83)• Recuperar as configurações de trilha e o status de uma trilha (p. 83)• Configurar seletores de eventos do Insights (p. 85)• Configurar seletores de eventos (p. 86)• Interromper e iniciar o registro de uma trilha (p. 89)• Excluir uma trilha (p. 90)

Adicionar uma ou mais tags a uma trilha

Para adicionar uma ou mais tags a uma trilha existente, use o comando add-tags.

O exemplo a seguir adiciona uma tag com o nome Owner e o valor de Mary a uma trilha com o ARN dearn:aws:cloudtrail:us-east-2:123456789012: trail/my-trail na região Leste dos EUA(Ohio).

aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2

Se houver êxito, o comando não retorna nada.

Listar tags para uma ou mais trilhas

Para visualizar as tags associadas a uma ou mais trilhas existentes, use o comando list-tags.

O exemplo a seguir lista as tags de Trail1 e Trail2.

Versão 1.082



aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2

Se houver êxito, o comando gerará uma saída semelhante à seguinte.

{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ]}

Remover uma ou mais tags de uma trilha

Para remover uma ou mais tags de uma trilha existente, use o comando remove-tags.

O exemplo a seguir remove tags com os nomes Location e Name de uma trilha com o ARNarn:aws:cloudtrail:us-east-2:123456789012: trail/Trail1 na região Leste dos EUA(Ohio).

aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2

Se houver êxito, o comando não retorna nada.

Recuperar as configurações de trilha e o status de uma trilha

Use o comando describe-trails para recuperar informações sobre trilhas em uma região da AWS. Oexemplo a seguir retorna informações sobre as trilhas configuradas na região Leste dos EUA (Ohio).

aws cloudtrail describe-trails --region us-east-2

Se o comando for bem-sucedido, você verá um resultado semelhante a este.

{ "trailList": [ {

Versão 1.083



"Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ]}

Use o comando get-trail para recuperar informações de configurações sobre uma trilha específica. Oexemplo a seguir retorna informações de configurações para uma trilha chamada my-trail.

aws cloudtrail get-trail - -name my-trail

Se houver êxito, o comando gerará uma saída semelhante à seguinte.

{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }}

Versão 1.084



Execute o comando get-trail-status para recuperar o status de uma trilha. Você deve executar essecomando na região da AWS em que ele foi criado (região inicial) ou especificar essa região usando oparâmetro --region.

Note

Se a trilha é de uma organização e você é uma conta-membro na organização no AWSOrganizations, é necessário fornecer o ARN completo da trilha, e não apenas o nome.

aws cloudtrail get-trail-status --name my-trail

Se o comando for bem-sucedido, você verá um resultado semelhante a este.

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": ""}

Além dos campos exibidos no código JSON anterior, o status conterá os seguintes campos, se houvererros do Amazon SNS ou do Amazon S3:

• LatestNotificationError. Contém o erro emitido pelo Amazon SNS, se a inscrição em um tópicofalhar.

• LatestDeliveryError. Contém o erro emitido pelo Amazon S3, se o CloudTrail não puder fornecerum arquivo de log a um bucket.

Configurar seletores de eventos do Insights

Ative eventos do Insights em uma trilha executando put-insight-selectors e especificandoApiCallRateInsight como o valor do atributo InsightType. Para visualizar as configurações doseletor do Insights para uma trilha, execute o comando get-insight-selectors. Você deve executaresse comando na região da AWS onde a trilha foi criada (a região de origem) ou deve especificar essaregião adicionando o parâmetro --region ao comando.

Exemplo: uma trilha que registra em log eventos do Insights

O exemplo a seguir usa put-insight-selectors para criar um seletor de eventos do Insights para uma trilhachamada TrailName3. Isso ativa a coleção de eventos do Insights para a trilha TrailName3.

aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '{"InsightType": "ApiCallRateInsight"}'

O exemplo retorna o seletor de eventos do Insights que está configurado para a trilha.

{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" }

Versão 1.085



], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"}

Exemplo: desative a coleção de eventos do Insights para uma trilha

O exemplo a seguir usa put-insight-selectors para remover o seletor de eventos do Insights para uma trilhachamada TrailName3. Limpar a string JSON dos seletores do Insights desativa a coleção de eventos doInsights para a trilha TrailName3.

aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'

O exemplo retorna o seletor de eventos do Insights que ficou vazio configurado para a trilha.

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"}

Configurar seletores de eventos

Para visualizar as configurações do seletor de eventos de uma trilha, execute o comando get-event-selectors. Você deve executar esse comando na região da AWS em que ele foi criado (região inicial) ouespecificar essa região usando o parâmetro --region.

aws cloudtrail get-event-selectors --trail-name TrailName

Note

Se a trilha é de uma organização e você é uma conta-membro na organização no AWSOrganizations, é necessário fornecer o ARN completo da trilha, e não apenas o nome.

O exemplo a seguir retorna as configurações padrão de um seletor de eventos de uma trilha.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para criar um seletor de eventos, execute o comando put-event-selectors. Quando ocorre um eventona sua conta, o CloudTrail avalia a configuração das suas trilhas. Se o evento corresponder a qualquerseletor de evento de uma trilha, ela processará e registrará o evento. Você pode configurar até 5 seletoresde eventos para uma trilha e até 250 recursos de dados para uma trilha. Para obter mais informações,consulte Registrar em log eventos de dados para trilhas (p. 119).

Tópicos

Versão 1.086



• Exemplo: uma trilha com seletores de eventos específicos (p. 87)• Exemplo: uma trilha que registra em log todos os eventos de dados e de gerenciamento (p. 87)• Exemplo: uma trilha que não registra em log eventos do AWS Key Management Service (p. 88)• Exemplo: uma trilha que registra em log eventos relevantes de baixo volume do AWS Key

Management Service (p. 89)

Exemplo: uma trilha com seletores de eventos específicos

O exemplo a seguir cria um seletor de eventos para uma trilha denominada TrailName com o objetivode incluir eventos de gerenciamento somente leitura e somente gravação, eventos de dados para duascombinações de bucket/prefixo do Amazon S3 e eventos de dados para uma única função AWS Lambdachamada hello-world-python-function.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'

O exemplo a seguir retorna o seletor de eventos configurado para a trilha:

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Exemplo: uma trilha que registra em log todos os eventos de dados e de gerenciamento

O exemplo a seguir cria um seletor de eventos de uma trilha denominada TrailName2 que inclui todos oseventos, incluindo eventos de gerenciamento somente leitura e somente gravação e todos os eventos dedados para todos os buckets do Amazon S3 e as funções AWS Lambda na conta da AWS.

Note

Se a trilha se aplicar somente a uma região, somente eventos nessa região serão registrados,mesmo que os parâmetros do seletor de eventos especificarem todos os buckets do Amazon S3

Versão 1.087



e funções Lambda. Os seletores de eventos se aplicam somente às regiões em que a trilha écriada.

aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]}]}]'

O exemplo a seguir retorna os seletores de eventos configurados para a trilha:

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"}

Exemplo: uma trilha que não registra em log eventos do AWS Key Management Service

O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluireventos de gerenciamento somente leitura e somente gravação, mas excluir eventos do AWS KeyManagement Service (AWS KMS). Como os eventos do AWS KMS são tratados como eventos degerenciamento e pode haver um alto volume deles, eles podem ter um impacto substancial na fatura doCloudTrail, caso você tenha mais de uma trilha que capture eventos de gerenciamento. O usuário nesteexemplo optou por excluir eventos do AWS KMS de todas as trilhas, exceto uma. Para excluir uma origemde evento, adicione ExcludeManagementEventSources ao seletor de eventos e especifique umaorigem de evento no valor da string. Nesta versão, é possível excluir eventos de kms.amazonaws.com.

Para iniciar o registro em log de eventos do AWS KMS em uma trilha novamente, transmita uma stringvazia como o valor de ExcludeManagementEventSources.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'

O exemplo retorna o seletor de eventos configurado para a trilha.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true,

Versão 1.088



"DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para iniciar o registro em log de eventos do AWS KMS em uma trilha novamente, transmita uma stringvazia como o valor de ExcludeManagementEventSources, conforme mostrado no comando a seguir.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

Exemplo: uma trilha que registra em log eventos relevantes de baixo volume do AWS KeyManagement Service

O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluireventos de gerenciamento somente gravação e eventos do AWS KMS. Como os eventos do AWS KMSsão tratados como eventos de gerenciamento e pode haver um alto volume deles, eles podem ter umimpacto substancial na fatura do CloudTrail, caso você tenha mais de uma trilha que capture eventos degerenciamento. O usuário neste exemplo optou por incluir eventos de Write (Gravação) do AWS KMS,que incluirão Disable, Delete e ScheduleKey, mas não incluirão mais ações de alto volume, comoEncrypt, Decrypt e GenerateDataKey (agora elas serão tratadas como eventos de Read (Leitura)).

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

O exemplo retorna o seletor de eventos configurado para a trilha. Isso registra em log eventos degerenciamento somente gravação, incluindo eventos do AWS KMS.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Interromper e iniciar o registro de uma trilhaOs comandos a seguir iniciam e interrompem o registro do CloudTrail.

aws cloudtrail start-logging --name awscloudtrail-example

aws cloudtrail stop-logging --name awscloudtrail-example

Note

Antes de excluir um bucket, execute o comando stop-logging para interromper o fornecimentode eventos ao bucket. Se você não interromper o registro, o CloudTrail tentará fornecer arquivosde log a um bucket com o mesmo nome por um período limitado.

Versão 1.089

AWS CloudTrail Guia do usuárioCriar uma trilha para uma organização

Se você interromper o registro em log ou excluir uma trilha, o CloudTrail Insights será desativadonessa trilha.

Excluir uma trilha

Você pode excluir uma trilha com o comando a seguir. Só é possível excluir uma trilha na região em queela foi criada (a região inicial).

aws cloudtrail delete-trail --name awscloudtrail-example

Ao excluir uma trilha, você não exclui o bucket do Amazon S3 ou o tópico do Amazon SNS associado aela. Use o Console de gerenciamento da AWS, a AWS CLI ou a API de serviço para excluir esses recursosseparadamente.

Criar uma trilha para uma organizaçãoSe você criou uma organização no AWS Organizations, pode criar uma trilha que registrará todos oseventos de todas as contas da AWS dela. Elas podem ser chamadas de trilhas da organização. Vocêtambém pode editar uma trilha existente na conta mestra e aplicá-la a uma organização, fazendo delauma trilha da organização. As trilhas registram eventos para a conta mestra e todas as contas-membroda organização. Para obter mais informações sobre o AWS Organizations, consulte OrganizaçõesTerminologia e conceitos.

Note

É necessário estar conectado com a conta mestra da organização para criar uma trilha daorganização. Também é necessário ter permissões suficientes para o usuário ou a função doIAM na conta mestra para criar uma trilha da organização com êxito. Se não tiver permissõessuficientes, você não poderá ver a opção de aplicar uma trilha a uma organização.

Quando você criar uma trilha da organização, será criada uma trilha com o nome atribuído a ela em cadaconta da AWS pertencente à sua organização. Os usuários com permissões do CloudTrail em contas-membro poderão ver essa trilha quando fizerem login no console do AWS CloudTrail de suas contas daAWS ou quando executarem comandos da AWS CLI, como describe-trail. No entanto, os usuários decontas-membro não terão permissões suficientes para excluir a trilha da organização, ativar ou desativar oregistro, alterar quais tipos de eventos são registrados ou alterar a trilha da organização.

Quando você cria uma trilha da organização no console ou quando habilita o CloudTrail como um serviçoconfiável no Organizações, isso cria uma função vinculada ao serviço para realizar tarefas de registronas contas-membro da organização. Essa função é chamada de AWSServiceRoleForCloudTrail. Ela énecessária para que o CloudTrail registre eventos com êxito para uma organização. Se uma conta da AWSfor adicionada a uma organização, a trilha e a função vinculada ao serviço serão adicionadas a essa contada AWS, e o registro será iniciado para ela automaticamente na trilha da organização. Se uma conta daAWS for removida de uma organização, a trilha e a função vinculada ao serviço serão excluídas da contada AWS que não faz mais parte da organização. No entanto, os arquivos de log dessa conta removidacriados antes da remoção da conta continuarão no bucket do Amazon S3, onde os arquivos de log sãoarmazenados para a trilha.

No exemplo a seguir, um usuário na conta mestra 111111111111 cria uma trilha chamadaMyOrganizationTrail para a organização o-exampleorgid. A trilha registra a atividade de todasas contas da organização no mesmo bucket do Amazon S3. Todas as contas da organização podemver MyOrganizationTrail em sua lista de trilhas, mas as contas-membro não podem remover nemmodificar a trilha da organização. Somente a conta mestra pode alterar ou excluir a trilha da organizaçãoe remover uma conta-membro de uma organização. De modo semelhante, por padrão, somente a contamestra tem acesso ao bucket do Amazon S3 my-organization-bucket para a trilha e os logs contidos

Versão 1.090



AWS CloudTrail Guia do usuárioCriar uma trilha para uma organização

nela. A estrutura de bucket de alto nível para arquivos de log contém uma pasta com o nome do ID daorganização, com subpastas com os nomes dos IDs de cada conta da organização. Os eventos de cadaconta-membro são registrados na pasta que corresponde ao ID da conta-membro. Se a conta-membro444444444444 for removida da organização em algum momento no futuro, MyOrganizationTrail ea função vinculada ao serviço não aparecerão mais na conta da AWS 444444444444, e nenhum outroevento será registrado para essa conta pela trilha da organização. No entanto, a pasta 444444444444permanece no bucket do Amazon S3, com todos os logs criados antes da remoção da conta daorganização.

Neste exemplo, o ARN da trilha criada na conta mestra é aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Esse também é o ARN da trilha em todas ascontas-membro.

As trilhas da organização são semelhantes a trilhas regulares de muitas maneiras. Você pode criarvárias trilhas para a sua organização e optar por criar uma em todas as regiões ou em uma única região.Também é possível escolher quais tipos de eventos você deseja registrar na sua trilha da organização,assim como em qualquer outra trilha. No entanto, há algumas diferenças. Por exemplo, quando você criauma trilha no console e escolhe se deseja registrar eventos de dados para buckets do Amazon S3 oufunções do AWS Lambda, os únicos recursos listados no console do CloudTrail são os da conta mestra,mas você pode adicionar os ARNs dos recursos a contas-membro. Os eventos de dados para recursos daconta-membro especificada serão registrados sem a necessidade de configurar manualmente o acessoentre contas a esses recursos. Para obter mais informações sobre como registrar em log eventos degerenciamento, eventos do Insights e eventos de dados, consulte Como trabalhar com arquivos de logCloudTrail (p. 112).

Você também pode configurar outros serviços da AWS para analisar e agir nos dados de evento coletadosem registros do CloudTrail de uma trilha da organização assim como faria para qualquer outra trilha. Porexemplo, você pode analisar os dados em uma trilha da organização usando o Amazon Athena. Para obtermais informações, consulte Integrações de serviços AWS com os logs CloudTrail (p. 21).

Tópicos• Melhores práticas para migrar de trilhas de conta-membro para trilhas da organização (p. 92)• Preparar a criação de uma trilha para sua organização (p. 92)• Criar uma trilha para sua organização no console (p. 94)• Criar uma trilha para uma organização com o AWS Command Line Interface (p. 99)

Versão 1.091

AWS CloudTrail Guia do usuárioMelhores práticas para migrar de trilhas deconta-membro para trilhas da organização

Melhores práticas para migrar de trilhas de conta-membro para trilhas da organizaçãoSe você já tiver trilhas do CloudTrail configuradas para contas-membro individuais, mas quiser migrarpara uma trilha da organização a fim de registrar em log eventos em todas as contas, não perca eventosexcluindo trilhas de contas-membro individuais antes de criar uma trilha da organização. No entanto,quando você tem duas trilhas, são gerados custos mais altos por conta da cópia adicional de eventosentregues à trilha da organização.

Para ajudar a gerenciar os custos, mas evitar a perda de eventos antes que a entrega de logs sejainiciada na trilha da organização, considere manter as trilhas de contas-membro individuais e a trilha daorganização por até um dia. Isso garante que a trilha da organização registre em log todos os eventos,mas serão gerados custos de eventos duplicados apenas por um dia. Após o primeiro dia, é possívelinterromper o registro em log (ou excluir) qualquer trilha de conta-membro individual.

Preparar a criação de uma trilha para sua organizaçãoAntes de criar uma trilha para a organização, verifique se tanto a organização como a conta mestra estãoconfiguradas corretamente para a criação da trilha.

• Sua organização deve ter todos os recursos habilitados antes de você criar uma trilha para ela. Paraobter mais informações, consulte Habilitar todos os recursos na sua organização.

• A conta mestra deve ter a função AWSServiceRoleForOrganizations. Essa função é criadaautomaticamente pelo Organizações quando você cria sua organização e é necessária para que oCloudTrail registre eventos para uma organização. Para obter mais informações, consulte Organizaçõese funções vinculadas ao serviço.

• A função ou o usuário do IAM que será usado para criar a trilha da organização na conta mestra deve terpermissões suficientes para essa criação. Para criar uma trilha da organização, é necessário no mínimoter a política AWSCloudTrailFullAccess ou permissões equivalentes aplicadas. Você também deve terpermissões suficientes no IAM e no Organizações para criar a função vinculada ao serviço e habilitar oacesso confiável. A política de exemplo a seguir mostra as permissões mínimas necessárias.

Note

A política AWSCloudTrailFullAccess não é destinada a ser compartilhada globalmente emsua conta da AWS. Em vez disso, ela deve ser restrita a administradores de conta da AWSdevido às informações altamente confidenciais coletadas pelo CloudTrail. Os usuários comessa função têm a capacidade de desabilitar ou reconfigurar as funções de auditoria maisconfidenciais e importantes em suas contas da AWS. Por esse motivo, o acesso a essa políticadeve ser cuidadosamente controlado e monitorado.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }

Versão 1.092

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs

AWS CloudTrail Guia do usuárioPreparar a criação de uma trilha para sua organização

]}

• Para usar a AWS CLI ou as APIs do CloudTrail a fim de criar uma trilha da organização, é necessáriohabilitar o acesso confiável para o CloudTrail no Organizações e criar manualmente um bucket doAmazon S3 com uma política que permite o registro em log de uma trilha da organização. Paraobter mais informações, consulte Criar uma trilha para uma organização com o AWS Command LineInterface (p. 99).

• Para usar uma função do IAM existente a fim de adicionar o monitoramento de uma trilha daorganização ao Amazon CloudWatch Logs, é necessário modificar manualmente a função do IAM parapermitir a entrega do CloudWatch Logs de contas-membro ao grupo do CloudWatch Logs na contamestra, conforme mostrado no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ]}

Saiba mais sobre o CloudTrail e o Amazon CloudWatch Logs em Monitorar arquivos de log CloudTrailcom Amazon CloudWatch Logs (p. 131). Além disso, considere os limites no CloudWatch Logs e asconsiderações de preço do serviço antes de habilitar a experiência para uma trilha da organização.Para obter mais informações, consulte Limites do CloudWatch Logs e Definição de preço do AmazonCloudWatch.

• Para registrar eventos de dados na trilha da organização para buckets do Amazon S3 específicosou funções do AWS Lambda em contas-membro, colete uma lista de nomes de recurso da Amazon(ARN) para cada um desses recursos. Os recursos de contas-membro não são exibidos no consoledo CloudTrail ao criar uma trilha; apenas funções do Amazon S3 e do Lambda na conta mestra podemser exibidas. Da mesma forma, se você quiser adicionar recursos de membro específicos ao criar ouatualizar uma trilha da organização na linha de comando, precisará dos ARNs desses recursos.

Note

Há cobranças adicionais para o registro de eventos de dados. Para obter a definição de preçodo CloudTrail, consulte Definição de preço do AWS CloudTrail.

Versão 1.093

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html




AWS CloudTrail Guia do usuárioCriar uma trilha para sua organização no console

Você também deve considerar revisar quantas trilhas já existem na conta mestra e nas contas-membroantes de criar uma trilha da organização. O CloudTrail limita o número de trilhas que podem ser criadasem cada região. Você não pode exceder esse limite na região em que cria a trilha da organização naconta mestra. No entanto, ela será criada nas contas-membro mesmo que elas tenham atingido o limitede trilhas em uma região. Embora a primeira trilha em qualquer região seja gratuita, as trilhas adicionaissão cobradas. Para reduzir o possível custo de uma trilha da organização, considere excluir qualquer trilhadesnecessária nas contas mestras e membro. Para obter mais informações sobre a definição de preço doCloudTrail, consulte Definição de preço do AWS CloudTrail.

Criar uma trilha para sua organização no consolePara criar uma trilha da organização no console do CloudTrail, você deve fazer login no console com umafunção ou um usuário do IAM na conta-mestre com permissões suficientes (p. 92). Se você não estiverconectado com a conta mestra, não verá a opção de aplicar uma trilha a uma organização ao criar oueditar uma trilha no console do CloudTrail.

Você pode optar por configurar uma trilha da organização de várias maneiras. Por exemplo, é possível:

• Especifique se você deseja que a trilha seja aplicada a todas as regiões ou a uma única região. Opadrão é criar uma trilha para todas as regiões. Para obter mais informações, consulte Como CloudTrailfunciona (p. 1).

• Especifique se deseja aplicar a trilha à sua organização. O padrão é não fazer isso; você deve escolheressa opção para criar uma trilha da organização.

• Especifique qual bucket do Amazon S3 deverá ser usado para receber arquivos de log da trilha daorganização. Você pode escolher um bucket do Amazon S3 existente na conta mestra ou criar umespecificamente para a trilha da organização.

• Para o gerenciamento e os eventos de dados, especifique se você deseja registrar eventos somenteleitura, somente gravação ou todos os eventos. Os eventos do Insights são baseados apenas emeventos de gravação. Você pode especificar o registro de eventos de dados para buckets do Amazon S3e funções AWS Lambda específicos na conta mestra escolhendo-os nas listas do console e nas contas-membro, se você especificar os ARNs de cada recurso para o qual deseja habilitar o registro de eventosde dados. Para mais informações, consulte Eventos de dados (p. 119).

Para criar uma trilha da organização com o Console de gerenciamento da AWS


Você precisa estar conectado como uma conta de usuário, função ou raiz na conta mestra compermissões suficientes (p. 92) para criar uma trilha da organização.

2. No seletor da região, escolha a região onde você deseja criar a trilha.3. Escolha Trails (Trilhas) e, depois Create trail (Criar trilha).

Tip

Se aparecer a opção Get Started Now (Comece agora) em vez de Trails (Trilhas), escolha-a.4. Na página Create Trail (Criar trilha), em Trail name (Nome da trilha), digite um nome para sua trilha da

organização. Esse nome deve ser exclusivo na conta mestra e em todas as contas-membro. Lembre-se de que esse nome da trilha aparecerá em todas as contas-membro no console do CloudTrail paraessas contas, bem como na lista de trilhas fornecida pela AWS CLI e pela API. Informe um nomede fácil compreensão para essa trilha que atenda aos requisitos de nomenclatura. Para obter maisinformações, consulte Requisitos de nomenclatura de trilhas do CloudTrail (p. 109).

5. Em Apply trail to all regions (Aplicar a todas as regiões), escolha Yes (Sim) para receber os arquivosde log de todas as regiões. Essa é a configuração padrão recomendada. Se você escolher No, a trilharegistrará arquivos somente da região em que você a criou.

Versão 1.094





6. Para Apply trail to my organization (Aplicar trilha à minha organização), escolha Yes (Sim). Você sóverá essa opção se estiver conectado ao console com uma função ou um usuário do IAM na contamestra. Para criar uma trilha da organização, verifique se o usuário ou a função tem permissõessuficientes (p. 92).

7. Para Management events (Eventos de gerenciamento), Read/Write events (Eventos de leitura/gravação), escolha se a trilha registrará All (Todos), Read-only (Somente leitura), Write-only (Somentegravação) ou None (Nenhum). Por padrão, as trilhas registram todos os eventos de gerenciamento.Para obter mais informações, consulte Eventos de gerenciamento (p. 115).

8. Em Insights events (Eventos do Insights), para Log Insights events (Registrar em log eventos doInsights), selecione Yes (Sim), caso você queira que a trilha registre em log eventos do Insights.Por padrão, as trilhas não registram em log eventos do Insights. Para obter mais informações sobreeventos do Insights, consulte Registrar em log eventos do Insights para trilhas (p. 126). Essa opçãose aplica a todas as contas na organização. Há cobranças adicionais para o registro em log deeventos do Insights. Para obter a definição de preço do CloudTrail, consulte Definição de preço doAWS CloudTrail.

9. Para Data events (Eventos de dados), você pode especificar o registro de eventos de dados parabuckets do Amazon S3, para funções do AWS Lambda. Você pode escolher nas listas de bucketsdo Amazon S3 e funções do Lambda específicos na conta mestra, mas essas listas não inclueminformações de recursos para contas-membro. Para adicionar recursos específicos a contas-membro,você deve fornecer os ARNs de buckets do Amazon S3 e funções do Lambda. Como alternativa, vocêpode selecionar a opção de registrar todos os buckets do Amazon S3 e funções do Lambda. Essaopção se aplica a todas as contas na organização.

Por padrão, as trilhas não registram eventos de dados. Há cobranças adicionais para o registro deeventos de dados. Para obter a definição de preço do CloudTrail, consulte Definição de preço do AWSCloudTrail.

Para buckets do Amazon S3:

• Selecione a guia S3.• Para especificar um bucket na conta mestra, escolha Add S3 bucket (Adicionar bucket do S3).

Escolha o bucket na lista que aparece quando você seleciona Bucket name (Nome do bucket) oudigite o nome e o prefixo (opcional) do bucket do S3 para o qual você deseja registrar eventos dedados. Para cada bucket, especifique se você deseja registrar eventos de Read (Leitura), comoGetObject; eventos de Write (Gravação), como PutObject, ou ambos os tipos de evento. Paraobter mais informações, consulte Eventos de dados (p. 119).

• Para especificar um bucket na conta-membro, escolha Add S3 bucket (Adicionar bucket doS3). Digite ou cole o ARN desse bucket em Bucket name (Nome do bucket). Para cada bucket,especifique se você deseja registrar eventos de Read (Leitura), como GetObject; eventos de Write(Gravação), como PutObject, ou ambos os tipos de evento. Para obter mais informações, consulteEventos de dados (p. 119).

• Para registrar eventos de dados para todos os buckets do S3 em todas as contas da suaorganização, selecione Select all S3 buckets in your account (Selecionar todos os buckets do S3 nasua conta). Escolha se você deseja registrar eventos de Read (Leitura), como GetObject, eventosde Write (Gravação), como PutObject, ou ambos. Essa configuração tem precedência sobreconfigurações individuais que você define para buckets individuais em contas mestras e membro.Por exemplo, se você especificar o registro de eventos de Read (Leitura) para todos os buckets doS3 e escolher adicionar um bucket específico ao registro de eventos de dados, Read (Leitura) jáestará selecionada para o bucket adicionado. Você não pode limpar a seleção. Você pode somenteconfigurar a opção para Write (Gravação).

Note

A seleção da opção Select all S3 buckets in your account (Selecionar todos os buckets doS3 em sua conta) habilita o registro de eventos de dados para todos os buckets de todasas contas atualmente em sua organização e todos os buckets criados nas contas mestras

Versão 1.095






e membro depois da criação da trilha. Isso também habilita o registro de atividades deeventos de dados realizadas por qualquer usuário ou função em sua conta mestra, mesmose essa atividade for realizada em um bucket que pertence a outra conta da AWS fora dasua organização.Se a trilha se aplicar somente a uma região, a seleção da opção Select all S3 buckets inyour account (Selecionar todos os buckets do S3 na sua conta) habilitará o registro deeventos de dados para todos os buckets na organização na mesma região que a trilhae todos os buckets criados nas contas mestre e membro nessa região depois que vocêhabilitar a opção. Os eventos de dados não serão registrados para os buckets do AmazonS3 em outras regiões na sua organização.

Para funções Lambda:

• Escolha a guia Lambda.• Para especificar o registro de eventos de dados para funções individuais na sua conta mestra,

selecione-as na lista. Somente funções na conta mestra são listadas. As funções de contas-membronão são exibidas na lista.

Note

Se você tiver mais de 15.000 funções do Lambda em sua conta mestra, não poderávisualizar nem selecionar todas as funções no console do CloudTrail ao criar uma trilha.Você ainda poderá selecionar a opção de registrar todas as funções, mesmo se elas nãoforem exibidas. Se você desejar registrar eventos de dados para funções específicas,poderá adicionar manualmente uma função se você souber seu ARN. Você também podeconcluir a criação da trilha no console e usar o AWS CLI e o comando put-event-selectorspara configurar o registro de eventos de dados para funções Lambda específicas. Paraobter mais informações, consulte Gerenciar trilhas com a AWS CLI (p. 82).

• Para especificar o registro de eventos de dados para funções individuais nas contas-membro,escolha Add function (Adicionar função) e digite ou cole o ARN da função na conta-membro.

• Para registrar eventos de dados para todas as funções do Lambda em sua organização, selecioneLog all current and future functions (Registrar todas as funções atuais e futuras). Essa configuraçãotem precedência sobre configurações individuais definidas para funções individuais. Todas asfunções são registradas, mesmo se todas as funções não forem exibidas.

Note

Se estiver criando uma trilha para todas as regiões, essa seleção ativará o registro deeventos de dados para todas as funções atualmente nessa organização e todas as funçõesdo Lambda que poderão ser criadas nas contas mestras e membro em qualquer regiãodepois que você concluir a criação da trilha. Se estiver criando uma trilha para umaúnica região, essa seleção ativará o registro de eventos de dados para todas as funçõesatualmente nessa região em todas as contas da sua organização e todas as funções doLambda criadas nessa região nas contas mestras e membro depois que você concluir acriação da trilha. Ela não permite o registro de eventos de dados para funções do Lambdacriadas em outras regiões.O registro de eventos de dados para todas as funções também permite o registro deatividades de eventos de dados realizadas por qualquer usuário ou função em sua contamestra, mesmo que essa atividade seja realizada em uma função que pertence a outraconta da AWS fora da organização.

10. Em Storage location (Local de armazenamento), Create a S3 bucket (Criar um bucket do S3), escolhaYes (Sim) para criar um novo bucket. Ao criar um novo bucket, o CloudTrail cria e aplica as políticasobrigatórias do bucket para uma trilha da organização.

Versão 1.096


Note

Se você optar por No (Não), escolha um bucket do Amazon S3 existente. A política de bucketserá atualizada para permitir o registro em log de uma trilha da organização. Para obterinformações sobre como criar ou editar manualmente a política de bucket, consulte Criar umatrilha para uma organização com o AWS Command Line Interface (p. 99).

11. Em S3 bucket, digite um nome para o bucket que você deseja designar para o armazenamento dearquivos de log. O nome precisa ser globalmente exclusivo. Para obter mais informações, consulteRequisitos de nomenclatura para buckets do Amazon S3 (p. 109).

12. Para definir as configurações avançadas, consulte Definir configurações avançadas para a trilha daorganização (p. 97). Caso contrário, escolha Create (Criar).

13. A nova trilha será exibida na página Trails (Trilhas). Uma trilha da organização trilha pode levar até24 horas para ser criada em todas as regiões em todas as contas-membro. A página Trails (Trilhas)mostra as trilhas de todas as regiões na sua conta. Em cerca de 15 minutos, o CloudTrail publicaarquivos de log que mostram as chamadas de API da AWS feitas na sua organização. Você pode veros arquivos de log no bucket do Amazon S3 que você especificou.

Note

Não é possível renomear uma trilha após sua criação. Em vez disso, você pode excluir a trilha ecriar uma nova.

Definir configurações avançadas para a trilha da organizaçãoVocê pode definir as seguintes configurações para sua trilha da organização:

• Especifique um prefixo para o arquivo de log do bucket do Amazon S3 que recebe os arquivos de log.• Criptografe os arquivos de log com o AWS Key Management Service (SSE-KMS) em vez da criptografia

padrão (chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)).• Ative a validação dos arquivos para logs.• Configure o Amazon SNS para notificar você quando os arquivos de log forem entregues.

Para definir as configurações avançadas para a trilha

1. Em Storage location (Local de armazenamento), escolha Advanced (Avançado).2. No campo Log file prefix (Prefixo de arquivo de log), digite um prefixo para seu bucket do Amazon S3.

O prefixo é uma adição ao URL de um objeto do Amazon S3 que cria uma organização em formatode pasta no seu bucket. O local em que os arquivos de log serão armazenados é exibido abaixo docampo de texto.

3. Em Encrypt log files with SSE-KMS (Criptografar arquivos de log com SSE-KMS), escolha Yes (Sim)se você deseja criptografar os arquivos de log com SSE-KMS, em vez de SSE-S3.

4. Em Create a new KMS key (Criar uma nova chave do KMS), escolha Yes (Sim) para criar uma chavena conta mestra ou No (Não) para usar uma chave existente nela.

5. Se você escolher Yes (Sim), no campo KMS key (Chave do KMS), digite um alias. O CloudTrailcriptografa suas arquivos de log com a chave e adiciona a política para você.

Note

Se você optar por No (Não), escolha uma chave do KMS existente. Você também podedigitar o Nome de região da Amazon (ARN) de uma chave de outra conta. Para obter maisinformações, consulte Atualizar uma trilha para usar sua CMK (p. 268). A política de chavesprecisa permitir que o CloudTrail use a chave para criptografar seus arquivos de log e queos usuários especificados leiam arquivos de log de modo não criptografado. Para obter

Versão 1.097



informações sobre como editar manualmente a política de chaves, consulte Configurarpolíticas de chave do AWS KMS para o CloudTrail (p. 261).

6. Em Enable log file validation (Ativar a validação do arquivo de log), escolha Yes (Sim) para receberresumos de log no seu bucket do Amazon S3. Você pode usar os arquivos de resumo para verificarse seus arquivos de log não foram alterados depois que o CloudTrail os forneceu. Para obter maisinformações, consulte Validar a integridade dos arquivos de log CloudTrail (p. 195).

7. Em Send SNS notification for every log file delivery (Enviar notificação do SNS para todas as entregasde arquivo de log), selecione Yes (Sim) se quiser ser notificado sempre que um log é entregue aobucket. O CloudTrail armazena vários eventos em um arquivo de log. As notificações do SNS sãoenviadas para todos os arquivos de log, não para todos os eventos.

8. Em Create a SNS topic (Criar um tópico do SNS), escolha Yes (Sim) para criar um tópico ou No (Não)para usar um tópico existente. Se criar uma trilha aplicável a todas as regiões, as notificações do SNSsobre a entrega de arquivos de log de todas as regiões serão enviadas ao único tópico do SNS quevocê criar.

Note

Se você optar por No (Não), escolha um tópico existente. Você também pode inserir o Nomede região da Amazon (ARN) de um tópico de outra região ou de uma conta com permissõesapropriadas. Para obter mais informações, consulte Política de tópicos do Amazon SNS parao CloudTrail (p. 248).

9. Se você optar por Yes (Sim), no campo SNS topic (Tópico do SNS), digite um nome.

Se você criar um tópico, precisará se inscrever nele para ser notificado sobre a entrega de arquivosde log. Você pode se inscrever no console do Amazon SNS. Devido à frequência das notificações,recomendamos que você configure a inscrição para usar uma fila de Amazon SQS para gerenciaras notificações de modo programático. Para obter mais informações, consulte o Guia de conceitosbásicos do Amazon Simple Notification Service.

10. Escolha Criar.

Próximas etapasDepois que você criar a trilha, poderá retornar a ela para fazer alterações:

• Edite sua trilha para alterar a configuração dela. Para obter mais informações, consulte Atualizar umatrilha (p. 74).

• Configure o bucket do Amazon S3 para permitir que usuários do IAM específicos em contas-membroleiam os arquivos de log da organização, se desejado. Para obter mais informações, consulteCompartilhar arquivos de log CloudTrail entre contas da AWS (p. 186).

• Configure o CloudTrail para enviar arquivos de log ao CloudWatch Logs. Para obter mais informações,consulte Enviar eventos ao CloudWatch Logs (p. 131) e no item do CloudWatch Logs (p. 93) emPreparar a criação de uma trilha para sua organização (p. 92).

• Crie uma tabela e use-a para executar uma consulta no Amazon Athena para analisar sua atividade deserviço da AWS. Para obter mais informações, consulte Criação de uma tabela para logs do CloudTrailno console do CloudTrail no Guia do usuário do Amazon Athena.

• Adicione tags personalizadas (pares de chave-valor) à trilha.• Para criar outra trilha da organização, volte para a página Trails (Trilhas) e escolha Create trail (Criar

trilha).

Note

Ao configurar uma trilha, você pode escolher um bucket do Amazon S3 e um tópico do SNS quepertençam a outra conta. No entanto, se você quiser que o CloudTrail forneça eventos a um grupode logs do CloudWatch Logs, precisará escolher um grupo de logs existente na sua conta atual.

Versão 1.098






AWS CloudTrail Guia do usuárioCriar uma trilha para uma organizaçãocom o AWS Command Line Interface

Criar uma trilha para uma organização com o AWSCommand Line InterfaceVocê pode criar uma trilha da organização usando a AWS CLI. A AWS CLI é atualizada regularmente comfuncionalidades e comandos adicionais. Para ajudar a garantir o sucesso, verifique se você instalou ouatualizou para uma versão recente da AWS CLI antes de começar.

Note

Os exemplos nesta seção são específicos para a criação e atualização de trilhas da organização.Para obter exemplos de como usar a AWS CLI para gerenciar trilhas, consulte Gerenciar trilhascom a AWS CLI (p. 82). Ao criar ou atualizar uma trilha da organização com a AWS CLI, énecessário usar um perfil de AWS CLI na conta mestra com permissões suficientes.Você deve configurar o bucket do Amazon S3 usado para uma trilha de organização compermissões suficientes.

Criar ou atualizar um bucket do Amazon S3 a ser usado paraarmazenar os arquivos de log de uma trilha da organizaçãoVocê deve especificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha deorganização. Esse bucket deve ter uma política que permite que o CloudTrail coloque os arquivos de logda organização no bucket.

Veja a seguir um exemplo de política para um bucket do Amazon S3 chamado my-organization-bucket. Esse bucket está em uma conta da AWS com o ID 111111111111, que é a conta mestrapara uma organização com o ID o-exampleorgid que permite o registro em log para uma trilha deorganização. Ela também permite o registro da conta 111111111111 caso a trilha seja alterada de umatrilha da organização para uma trilha somente dessa conta.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, {

Versão 1.099


"Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Essa política de exemplo não permite que usuários de contas-membro acessem os arquivos de log criadospara a organização. Por padrão, os arquivos de log da organização poderão ser acessados somente pelaconta mestra. Para obter informações sobre como conceder acesso de leitura ao bucket do Amazon S3para usuários do IAM nas contas-membro, consulte Compartilhar arquivos de log CloudTrail entre contasda AWS (p. 186).

Habilitar o CloudTrail como um serviço confiável no AWSOrganizationsAntes de criar uma trilha da organização, primeiro é necessário habilitar todos os recursos noOrganizações. Para obter mais informações, consulte Habilitar todos os recursos na sua organização ouexecute o comando a seguir usando um perfil com permissões suficientes na conta mestre:

aws organizations enable-all-features

Depois de habilitar todos os recursos, você deve configurar o Organizações para confiar no CloudTrailcomo um serviço confiável.

Para criar a relação de serviço confiável entre o AWS Organizations e o CloudTrail, abra um terminalou uma linha de comando e use um perfil na conta mestra. Execute o comando aws organizationsenable-aws-service-access, conforme demonstrado no exemplo a seguir.

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Usar create-trailCriar uma trilha da organização que se aplica a todas as regiõesPara criar uma trilha da organização que se aplica a todas as regiões, use as opções --is-organization-trail e --is-multi-region-trail.

Note

Ao criar ou atualizar uma trilha da organização com a AWS CLI, é necessário usar um perfil deAWS CLI na conta mestra com permissões suficientes.

O exemplo a seguir cria uma trilha da organização que fornece logs de todas as regiões a um bucketexistente chamado my-bucket:

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail --is-multi-region-trail

Versão 1.0100

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html


Para confirmar se sua trilha existe em todas as regiões, os elementos IsOrganizationTrail eIsMultiRegionTrail no resultado mostram true:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}

Note

Use o comando start-logging para iniciar o registro da sua trilha. Para obter maisinformações, consulte Interromper e iniciar o registro de uma trilha (p. 89).

Criar uma trilha da organização como uma trilha de região únicaO comando a seguir cria uma trilha da organização que só registra eventos em uma única região da AWS,também conhecida como trilha de região única. A região da AWS em que os eventos serão registrados é aregião especificada no perfil de configuração da AWS CLI.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail

Para obter mais informações, consulte Requisitos de nomenclatura de trilhas do CloudTrail (p. 109).

Exemplo de resultado:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}

Por padrão, o comando create-trail cria uma trilha de região única que não ativa a validação doarquivo de log.

Note

Use o comando start-logging para iniciar o registro da sua trilha.

Usar update-trail para atualizar uma trilha da organizaçãoVocê pode usar o comando update-trail para alterar as definições de configuração de uma trilha daorganização ou aplicar uma trilha existente de uma única conta da AWS a toda a organização. Ao fazerisso, lembre-se de que você só pode executar o comando update-trail da região em que a trilha foicriada.

Note

Se você usa a AWS CLI ou um dos SDKs da AWS para modificar uma trilha, verifique se a políticade bucket da trilha está atualizada. Para mais informações, consulte Criar uma trilha para umaorganização com o AWS Command Line Interface (p. 99).

Versão 1.0101

AWS CloudTrail Guia do usuárioObter e visualizar seus arquivos de log do CloudTrail

Ao criar ou atualizar uma trilha da organização com a AWS CLI, é necessário usar um perfil deAWS CLI na conta mestra com permissões suficientes.

Aplicar uma trilha existente a uma organização

Para alterar uma trilha existente para que ela também se aplique a uma organização, em vez de uma únicaconta da AWS, use a opção --is-organization-trail:

aws cloudtrail update-trail --name my-trail --is-organization-trail

Para confirmar se a trilha agora se aplica à organização, o elemento IsOrganizationTrail noresultado mostra true:


No exemplo acima, a trilha foi configurada anteriormente para ser aplicada a todas as regiões("IsMultiRegionTrail": true). Se essa trilha for aplicada somente a uma única região, o resultadomostrará "IsMultiRegionTrail": false.

Converter uma trilha da organização que se aplica a uma única região para queela se aplique a todas as regiões

Para alterar uma trilha da organização existente para que ela se aplique a todas as regiões, use a opção--is-multi-region-trail:

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar se a trilha agora se aplica a todas as regiões, o elemento IsMultiRegionTrail noresultado mostra true:


Obter e visualizar seus arquivos de log doCloudTrail

Depois que você criar uma trilha e configurá-la para capturar os arquivos de log desejados, seránecessário encontrá-los e interpretar as informações que eles contêm.

Versão 1.0102

AWS CloudTrail Guia do usuárioLocalizar seus arquivos de log do CloudTrail

O CloudTrail fornece os arquivos de log a um bucket do Amazon S3 que você especifica ao criar a trilha.Normalmente, os arquivos de log aparecem no bucket em até 15 minutos da chamada de API da AWSregistrada ou de outro evento da AWS. Geralmente, Insights events são entregues ao bucket em até 30minutos da atividade incomum. Após ativar o Insights events pela primeira vez, aguarde até 36 horas paraver os primeiros Insights events, caso seja detectada atividade incomum.

Tópicos• Localizar seus arquivos de log do CloudTrail (p. 103)• Fazer download dos seus arquivos de log do CloudTrail (p. 104)

Localizar seus arquivos de log do CloudTrailO CloudTrail publica arquivos de log no bucket do S3 em um arquivo gzip. No bucket do S3, o arquivo delog tem um nome formatado que inclui os seguintes elementos:

• O nome do bucket que você especificou quando criou a trilha (encontrada na página Trilhas do consoledo CloudTrail)

• O prefixo (opcional) que você especificou quando criou sua trilha• A string "AWSLogs"• O número da conta• A string "CloudTrail"• Um identificador de região, como us-west-1• O ano em que o arquivo de log foi publicado no formato YYYY• O mês em que o arquivo de log foi publicado no formato MM• O dia em que o arquivo de log foi publicado no formato DD• Uma string alfanumérica que distingue o arquivo dos demais que cobrem o mesmo período

O exemplo a seguir mostra o nome completo de um objeto do arquivo de log:

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

Note

Para trilhas de organização, o nome do objeto do arquivo de log inclui o ID da unidadeorganizacional no caminho, da seguinte forma:

bucket_name/prefix_name/AWSLogs/OU-ID/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

Para recuperar um arquivo de log, você pode usar o console do Amazon S3, a interface de linha decomando (CLI) do Amazon S3 ou a API.

Para localizar seus arquivos de log com o console do Amazon S3

1. Abra o console do Amazon S3.2. Escolha o bucket que você especificou.3. Navegue pela hierarquia de objetos até encontrar o arquivo de log desejado.

Todos os arquivos de log têm uma extensão .gz.

Navegue por uma hierarquia de objetos semelhante ao exemplo a seguir, mas com um nome de bucket, IDda conta, região e data diferentes.

Versão 1.0103

AWS CloudTrail Guia do usuárioFazer download dos seus arquivos de log do CloudTrail

All Buckets Bucket_Name AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20

Um arquivo de log para a hierarquia de objetos anterior terá a seguinte aparência:

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz

Note

Você pode receber arquivos de log que contêm um ou mais eventos duplicados, embora isso sejaincomum. Eventos duplicados têm o mesmo eventID. Para obter mais informações sobre o campoeventID, consulte Conteúdo do registro do CloudTrail (p. 273).

Fazer download dos seus arquivos de log doCloudTrailOs arquivos de log estão em formato JSON. Se você tiver um complemento de visualizador de JSONinstalado, poderá visualizar os arquivos diretamente no navegador. Clique duas vezes no nome do arquivode log no bucket para abrir uma janela ou guia do navegador. O JSON é exibido em formato de leitura.

Por exemplo, se você usa o Mozilla Firefox, também pode fazer download do complemento JSONView.Com o JSONView, você pode clicar duas vezes no arquivo .gz compactado em seu bucket para abrir oarquivo de log no formato JSON.

Os arquivos de log do CloudTrail são objetos do Amazon S3. É possível usar o console do Amazon S3, oAWS Command Line Interface (CLI), ou a API do Amazon S3 para recuperar arquivos de log.

Para obter mais informações, consulte Como trabalhar com objetos do Amazon S3 no Guia dodesenvolvedor do Amazon Simple Storage Service.

O procedimento a seguir descreve como fazer download de um arquivo de log com o Console degerenciamento da AWS.

Para fazer download e ler um arquivo de log

1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.2. Escolha o bucket e o arquivo de log que você deseja fazer download.3. Escolha Download ou Download as e siga as instruções na tela para salvar o arquivo. Essa ação salva

o arquivo no formato compactado.

Note

Alguns navegadores, como o Chrome, extraem automaticamente o arquivo de log para você.Se o navegador fizer isso, pule para a etapa 5.

4. Use um produto como o 7-Zip para extrair o arquivo de log.5. Abra o arquivo de log em um editor de texto, como o Notepad++.

Versão 1.0104

https://addons.mozilla.org/en-us/firefox/addon/jsonview

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingObjects.html

https://console.aws.amazon.com/s3/

http://www.7-zip.org

AWS CloudTrail Guia do usuárioConfiguração de notificações doAmazon SNS para o CloudTrail

Para obter mais informações sobre os campos de eventos que podem aparecer na entrada de um arquivode log, consulte Referência a eventos de log do CloudTrail (p. 271).

A AWS tem parceria com especialistas terceiros no registro e na análise para fornecer soluções queutilizam os resultados de CloudTrail. Para obter mais informações, consulte Rede de parceiros da AWS –Parceiros do AWS CloudTrail.

Note

Você também pode usar o recurso de Histórico de eventos para procurar eventos de criação,atualização e exclusão de atividades de APIs nos últimos 90 dias.Para obter mais informações, consulte Visualizar eventos com o histórico de eventosCloudTrail (p. 44).

Configuração de notificações do Amazon SNS parao CloudTrail

Você poderá ser notificado quando o CloudTrail publicar novos arquivos de log em seu bucket do AmazonS3. Gerencie notificações usando o Amazon Simple Notification Service (Amazon SNS).

As notificações são opcionais. Se você deseja receber notificações, configure o CloudTrail para enviarinformações de atualização a um tópico do Amazon SNS sempre que um novo arquivo de log for enviado.Para receber essas notificações, você pode usar o Amazon SNS para se inscrever no tópico. Comoinscrito, você pode receber atualizações enviadas a uma fila do Amazon Simple Queue Service (AmazonSQS), que permite processar essas notificações de modo programático.

Tópicos• Configurar o CloudTrail para enviar notificações (p. 105)

Configurar o CloudTrail para enviar notificaçõesVocê pode configurar uma trilha para usar um tópico do Amazon SNS. Você pode usar o console doCloudTrail ou o comando aws cloudtrail create-trail da CLI para criar o tópico. O CloudTrail cria o tópicodo Amazon SNS para você e anexa uma política apropriada para que o CloudTrail tenha permissão parapublicar nesse tópico.

Quando você cria o nome de um tópico do SNS, ele deve atender aos seguintes requisitos:

• Ter entre 1 e 256 caracteres• Conter letras maiúsculas e minúsculas ASCIIs, números, sublinhados ou hífens

Quando você configura as notificações de uma trilha que se aplica a todas as regiões, as notificações detodas as regiões são enviadas ao tópico do Amazon SNS que você especificar. Se você tem uma ou maistrilhas específicas da região, deve criar um tópico separado para cada região e se inscrever em cada umdeles.

Para receber notificações, inscreva-se no tópico do Amazon SNS ou nos tópicos que o CloudTrail usa.Isso é feito com o console do Amazon SNS ou com os comandos da CLI do Amazon SNS. Para obter maisinformações, consulte Inscrever-se em um tópico no Guia do desenvolvedor do Amazon Simple NotificationService.

Note

O CloudTrail envia uma notificação quando os arquivos de log são gravados no bucket doAmazon S3. Uma conta ativa pode gerar um grande número de notificações. Se você se inscrever

Versão 1.0105

https://aws.amazon.com/cloudtrail/partners

https://aws.amazon.com/cloudtrail/partners

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-trail.html

https://docs.aws.amazon.com/sns/latest/dg/SubscribeTopic.html

AWS CloudTrail Guia do usuárioControlar as permissões de usuários do CloudTrail

para receber e-mails ou mensagens SMS, poderá receber um grande volume de mensagens.Recomendamos que você se inscreva usando o Amazon Simple Queue Service (Amazon SQS),que permite controlar as notificações de maneira programática. Para obter mais informações,consulte Inscrever uma fila em um tópico do Amazon SNS no Guia do desenvolvedor do AmazonSimple Queue Service.

A notificação do Amazon SNS consiste em um objeto JSON que inclui um campo Message. O campoMessage lista o caminho completo para o arquivo de log, como mostrado no exemplo a seguir:

{ "s3Bucket": "your-bucket-name","s3ObjectKey": ["AWSLogs/123456789012/CloudTrail/us-east-2/2013/12/13/123456789012_CloudTrail_us-west-2_20131213T1920Z_LnPgDQnpkSKEsppV.json.gz"]}

Se vários arquivos de log forem fornecidos ao bucket do Amazon S3, uma notificação poderá conter várioslogs, conforme mostrado no exemplo a seguir:

{ "s3Bucket": "your-bucket-name", "s3ObjectKey": [ "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2215Z_kpaMYavMQA9Ahp7L.json.gz", "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2210Z_zqDkyQv3TK8ZdLr0.json.gz", "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2205Z_jaMVRa6JfdLCJYHP.json.gz" ]}

Se você optar por receber notificações por e-mail, o corpo do e-mail consistirá no conteúdo do campoMessage. Para ver uma descrição completa da estrutura JSON, consulte Enviar mensagens do AmazonSNS às filas do Amazon SQS no Guia do desenvolvedor do Amazon Simple Notification Service. Somenteo campo Message mostra as informações do CloudTrail. Os outros campos contêm informações doserviço do Amazon SNS.

Se você criar uma trilha com a API do CloudTrail, poderá especificar um tópico existente do Amazon SNSao qual deseja que o CloudTrail envie notificações com as operações CreateTrail ou UpdateTrail.Você deve verificar se o tópico existe e tem permissões que autorizam o CloudTrail a enviar notificações aele. Consulte Política de tópicos do Amazon SNS para o CloudTrail (p. 248).

Recursos adicionaisPara obter mais informações sobre tópicos do Amazon SNS e como se inscrever neles, consulte Guia dodesenvolvedor do Amazon Simple Notification Service.

Controlar as permissões de usuários do CloudTrailO AWS CloudTrail é integrado ao AWS Identity and Access Management (IAM), que permite que vocêcontrole o acesso ao CloudTrail e a outros recursos da AWS de que o CloudTrail necessita, incluindobuckets do Amazon S3 e tópicos do Amazon Simple Notification Service (Amazon SNS). Você pode usaro AWS Identity and Access Management para controlar quais usuários da AWS podem criar, configurarou excluir trilhas do AWS CloudTrail, iniciar e interromper registros em log e acessar os buckets quecontêm informações de log. Para saber mais, consulte Identity and Access Management para AWSCloudTrail (p. 226).

Versão 1.0106

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqssubscribe.html

https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html

https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateTrail.html

https://docs.aws.amazon.com/sns/latest/dg/


AWS CloudTrail Guia do usuárioDicas para gerenciar trilhas

Os tópicos a seguir também podem ajudar você a entender as permissões, as políticas e a segurança doCloudTrail:

• Requisitos de nomenclatura para buckets do Amazon S3 (p. 109)• Amazon S3 Política de bucket para o CloudTrail (p. 244)• Um exemplo de uma política de bucket para uma trilha de organização em Criar uma trilha para uma

organização com o AWS Command Line Interface (p. 99).• Política de tópicos do Amazon SNS para o CloudTrail (p. 248)• Criptografar os arquivos de log do CloudTrail com chaves gerenciadas do AWS KMS (SSE-

KMS) (p. 259)• Política de chaves padrão criada no console do CloudTrail (p. 267)• Conceder permissão para visualizar informações do AWS Config no console do CloudTrail (p. 243)• Compartilhar arquivos de log CloudTrail entre contas da AWS (p. 186)• Permissões necessárias para criar uma trilha da organização (p. 92)• Usar uma função existente do IAM para adicionar o monitoramento de uma trilha da organização ao

Amazon CloudWatch Logs (p. 93)

Dicas para gerenciar trilhas• a partir de 12 de abril de 2019, as trilhas serão exibidas apenas em regiões da AWS onde elas registram

eventos em log. Se você criar uma trilha que registra eventos em log em todas as regiões da AWS, elaserá exibida no console em todas as regiões da AWS. Se você criar uma trilha que registra eventos emlog apenas em uma única região da AWS, poderá visualizá-la e gerenciá-la apenas nessa região daAWS.

• Para editar uma trilha na lista, escolha o nome dela.• Configure pelo menos uma trilha que se aplica a todas as regiões para que você receba arquivos de log

de todas as regiões na sua conta.• Para registrar eventos de uma região específica e fornecer arquivos de log a um bucket do S3 na

mesma região, você pode atualizar a trilha para aplicá-la a uma única região. Isso é útil se você desejamanter seus arquivos de log separados. Por exemplo, você quer que os usuários gerenciem seuspróprios logs em regiões específicas ou deseja separar os alarmes do CloudWatch Logs por região.

• Para registrar eventos de várias contas da AWS em uma única trilha, considere a criação de umaorganização no AWS Organizations e a criação de uma trilha da organização.

• Criar várias trilhas implicará custos adicionais. Para obter mais informações sobre preços, consulteDefinição de preço do AWS CloudTrail.

Tópicos• Gerenciar custos do CloudTrail (p. 107)• Requisitos de nomenclatura de trilhas do CloudTrail (p. 109)• Requisitos de nomenclatura para buckets do Amazon S3 (p. 109)• Requisitos de nomenclatura de alias do AWS KMS (p. 110)

Gerenciar custos do CloudTrailComo melhor prática, recomendamos o uso dos serviços e das ferramentas da AWS que podem ajudá-lo a gerenciar os custos do CloudTrail. Também é possível configurar e gerenciar trilhas do CloudTrail deforma que capturem os dados necessários e, ao mesmo tempo, permaneçam econômicas. Para obter maisinformações sobre a definição de preço do CloudTrail, consulte Definição de preço do AWS CloudTrail.

Versão 1.0107



AWS CloudTrail Guia do usuárioGerenciar custos do CloudTrail

Ferramentas para ajudar a gerenciar os custosOs Orçamentos da AWS, um recurso do AWS Billing and Cost Management, permitem que você definaorçamentos personalizados que enviam alertas quando o uso ou os custos excedem (ou estão previstospara exceder) o valor orçado.

Conforme você cria várias trilhas, criar um orçamento para o CloudTrail usando os Orçamentos da AWS éuma prática recomendada e pode ajudá-lo a rastrear seus gastos do CloudTrail. Os orçamentos baseadosem custos ajudam a promover a conscientização sobre o quanto você pode ser cobrado pelo seu usodo CloudTrail. Os alertas de orçamento enviam notificações quando sua fatura atinge um limite definidopor você. Quando receber um alerta de orçamento, você poderá fazer alterações antes do fim do ciclo defaturamento para gerenciar seus custos.

Depois de criar um orçamento, você poderá usar o AWS Cost Explorer para ver como seus custos doCloudTrail estão influenciando sua fatura geral da AWS. No AWS Cost Explorer, depois de adicionar oCloudTrail ao filtro Service (Serviço), você poderá comparar seus gastos históricos do CloudTrail comos gastos atuais acumulados no mês (MTD), por região e conta. Esse recurso ajuda você a monitorar edetectar custos inesperados em seus gastos mensais do CloudTrail. Recursos adicionais no Cost Explorerpermitem comparar gastos do CloudTrail com gastos mensais no nível de recurso específico, fornecendoinformações sobre o que pode estar gerando aumentos ou reduções de custo em sua fatura.

Para começar a usar os Orçamentos da AWS, abra AWS Billing and Cost Management e escolha Budgets(Orçamentos) na barra de navegação à esquerda. Recomendamos configurar alertas de orçamentoconforme você cria um orçamento para rastrear os gastos do CloudTrail. Para obter mais informaçõessobre como usar os Orçamentos da AWS, consulte Gerenciar seus custos com orçamentos e Melhorespráticas para Orçamentos da AWS.

Configuração da trilhaO CloudTrail oferece flexibilidade para configurar trilhas em sua conta. Algumas decisões que você tomadurante o processo de configuração exigem que você entenda os impactos na sua fatura do CloudTrail.Veja a seguir exemplos de como as configurações de trilha podem influenciar sua fatura do CloudTrail.

Criação de várias trilhas

A primeira entrega de cada evento de gerenciamento para uma conta é gratuita. Se você criar maistrilhas que entreguem os mesmos eventos de gerenciamento a outros destinos, essas entregassubsequentes incorrerão em custos do CloudTrail. Você pode fazer isso para permitir que diferentesgrupos de usuários (como desenvolvedores, pessoal de segurança e auditores de TI) recebam suaspróprias cópias dos arquivos de log. Para eventos de dados, todas as entregas incorrem em custos doCloudTrail, incluindo a primeira.

Conforme você cria mais trilhas, é especialmente importante estar familiarizado com seus logs ecompreender os tipos e os volumes de eventos que são gerados pelos recursos em sua conta. Issoajuda você a prever o volume de eventos associados a uma conta e planejar os custos de trilha. Porexemplo, usar a criptografia no lado do servidor gerenciada pelo AWS KMS (SSE-KMS) nos bucketsdo S3 pode resultar em um grande número de eventos de gerenciamento do AWS KMS no CloudTrail.Volumes maiores de eventos em várias trilhas também podem influenciar os custos.

Para ajudar a limitar o número de eventos que são registrados em log para a trilha, é possível excluireventos do AWS KMS selecionando No (Não) em Log AWS KMS events (Registrar em log eventosdo AWS KMS) nas páginas Create trail (Criar trilha) ou Update trail (Atualizar trilha). Para obter maisinformações, consulte Criar uma trilha (p. 69) ou Atualizar uma trilha (p. 74) neste guia.

AWS Organizations

Quando você configura uma trilha do Organizações com o CloudTrail, o CloudTrail replica a trilha paracada conta-membro em sua organização. A nova trilha é criada além de quaisquer trilhas existentesnas contas-membro. Certifique-se de que a configuração da trilha mestra corresponda à forma como

Versão 1.0108

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-best-practices.html#budgets-best-practices-alerts

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-create.html

https://console.aws.amazon.com/billing

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-best-practices.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-best-practices.html

AWS CloudTrail Guia do usuárioRequisitos de nomenclatura de trilhas do CloudTrail

você deseja que as trilhas sejam configuradas para todas as contas em uma organização, pois aconfiguração da trilha mestra é propagada para todas as contas.

Como o Organizações cria uma trilha em cada conta-membro, uma conta-membro individual que crieuma trilha adicional para coletar os mesmos eventos de gerenciamento que a trilha do Organizaçõesestará coletando uma segunda cópia dos eventos. A conta será cobrada pela segunda cópia. Damesma forma, se uma conta tiver uma trilha de várias regiões e criar uma segunda trilha em umaúnica região para coletar os mesmos eventos de gerenciamento que a trilha de várias regiões, atrilha na única região estará fornecendo uma segunda cópia dos eventos. A segunda cópia gerarácobranças.

Consulte também• Definição de preço do AWS CloudTrail• Gerenciar seus custos com orçamentos• Conceitos básicos do Cost Explorer• Preparar a criação de uma trilha para sua organização (p. 92)

Requisitos de nomenclatura de trilhas do CloudTrailOs nomes de trilhas do CloudTrail devem atender aos seguintes requisitos:

• Conter apenas letras (a-z, A-Z), números (0 – 9), pontos (.), sublinhados (_) ou traços (-) ASCII.• Começar com uma letra ou um número e terminar com uma letra ou um número.• Ter entre 3 e 128 caracteres.• Não ter pontos, sublinhados ou traços adjacentes. Nomes como meu-_namespace e meu-\-namespace

são inválidos.• Não estar no formato de endereço IP (por exemplo, 192.168.5.4).

Requisitos de nomenclatura para buckets do AmazonS3O bucket do Amazon S3 que você usa para armazenar arquivos de registro do CloudTrail deve ter umnome que esteja de acordo com requisitos de nomenclatura para regiões que estão fora do padrão dosEUA. Amazon S3 define um nome do bucket como uma série de um ou mais rótulos, separados porpontos, que esteja de acordo com as seguintes regras:

• O nome do bucket pode ter entre 3 e 63 caracteres e conter apenas caracteres minúsculos, números,pontos e traços.

• Cada rótulo no nome do bucket deve começar com um número ou letra minúscula.• O nome do bucket não pode conter sublinhados, terminar com um traço, ter pontos consecutivos ou usar

traços adjacentes aos pontos.• O nome do bucket não pode ser formatado como um endereço IP (198.51.100.24).

Warning

Como o S3 permite que seu bucket seja usado como um URL que pode ser acessadopublicamente, o nome do bucket que você escolher deverá ser globalmente exclusivo. Se algumaoutra conta já criou um bucket com o nome que você escolheu, será necessário usar outro

Versão 1.0109


https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-getting-started.html

AWS CloudTrail Guia do usuárioRequisitos de nomenclatura de alias do AWS KMS

nome. Para obter mais informações, consulte Restrições e limitações de buckets no Guia dodesenvolvedor do Amazon Simple Storage Service.

Requisitos de nomenclatura de alias do AWS KMSQuando você cria uma chave mestra de cliente (CMK), pode escolher um alias para identificá-la. Porexemplo, você pode escolher o alias "KMS-CloudTrail-us-west-2" para criptografar os logs de uma trilhaespecífica.

O alias deve atender aos seguintes requisitos:

• Ter entre 1 e 32 caracteres, inclusive• Conter caracteres alfanuméricos (A-Z, a-z, 0-9), hífens (-), barras (/) e sublinhados (_)• Não pode começar com aws

Para obter mais informações, consulte Como criar chaves no AWS Key Management Service DeveloperGuide.

Como usar AWS CloudTrail com VPC endpoints deinterface

Se você usa a Amazon Virtual Private Cloud (Amazon VPC) para hospedar seus recursos da AWS, podeestabelecer uma conexão privada entre a VPC e o AWS CloudTrail. Você pode usar essa conexão parahabilitar o CloudTrail a se comunicar com os seus recursos na VPC sem passar pela Internet pública.

A Amazon VPC é um serviço da AWS que você pode usar para executar os recursos da AWS em umarede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, comoo intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Com VPC endpoints, oroteamento entre a VPC e os serviços da AWS é realizado pela rede AWS e você pode usar políticas doIAM para controlar o acesso aos recursos do serviço.

Para conectar a sua VPC a CloudTrail, você define um VPC endpoint de interface para CloudTrail. Umendpoint da interface é uma interface de rede elástica com um endereço IP privado que serve comoponto de entrada para o tráfego destinado ao serviço da AWS com suporte. O endpoint fornece umaconectividade confiável e dimensionável a CloudTrail sem a necessidade de um gateway da Internet,de uma instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter maisinformações, consulte O que é Amazon VPC no Guia do usuário da Amazon VPC.

VPC endpoints de interface são desenvolvidos por AWS PrivateLink, uma tecnologia AWS permite acomunicação privada entre os serviços AWS usando uma interface de rede elástica com endereços IPprivados. Para obter mais informações, consulte AWS PrivateLink.

As etapas a seguir são para usuários de Amazon VPC. Para obter mais informações, consulte Conceitosbásicos no Guia do usuário da Amazon VPC.

DisponibilidadeNo momento, CloudTrail dá suporte a VPC endpoints nas seguintes regiões AWS:

• Leste dos EUA (Ohio)• Leste dos EUA (Norte da Virgínia)• Oeste dos EUA (Norte da Califórnia)

Versão 1.0110

https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

https://docs.aws.amazon.com/vpc/latest/userguide/

https://aws.amazon.com/privatelink/

https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html

https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html

AWS CloudTrail Guia do usuárioCriar um VPC endpoint para o CloudTrail

• Oeste dos EUA (Oregon)• África (Cidade do Cabo)• Ásia Pacífico (Mumbai)• Ásia-Pacífico (Osaka – Local)• Ásia-Pacífico (Seul)• Ásia-Pacífico (Cingapura)• Ásia-Pacífico (Sydney)• Ásia-Pacífico (Tóquio)• Canadá (Central)• Europa (Frankfurt)• Europa (Irlanda)• Europa (Londres)• Europa (Milão)• Europa (Paris)• Europa (Estocolmo)• Oriente Médio (Bahrein)• América do Sul (São Paulo)• AWS GovCloud (Leste dos EUA)• AWS GovCloud (US-West)

Criar um VPC endpoint para o CloudTrailPara começar a usar o CloudTrail com sua VPC, crie um VPC endpoint de interface para o CloudTrail.Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Você não precisa alterar as configurações de CloudTrail. CloudTrail chama outros serviços AWS usandoendpoints públicos ou VPC endpoints de interface privada, os que estiverem em uso.

Versão 1.0111

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html


Como trabalhar com arquivos de logCloudTrail

Você pode realizar tarefas mais avançadas com os seus arquivos CloudTrail.

• Crie várias trilhas por região.• Monitore os arquivos de log CloudTrail enviando-os para CloudWatch Logs.• Compartilhe arquivos de log entre contas.• Use a biblioteca de processamento AWS CloudTrail para criar aplicativos de processamento de log em

Java.• Valide os seus arquivos de log para verificar se não foram alterados após terem sido entregues por

CloudTrail.

Quando ocorre um evento na sua conta, o CloudTrail avalia se ele corresponde às configurações das suastrilhas. Somente eventos que correspondem às suas configurações de trilhas são fornecidos ao bucket doAmazon S3 e ao grupo de logs do Amazon CloudWatch Logs.

Você pode configurar várias trilhas de maneiras diferentes para que elas processem e registrem somenteos eventos que você especificar. Por exemplo, uma trilha pode registrar dados somente leitura egerenciamento de eventos para que todos os eventos somente leitura sejam entregues a um bucket do S3.Outra trilha pode registrar apenas dados somente gravação e eventos de gerenciamento para que todosos eventos somente gravação sejam fornecidos a um bucket separado do S3.

Você também pode configurar suas trilhas para ter um log de trilha e fornecer todos os eventos degerenciamento a um bucket do S3 e configurar outra trilha para registrar e fornecer todos os eventos dedados de a outro bucket do S3.

Você pode configurar suas trilhas para registrar o seguinte:

• Eventos de dados (p. 119): esses eventos fornecem visibilidade nas operações do recurso executadasno recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados.

• Eventos de gerenciamento (p. 115): eventos de gerenciamento fornecem visibilidade em operações degerenciamento que são executadas nos recursos em sua conta da AWS. Elas também são conhecidascomo operações de plano de controle. Os eventos de gerenciamento também podem incluir eventos quenão são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, oCloudTrail registra o evento ConsoleLogin. Para obter mais informações, consulte Eventos que nãosão da API capturados pelo CloudTrail (p. 286).

Note

Nem todos os serviços da AWS oferecem suporte a eventos do CloudTrail. Para obtermais informações sobre serviços compatíveis, consulte CloudTrail Serviços compatíveis eintegrações (p. 20). Para obter detalhes específicos sobre quais APIs são registradas para umserviço específico, consulte a documentação desse serviço em CloudTrail Serviços compatíveise integrações (p. 20).

• Insights events (p. 126): o Insights events captura atividade incomum detectada em sua conta. Se osInsights events estiverem ativados e o CloudTrail detectar atividade incomum, os Insights events são

Versão 1.0112

AWS CloudTrail Guia do usuárioCriar várias trilhas

registrados em log no bucket do S3 de destino para a trilha, mas em outra pasta. Também é possívelver o tipo de evento do Insights e o período do incidente ao visualizar Insights events no console doCloudTrail. Ao contrário de outros tipos de eventos capturados em uma trilha do CloudTrail, Insightsevents são registrados em log somente quando o CloudTrail detecta alterações no uso de API da contaque diferem significativamente dos padrões de uso típicos da conta.

Insights events são gerados somente para APIs de gerenciamento de write (gravação).

Tópicos• Criar várias trilhas (p. 113)• Registrar em log eventos de gerenciamento para trilhas (p. 115)• Registrar em log eventos de dados para trilhas (p. 119)• Registrar em log eventos do Insights para trilhas (p. 126)• Recebimento de arquivos de log do CloudTrail de várias regiões (p. 130)• Monitorar arquivos de log CloudTrail com Amazon CloudWatch Logs (p. 131)• Recebimento de arquivos de log do CloudTrail de várias contas (p. 183)• Compartilhar arquivos de log CloudTrail entre contas da AWS (p. 186)• Validar a integridade dos arquivos de log CloudTrail (p. 195)• Usar a CloudTrail Processing Library (p. 216)

Criar várias trilhasVocê pode usar os arquivos de log do CloudTrail para resolver problemas operacionais ou de segurançana conta da AWS. Você pode criar trilhas para usuários diferentes, quem pode criar e gerenciar suaspróprias trilhas. Você pode configurar as trilhas para fornecer arquivos de log a buckets do S3 separadosou compartilhados.

Note

Criar várias trilhas implicará custos adicionais. Para obter mais informações, consulte Definição depreço do AWS CloudTrail.

Por exemplo, você pode ter os seguintes usuários:

• Um administrador de segurança cria uma trilha na Região da Europa (Irlanda) e configura a criptografiade arquivos de log do KMS. A trilha fornece os arquivos de log a um bucket do S3 na Região da Europa(Irlanda).

• Um auditor de TI cria uma trilha na Região da Europa (Irlanda) e configura a validação da integridadedos arquivos de log para garantir que eles não foram alterados desde que o CloudTrail os forneceu. Atrilha é configurada para fornecer arquivos de log a um bucket do S3 na Região Europa (Frankfurt)

• Um desenvolvedor cria uma trilha no Região Europa (Frankfurt) e configura os alarmes do CloudWatchpara receber notificações sobre atividades de API específicas. A trilha compartilha o mesmo bucket doS3 que configurou para a integridade dos arquivos de log.

• Outro desenvolvedor cria uma trilha na Região Europa (Frankfurt) e configura o SNS. Os arquivos de logsão fornecidos a um bucket do S3 separado na Região Europa (Frankfurt).

A imagem a seguir ilustra esse exemplo.

Versão 1.0113



AWS CloudTrail Guia do usuárioCriar várias trilhas

Note

Você pode criar até cinco trilhas por região. Uma trilha que registra atividades de todas as regiõesé considerada como uma trilha por região.

Você pode usar permissões no nível do recurso para gerenciar a capacidade de um usuário de executaroperações específicas no CloudTrail.

Por exemplo, você pode conceder a um usuário permissão para visualizar as atividades de uma trilha,mas impedir que ele inicie ou interrompa o registro dela. Você pode conceder a outro usuário permissãototal para criar e excluir trilhas. Desse modo, você tem o controle granular sobre as trilhas e o acesso dousuário.

Para obter mais informações sobre as permissões no nível do recurso, consulte Exemplos: criação eaplicação de políticas para ações em trilhas específicas (p. 236).

Para obter mais informações sobre várias trilhas, consulte os seguintes recursos:

• Como o CloudTrail se comporta nos âmbitos regional e global? (p. 10)• Perguntas frequentes do CloudTrail

Versão 1.0114

https://aws.amazon.com/cloudtrail/faqs/

AWS CloudTrail Guia do usuárioRegistrar em log eventos de gerenciamento para trilhas

Registrar em log eventos de gerenciamento paratrilhas

Por padrão, as trilhas registram em log todos os eventos de gerenciamento e não incluem eventos dedados nem eventos do Insights. Há cobranças adicionais para eventos de dados ou eventos do Insights.Para obter mais informações, consulte Definição de preço do AWS CloudTrail.

Sumário• Eventos de gerenciamento (p. 115)

• Registro de eventos de gerenciamento com o Console de gerenciamento da AWS (p. 115)• Eventos somente leitura e somente gravação (p. 116)• Registro de eventos com o AWS Command Line Interface (p. 117)• Registro de eventos com os SDKs do AWS (p. 119)• Enviar eventos ao Amazon CloudWatch Logs (p. 119)

Eventos de gerenciamentoOs eventos de gerenciamento fornecem visibilidade nas operações de gerenciamento executadas emrecursos na sua conta da AWS. Elas também são conhecidas como operações de plano de controle.Exemplos de eventos de gerenciamento incluem:

• Configuração da segurança (por exemplo, operações de API do IAM AttachRolePolicy).• Registro de dispositivos (por exemplo, operações de API do Amazon EC2 CreateDefaultVpc).• Configuração de regras para roteamento de dados (por exemplo, operações de API do Amazon EC2CreateSubnet).

• Configuração de registro (por exemplo, operações de API do AWS CloudTrail CreateTrail).

Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem nasua conta. Por exemplo, quando um usuário faz login na sua conta, o CloudTrail registra o eventoConsoleLogin. Para obter mais informações, consulte Eventos que não são da API capturados peloCloudTrail (p. 286). Para ver uma lista de eventos de gerenciamento com suporte que o CloudTrailregistra para serviços da AWS, consulte CloudTrail Serviços compatíveis e integrações (p. 20).

Por padrão, as trilhas são configuradas para registrar eventos de gerenciamento. Para ver uma listade eventos de gerenciamento com suporte que o CloudTrail registra para serviços da AWS, consulteCloudTrail Serviços compatíveis e integrações (p. 20).

Note

O recurso do CloudTrail Event history (Histórico de eventos) oferece suporte somente a eventosde gerenciamento. Nem todos os eventos de gerenciamento têm suporte no histórico deeventos. Para obter mais informações, consulte Visualizar eventos com o histórico de eventosCloudTrail (p. 44).

Registro de eventos de gerenciamento com o Console degerenciamento da AWS1. Acesse a página Trilhas do console do CloudTrail e escolha a trilha.2. Em Management events (Eventos de gerenciamento), clique no ícone de lápis.

Versão 1.0115


AWS CloudTrail Guia do usuárioEventos somente leitura e somente gravação

• Em Read/Write events (Eventos de leitura/gravação), escolha se você deseja que sua trilha registreAll (Todos), Read-only (Somente leitura), Write-only (Somente gravação) ou None (Nenhum) eescolha Save (Salvar).

• Em Log AWS KMS events (Registrar em log eventos do AWS KMS), selecione Yes (Sim) pararegistrar em log eventos do AWS Key Management Service (AWS KMS) na trilha. Selecione No(Não) para excluir eventos do AWS KMS da trilha. A configuração padrão é Sim.

As ações do AWS KMS, como Encrypt, Decrypt e GenerateDataKey normalmente geram umgrande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventosde Read (Leitura). As ações relevantes e de baixo volume do AWS KMS, como Disable, Deletee ScheduleKey (que normalmente representam menos de 0,5% do volume de eventos do AWSKMS) são registradas em log como eventos de Write (Gravação).


Selecione Save (Salvar) quando terminar.

Eventos somente leitura e somente gravaçãoAo configurar a trilha para registrar em log eventos de gerenciamento, é possível especificar se vocêdeseja eventos somente leitura, eventos somente gravação, ambos ou nenhum.

• Somente leitura

Os eventos somente leitura incluem operações de API que leem seus recursos, mas nãofazem alterações. Por exemplo, os eventos somente leitura incluem Amazon EC2 doDescribeSecurityGroups e operações de API DescribeSubnets. Essas operações retornamapenas informações sobre os recursos do Amazon EC2. Elas não alteram suas configurações.

• Somente gravação

Os eventos somente gravação incluem operações de API que modificam (ou podem modificar) seusrecursos. Por exemplo, Amazon EC2 do RunInstances e operações de API TerminateInstancesmodificam suas instâncias.

• Tudo

A trilha registra ambos.• Nenhum

A trilha não registra ambos os eventos de gerenciamento somente leitura e somente gravação.

Exemplo: Registro de eventos somente leitura e somente gravação para trilhas separadas

O exemplo a seguir mostra como você pode configurar as trilhas para dividir as atividades de log de umaconta em buckets do S3 separados: um bucket recebe eventos somente leitura e um segundo bucketrecebe eventos somente gravação.

1. Crie uma trilha e escolha um bucket do S3 chamado read-only-bucket para receber os arquivosde log. Depois, atualize a trilha para especificar se deseja eventos de gerenciamento somente leitura.

2. Crie uma segunda trilha e escolha um bucket do S3 chamado write-only-bucket para receber osarquivos de log. Então, atualize a trilha para especificar se deseja eventos de gerenciamento somentegravação.

Versão 1.0116

AWS CloudTrail Guia do usuárioRegistro de eventos com o AWS Command Line Interface

3. Amazon EC2 do DescribeInstances e operações de API TerminateInstances ocorrem na suaconta.

4. A operação de API DescribeInstances é um evento somente leitura que corresponde àsconfigurações da primeira trilha. A trilha registra e fornece o evento ao read-only-bucket.

5. A operação de API TerminateInstances é um evento somente gravação que corresponde àsconfigurações da segunda trilha. A trilha registra e fornece o evento ao write-only-bucket.

Registro de eventos com o AWS Command LineInterfaceÉ possível configurar as trilhas para registrar em log eventos de gerenciamento usando a AWS CLI.

Para visualizar se a trilha está registrando em log os eventos de gerenciamento, execute o comando get-event-selectors.


O exemplo a seguir retorna as configurações padrão de uma trilha. Por padrão, as trilhas registram emlog todos os eventos de gerenciamento, registram em log eventos de todas as origens de evento e nãoregistram em log eventos de dados.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para configurar a trilha para registrar em log eventos de gerenciamento, execute o comando put-event-selectors. O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos degerenciamento para dois objetos do S3. Você pode especificar seletores de eventos de 1 a 5 para umatrilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.

Note

O número máximo de recursos de dados do S3 é 250, independentemente do número deseletores de evento.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

O exemplo a seguir retorna o seletor de evento configurado para a trilha.

{ "EventSelectors": [ {

Versão 1.0117


"ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para excluir eventos do AWS Key Management Service (AWS KMS) dos logs de uma trilha, execute ocomando put-event-selectors e adicione o atributo ExcludeManagementEventSources comum valor de kms.amazonaws.com. O exemplo a seguir cria um seletor de eventos para uma trilhachamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação, masexcluir eventos do AWS KMS. Como o AWS KMS pode gerar um alto volume de eventos, o usuário desteexemplo pode querer limitar os eventos para gerenciar o custo de uma trilha. Nesta versão, é possívelexcluir eventos somente da origem de evento kms.amazonaws.com.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'

O exemplo a seguir retorna o seletor de eventos configurado para a trilha:

{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para iniciar o registro em log de eventos do AWS KMS em uma trilha novamente, transmita uma stringvazia como o valor de ExcludeManagementEventSources, conforme mostrado no comando a seguir.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

Para registrar eventos relevantes do AWS KMS em uma trilha, como Disable, Delete e ScheduleKey,mas excluir eventos de alto volume do AWS KMS, como Encrypt, Decrypt e GenerateDataKey,registre em log eventos de gerenciamento somente gravação e mantenha a configuração padrão pararegistrar em log eventos do AWS KMS, conforme mostrado no exemplo a seguir.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

Versão 1.0118

AWS CloudTrail Guia do usuárioRegistro de eventos com os SDKs do AWS

Registro de eventos com os SDKs do AWSUse a operação GetEventSelectors para ver se a trilha está registrando em log eventos de gerenciamentopara uma trilha. É possível configurar as trilhas para registrar em log eventos de gerenciamento com aoperação PutEventSelectors. Para obter mais informações, consulte o AWS CloudTrail API Reference.

Enviar eventos ao Amazon CloudWatch LogsO CloudTrail oferece suporte ao envio de eventos de dados e de gerenciamento ao CloudWatch Logs.Quando você configura a trilha para enviar eventos ao grupo de logs do CloudWatch Logs, o CloudTrailenvia somente os eventos especificados na sua trilha. Por exemplo, se você configurar a trilha pararegistrar em log somente eventos de gerenciamento, a trilha entregará eventos de gerenciamento somenteao grupo de logs do CloudWatch Logs. Para obter mais informações, consulte Monitorar arquivos de logCloudTrail com Amazon CloudWatch Logs (p. 131).

Registrar em log eventos de dados para trilhasPor padrão, as trilhas não registram em log eventos de dados. Há cobranças adicionais para eventos dedados. Para obter mais informações, consulte Definição de preço do AWS CloudTrail.

Note

Os eventos que são registrados pelas trilhas estão disponíveis no Eventos do AmazonCloudWatch. Por exemplo, se você configurar uma trilha para registrar eventos de dados deobjetos do S3, mas não eventos de gerenciamento, a trilha processará e registrará somenteeventos de dados dos objetos do S3 especificados. Os eventos de dados desses objetos do S3estão disponíveis no Eventos do Amazon CloudWatch. Para obter mais informações, consulteEventos de chamada da API do AWS no Guia do usuário do Eventos do Amazon CloudWatch.

Sumário• Eventos de dados (p. 119)

• Registro de eventos de dados com o Console de gerenciamento da AWS (p. 120)• Exemplos: Registro de eventos de dados de objetos do Amazon S3 (p. 121)• Registro de eventos de dados para objetos do S3 em outras contas da AWS (p. 123)

• Eventos somente leitura e somente gravação (p. 124)• Registro de eventos com o AWS Command Line Interface (p. 125)• Registro de eventos com os SDKs do AWS (p. 126)• Enviar eventos ao Amazon CloudWatch Logs (p. 126)

Eventos de dadosOs eventos de dados fornecem visibilidade nas operações do recurso executadas no recurso ou dentrode um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dadosgeralmente são atividades de alto volume.

Exemplos de eventos de dados incluem:

• Atividade de API do nível do objeto do Amazon S3 (por exemplo, operações de API GetObject,DeleteObject e PutObject)

• Atividade de execução da função AWS Lambda (a API Invoke)

Versão 1.0119

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/EventTypes.html#api_event_type

AWS CloudTrail Guia do usuárioEventos de dados

Eventos de dados são desativados por padrão quando você cria uma trilha. Para registrar eventos dedados do CloudTrail, é preciso adicionar claramente os recursos com suporte ou tipos de recursos paraos quais você deseja coletar atividade para uma trilha. Para obter mais informações, consulte Criar umatrilha (p. 69) e Eventos de dados (p. 119).

Há cobranças adicionais para o registro de eventos de dados. Para obter a definição de preço doCloudTrail, consulte Definição de preço do AWS CloudTrail.

Registro de eventos de dados com o Console de gerenciamentoda AWS1. Acesse a página Trails (Trilhas) do console do CloudTrail e escolha Create trail (Criar trilha).

Note

Embora você possa editar uma trilha existente para adicionar o registro de eventos de dados,como uma prática recomendada, considere a criação de uma trilha separada especificamentepara o registro de eventos de dados.

2. Para Eventos de dados, escolha o ícone de lápis para permitir a edição.3. Para eventos de dados do Amazon S3, na guia S3:

a. Para configurar registros de eventos de dados para todos os buckets to Amazon S3 na sua contado AWS, selecione Selecionar todos os buckets do S3 na sua conta. Selecione se você desejaregistrar eventos de Read (Leitura), como GetObject; eventos de Write (Gravação), comoPutObject; ou ambos os tipos de eventos. Essa configuração tem precedência sobre outrasconfigurações que você configura para buckets individuais. Por exemplo, se você especificaro registro de eventos de Read (Leitura) para todos os buckets do S3 e escolher adicionar umbucket específico ao registro de eventos de dados, Read (Leitura) já estará selecionada para essebucket. Você não pode limpar a seleção. Você pode somente configurar a opção para Gravação.

Note

Se você selecionar ou limpar uma opção para todos os buckets, essa alteração seráaplicada a todos os buckets que você pode ter configurado individualmente para osregistros de eventos de dados. Considere revisar as configurações de eventos de dadospara buckets individuais após alterar as configurações de eventos de dados para todosos buckets.Se você configurar o registro de eventos de dados para todos os buckets e sua contada AWS e você não quiser uma trilha de auditoria do registro de eventos de dados,considere a entrega de seus arquivos de log para um bucket do Amazon S3 quepertence a outra conta da AWS. Para obter mais informações, consulte Recebimento dearquivos de log do CloudTrail de várias contas (p. 183) e the section called “Exemplos:Registro de eventos de dados de objetos do Amazon S3” (p. 121).

b. Para configurar o registro de eventos de dados para buckets individuais do Amazon S3, selecioneAdd S3 bucket (Adicionar bucket do S3). Digite o prefixo (opcional) e o nome do bucket. Paracada trilha, você pode adicionar até 250 recursos de dados, como prefixos de buckets e objetosdo Amazon S3. O total geral de recursos de eventos de dados individuais não pode exceder 250em uma única trilha. Esse total inclui outros recursos de dados, como funções Lambda. Essarestrição não se aplica se você configura o registro de eventos de dados para todos os buckets doAmazon S3.

• Para registrar eventos de dados de todos os objetos do S3 em um bucket, especifique umbucket do S3 e um prefixo vazio. Quando ocorre um evento em um objeto nesse bucket do S3,a trilha processa e registra o evento. Para obter mais informações, consulte Exemplo: Registrode eventos de dados de todos os objetos do S3 (p. 121).

• Para registrar eventos de dados de prefixos do S3, especifique um bucket do S3 e o prefixodo objeto. Quando ocorre um evento em um objeto nesse bucket do S3 e o objeto começa

Versão 1.0120



com o prefixo especificado, a trilha processa e registra o evento. Para obter mais informações,consulte Exemplo: Registro de eventos de dados de objetos específicos do S3 (p. 122).

• Você também pode especificar objetos do S3 que pertencem a outras contas da AWS. Paraobter mais informações, consulte Registro de eventos de dados para objetos do S3 em outrascontas da AWS (p. 123).

c. Para cada recurso, especifique se você deseja registrar somente Leitura, Gravação ou ambos ostipos de eventos.

d. Você pode editar o nome do bucket, o prefixo, a opção Read/Write (Leitura/gravação) ou removero recurso selecionando o ícone x.

Note

Se você configurou o registro de eventos de dados para todos os buckets do S3 emsua conta da AWS, as configurações que você definiu terão precedência sobre asconfigurações de bucket individuais. Neste caso, não é possível editar uma opção queesteja definida para todos os buckets.

4. Para eventos de dados do Lambda, na guia Lambda:

a. Para configurar o registro de eventos de dados para funções Lambda individuais, selecione-asna lista. Se a trilha se aplica a todas as regiões daAWS, você pode selecionar entre as funçõesem todas as regiões em sua conta da AWS. Se a trilha se aplica a apenas uma região, você sópode selecionar entre as funções nessa região. Para cada trilha, você pode adicionar até 250recursos de dados, como funções individuais do Lambda. O total de recursos de eventos dedados individuais não pode exceder 250 em uma única trilha. Esse total inclui outros recursos dedados, como prefixos de buckets e objetos do Amazon S3. Essa restrição não se aplica se vocêconfigura o registro de eventos de dados para todas as funções do Lambda.

Note

Se você tiver mais de 15.000 funções do Lambda em sua conta, não poderá visualizarou selecionar todas as funções no console do CloudTrail. Você ainda pode selecionara opção de registrar todas as funções do Lambda. Você também poderá adicionarmanualmente uma função se souber o seu ARN, ou você poderá usar o AWS CLI e ocomando put-event-selectors para configurar o registro de eventos de dados específicospara recursos. Para obter mais informações, consulte Gerenciar trilhas com a AWSCLI (p. 82).

b. Para configurar o registro de eventos de dados para todas as funções do Lambda em sua contada AWS, e qualquer função do Lambda que você poderá criar no futuro, selecione Registrar todasas funções atuais e futuras. Se a trilha se aplicar a todas as regiões, isso registrará todas asfunções em todas as regiões na sua conta da AWS, incluindo qualquer uma que você poderá criarem qualquer região. Se a trilha se aplicar a uma única região, isso registrará todas as funçõesna região atual e qualquer uma que você poderá criar nessa região, mas não permitirá o registrode funções em outras regiões. O registro de eventos de dados para todas as funções tambémpermitirá o registro de atividades de eventos de dados realizadas por qualquer usuário ou funçãoem sua conta da AWS, mesmo se essa atividade for realizada em uma função que pertence aoutra conta da AWS.

5. Escolha Save (Salvar).

Exemplos: Registro de eventos de dados de objetos do AmazonS3Registro de eventos de dados para todos os objetos do S3 em um bucket do S3

O exemplo a seguir demonstra como o registro funciona quando você configura o registro de todos oseventos de dados para um bucket do S3 chamado bucket-1. Neste exemplo, o usuário do CloudTrail

Versão 1.0121


especificou um prefixo vazio e a opção de registrar ambos os eventos de dados de Read (Leitura) e Write(Gravação).

1. Um usuário carrega um objeto no bucket-1.2. A operação da API PutObject é uma API de nível de objeto do Amazon S3. Ela é registrada como

um evento de dados do CloudTrail. Como o usuário do CloudTrail especificou um bucket do S3 comum prefixo vazio, os eventos que ocorrem em qualquer objeto desse bucket são registrados. A trilhaprocessa e registra o evento.

3. Outro usuário carrega um objeto no bucket-2.4. A operação de API PutObject ocorreu em um objeto em um bucket do S3 que não foi especificado

para a trilha. A trilha não registra o evento.

Registro de eventos de dados para objetos específicos do S3

O exemplo a seguir demonstra como o registro funciona quando você configura uma trilha para registrareventos para objetos específicos do S3. Neste exemplo, o usuário do CloudTrail especificou um bucket doS3 chamado bucket-3, com o prefixo my-images e a opção de registrar somente eventos de dados deWrite (Gravação).

1. Um usuário exclui um objeto que começa com o prefixo my-images no bucket, comoarn:aws:s3:::bucket-3/my-images/example.jpg.

2. A operação da API DeleteObject é uma API de nível de objeto do Amazon S3. Ela é registradacomo um evento de dados de Gravação no CloudTrail. O evento ocorreu em um objeto quecorresponde ao bucket do S3 e ao prefixo especificado na trilha. A trilha processa e registra o evento.

3. Outro usuário exclui um objeto com um prefixo diferente no bucket do S3, comoarn:aws:s3:::bucket-3/my-videos/example.avi.

4. O evento ocorreu em um objeto que não corresponde ao prefixo especificado na sua trilha. A trilha nãoregistra o evento.

5. Um usuário chama a operação de API GetObject do objeto, arn:aws:s3:::bucket-3/my-images/example.jpg.

6. O evento ocorreu em um bucket e prefixo que são especificados na trilha, mas GetObject é um tipode leitura de API no nível de objeto do Amazon S3. Ele é registrado como um evento de dados deLeitura no CloudTrail e a trilha não está configurada para registrar eventos de Gravação. A trilha nãoregistra o evento.

Note

Se você estiver registrando eventos de dados específicos para buckets do Amazon S3,recomendamos que não use um bucket do Amazon S3 para os quais você está registrandoeventos de dados para receber os arquivos de log que você especificou na seção de eventos dedados. Usar o mesmo bucket do Amazon S3 faz com que sua trilha registre eventos de dadoscada vez que os arquivos de log são entregues ao bucket do Amazon S3. Os arquivos de log sãoeventos agregados entregues em intervalos, de modo que esta não é uma proporção de 1:1 deevento para arquivo de log; o evento é registrado no próximo arquivo de log. Por exemplo, quandoa trilha fornece logs, o evento PutObject ocorre no bucket do S3. Se o bucket do S3 tambémé especificado na seção de eventos de dados, a trilha processa e registra o evento PutObjectcomo um evento de dados. Essa ação é outro evento PutObject, e a trilha processa e registra oevento novamente. Para obter mais informações, consulte Como CloudTrail funciona (p. 1).Para evitar o registro de eventos de dados para o bucket do Amazon S3, onde você recebeos arquivos de log, se você configurar uma trilha para registrar todos os eventos de dados doAmazon S3 em sua conta da AWS, considere configurar a entrega de arquivos de log para umbucket do Amazon S3 que pertence a outra conta da AWS. Para obter mais informações, consulteRecebimento de arquivos de log do CloudTrail de várias contas (p. 183).

Versão 1.0122


Registro de eventos de dados para objetos do S3 em outrascontas da AWSAo configurar sua trilha para registrar eventos de dados, você também pode especificar objetos do S3 quepertencem a outras contas da AWS. Quando ocorre um evento em um objeto especificado, o CloudTrailavalia se ele corresponde a todas as trilhas em cada conta. Se o evento corresponder às configuraçõesde uma trilha, ela processará e registrará o evento dessa conta. Geralmente, tanto os chamadores de APIquanto os proprietários de recursos podem receber eventos.

Se você tem um objeto do S3 e especifica esse objeto na sua trilha, ela registra eventos que ocorrem noobjeto na sua conta. Como você possui o objeto, a trilha também registra eventos quando outras contaschamam o objeto.

Se você especificar um objeto do S3 na sua trilha e outra conta for a proprietária do objeto, a trilharegistrará somente eventos que ocorrerem nesse objeto na sua conta. A trilha não registra eventos queocorrem em outras contas.

Exemplo: Registro de eventos de dados de um objeto do S3 para duas contas da AWS

O exemplo a seguir mostra como duas contas da AWS configuram o CloudTrail para registrar eventos domesmo objeto do S3.

1. Na sua conta, você quer que a trilha registre eventos de dados de todos os objetos no seu bucketdo S3 chamado owner-bucket. Configure a trilha especificando o bucket do S3 com um prefixo deobjeto vazio.

2. Bob tem uma conta separada que recebeu acesso ao bucket do S3. Bob também quer registrareventos de dados de todos os objetos no mesmo bucket do S3. Ele configura sua trilha e especifica omesmo bucket do S3 com um prefixo de objeto vazio.

3. Bob faz o upload de um objeto no bucket do S3 com a operação de API PutObject.4. Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bob

processa e registra o evento.5. Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela também

processa e registra o mesmo evento. Como agora existem duas cópias do evento (uma registrada natrilha de Bob e outra na sua), o CloudTrail cobra por duas cópias do evento de dados.

6. Faça upload de um objeto do bucket do S3.7. Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e

registra o evento.8. Como o evento não ocorreu na conta de Bob, e ele não possui o bucket do S3, a trilha de Bob não

registra o evento. O CloudTrail cobrará apenas uma cópia desse evento de dados.

Exemplo: Registrar eventos de dados para todos os buckets, incluindo um bucket do S3 usado porduas contas da AWS

O exemplo a seguir mostra o comportamento de registro em log quando Select all S3 buckets in youraccount (Selecionar todos os buckets do S3 em sua conta) está habilitada para trilhas que coletam eventosde dados em uma conta da AWS.

1. Em sua conta, você deseja que sua trilha registre eventos de dados para todos os buckets do S3.Configure a trilha escolhendo Select all S3 buckets in your account (Selecionar todos os buckets do S3em sua conta) em Data events (Eventos de dados).

2. Bob tem uma conta separada que recebeu acesso a um bucket do S3 em sua conta. Ele desejaregistrar eventos de dados para o bucket ao qual ele tem acesso. Ele configura sua trilha para obtereventos de dados para todos os buckets do S3.

3. Bob faz o upload de um objeto no bucket do S3 com a operação de API PutObject.

Versão 1.0123

AWS CloudTrail Guia do usuárioEventos somente leitura e somente gravação

4. Esse evento ocorreu em sua conta e corresponde às configurações de sua trilha. A trilha de Bobprocessa e registra o evento.

5. Como você possui o bucket do S3 e o evento corresponde às configurações da sua trilha, ela tambémprocessa e registra o evento. Como agora existem duas cópias do evento (uma registrada na trilha deBob e outra na sua), o CloudTrail cobra de cada conta uma cópia do evento de dados.

6. Faça upload de um objeto do bucket do S3.7. Esse evento ocorre na sua conta e corresponde às configurações da sua trilha. Sua trilha processa e

registra o evento.8. Como o evento não ocorreu na conta de Bob, e ele não possui o bucket do S3, a trilha de Bob não

registra o evento. O CloudTrail cobrará apenas uma cópia desse evento de dados em sua conta.9. Um terceiro usuário, Mary, tem acesso ao bucket do S3 e executa uma operação GetObject no

bucket. Ela tem uma trilha configurada para registrar eventos de dados em todos os buckets do S3em sua respectiva conta. Como ela é a chamadora da API, o CloudTrail registra um evento de dadosem sua respectiva trilha. Embora Bob tenha acesso ao bucket, ele não é o proprietário do recurso,então nenhum evento é registrado em sua trilha dessa vez. Como proprietário do recurso, você recebeum evento em sua trilha sobre a operação GetObject que Mary chamou. O CloudTrail cobra de suaconta e da conta de Mary por cada cópia do evento de dados: uma na trilha de Mary e outra na sua.

Eventos somente leitura e somente gravaçãoAo configurar sua trilha para registrar dados e eventos de gerenciamento, especifique se deseja eventossomente leitura, somente gravação, ambos ou nenhum. Os eventos do Insights registram em log somenteatividades com base em eventos somente gravação.

• Somente leitura

Os eventos somente leitura incluem operações de API que leem seus recursos, mas nãofazem alterações. Por exemplo, os eventos somente leitura incluem Amazon EC2 doDescribeSecurityGroups e operações de API DescribeSubnets. Essas operações retornamapenas informações sobre os recursos do Amazon EC2. Elas não alteram suas configurações.

• Somente gravação

Os eventos somente gravação incluem operações de API que modificam (ou podem modificar) seusrecursos. Por exemplo, Amazon EC2 do RunInstances e operações de API TerminateInstancesmodificam suas instâncias.

• Tudo

A trilha registra ambos.• Nenhum

A trilha não registra ambos os eventos de gerenciamento somente leitura e somente gravação.

Exemplo: Registro de eventos somente leitura e somente gravação para trilhas separadas

O exemplo a seguir mostra como você pode configurar as trilhas para dividir as atividades de log de umaconta em buckets do S3 separados: um bucket recebe eventos somente leitura e um segundo bucketrecebe eventos somente gravação.

1. Crie uma trilha e escolha um bucket do S3 chamado read-only-bucket para receber os arquivosde log. Atualize a trilha para especificar que você deseja ver eventos de dados e de gerenciamentosomente leitura.

2. Crie uma segunda trilha e escolha um bucket do S3 chamado write-only-bucket para receberos arquivos de log. Atualize a trilha para especificar que você deseja ver eventos de dados e degerenciamento somente gravação.

Versão 1.0124


3. Amazon EC2 do DescribeInstances e operações de API TerminateInstances ocorrem na suaconta.

4. A operação de API DescribeInstances é um evento somente leitura que corresponde àsconfigurações da primeira trilha. A trilha registra e fornece o evento ao read-only-bucket.

5. A operação de API TerminateInstances é um evento somente gravação que corresponde àsconfigurações da segunda trilha. A trilha registra e fornece o evento ao write-only-bucket.

Registro de eventos com o AWS Command LineInterfaceVocê pode configurar suas trilhas para registrar eventos de gerenciamento e de dados usando a AWS CLI.

Para visualizar se a trilha está registrando eventos de dados e de gerenciamento, execute o comandoget-event-selectors.


O exemplo a seguir retorna as configurações padrão de uma trilha. Por padrão, as trilhas registram todosos eventos de gerenciamento e não registram eventos de dados.

{ "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para configurar a trilha para registrar eventos de gerenciamento e de dados, execute o comando put-event-selectors. O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos degerenciamento e de dados de dois objetos do S3. Você pode especificar seletores de eventos de 1 a 5para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.

Note

O número máximo de recursos de dados do S3 é 250, independentemente do número deseletores de evento.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

O exemplo a seguir retorna o seletor de evento configurado para a trilha.

{ "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [

Versão 1.0125


"arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Registro de eventos com os SDKs do AWSUse a operação GetEventSelectors para ver se a trilha está registrando em log eventos de dados parauma trilha. É possível configurar as trilhas para registrar em log eventos de dados com a operaçãoPutEventSelectors. Para obter mais informações, consulte o AWS CloudTrail API Reference.

Enviar eventos ao Amazon CloudWatch LogsO CloudTrail oferece suporte ao envio de eventos de dados ao CloudWatch Logs. Quando você configuraa trilha para enviar eventos ao grupo de logs do CloudWatch Logs, o CloudTrail envia somente os eventosespecificados na sua trilha. Por exemplo, se você configurar sua trilha para registrar somente eventos dedados, ela fornecerá eventos de dados somente ao grupo de logs do CloudWatch Logs. Para obter maisinformações, consulte Monitorar arquivos de log CloudTrail com Amazon CloudWatch Logs (p. 131).

Registrar em log eventos do Insights para trilhasO AWS CloudTrail Insights ajuda os usuários da AWS a identificar e responder à atividade incomumassociada às chamadas de API write analisando continuamente os eventos de gerenciamento doCloudTrail.

Os Insights events são registrados em log quando o CloudTrail detecta atividade incomum da API degerenciamento write na conta. Se o CloudTrail Insights estiver ativado e o CloudTrail detectar atividadeincomum, os Insights events serão entregues ao bucket de destino do S3 da trilha. Também é possívelver o tipo de insight e o período do incidente ao visualizar Insights events no console do CloudTrail.Ao contrário de outros tipos de eventos capturados em uma trilha do CloudTrail, Insights events sãoregistrados em log somente quando o CloudTrail detecta alterações no uso de API da conta que diferemsignificativamente dos padrões de uso típicos da conta.

O CloudTrail Insights monitora continuamente os eventos de gerenciamento de write do CloudTrail eusa modelos matemáticos para determinar os níveis normais da atividade de eventos de API e de serviçode uma conta. O CloudTrail Insights identifica o comportamento fora dos padrões normais, gera Insightsevents e entrega esses eventos a uma pasta /CloudTrail-Insight no destino escolhido do bucket doS3 para a trilha. Também é possível acessar e visualizar Insights events no Console de gerenciamentoda AWS do CloudTrail. Para obter mais informações sobre como acessar e visualizar Insights events noconsole usando a AWS CLI, consulte Visualizar eventos do CloudTrail Insights (p. 55) neste guia.

Por padrão, as trilhas registram em log todos os eventos de gerenciamento e não incluem eventos dedados ou Insights events. Há cobranças adicionais para eventos de dados e Insights events. Para obtermais informações, consulte Definição de preço do AWS CloudTrail.

Quando ocorre um evento na sua conta, o CloudTrail avalia se ele corresponde às configurações das suastrilhas. Somente eventos que correspondem às suas configurações de trilhas são fornecidos ao bucket doAmazon S3 e ao grupo de logs do Amazon CloudWatch Logs.

Versão 1.0126

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html



AWS CloudTrail Guia do usuárioNoções básicas do Insights

Sumário• Noções básicas do Insights (p. 127)• Registrar em log eventos do Insights com o Console de gerenciamento da AWS (p. 129)• Registrar em log eventos do Insights com a AWS Command Line Interface (p. 129)• Registro de eventos com os SDKs do AWS (p. 130)• Enviar eventos ao Amazon CloudWatch Logs (p. 130)

Noções básicas do InsightsO CloudTrail Insights pode ajudar você a detectar atividade de API incomum em sua conta da AWSaumentando Insights events. O CloudTrail Insights rastreia os padrões normais de volume de chamada deAPI e gera Insights events quando o volume está fora dos padrões normais. Insights events são geradospara APIs de gerenciamento de write.

Após ativar o CloudTrail Insights pela primeira vez em uma trilha, pode levar até 36 horas para que oCloudTrail entregue o primeiro evento do Insights, caso seja detectada atividade incomum. O CloudTrailInsights analisa eventos de gerenciamento de gravação que ocorrem em uma única região, nãoglobalmente. Um evento do CloudTrail Insights é gerado na mesma região em que os seus eventos degerenciamento de suporte são gerados.

A imagem a seguir mostra um exemplo de Insights events. Abra páginas de detalhes para um evento doInsights escolhendo um nome de evento do Insights nas páginas Dashboard (Painel) ou Insights. A páginade detalhes de um evento do Insights mostra um gráfico do volume de chamadas de uma API que ocorreudurante um período antes e depois de um ou mais Insights events serem registrados em log. No gráfico,Insights events são destacados com barras verticais, com a largura da barra mostrando a hora de início ede término do evento do Insights.

Neste exemplo, uma faixa vertical em destaque mostra números incomuns da chamadas de API AWSSystems Manager UpdateInstanceInformation em uma conta. Na área destacada, como o númerode chamadas UpdateInstanceInformation excedeu o intervalo normal da conta de 100,4 chamadaspor minuto, o CloudTrail registrou em log um evento do Insights quando detectou a atividade incomum. Oevento do Insights registrou que até 875 chamadas UpdateInstanceInformation foram feitas por voltadas 13h37. Isso é cerca de 775 mais chamadas para essa API por minuto do que o esperado para a conta.Neste exemplo, o intervalo de tempo do gráfico é de uma hora: 13h10. Horário de Verão do Pacífico em 1ºde novembro de 2019 às 14h10. Horário de Verão do Pacífico em 1º de novembro de 2019. Este eventotem uma hora de início de 13h37. Horário de Verão do Pacífico em 1º de novembro de 2019 e uma hora detérmino de 13h38. Horário de Verão do Pacífico.

A coluna da esquerda lista Insights events relacionadas à API de assunto e que têm o mesmo tipo deevento do Insights.

Versão 1.0127

AWS CloudTrail Guia do usuárioNoções básicas do Insights

Na guia CloudTrail events (Eventos do CloudTrail), visualize eventos relacionados que o CloudTrailanalisou para determinar que ocorreu uma atividade incomum. Observe que um filtro já está aplicadoao nome do evento do Insights, que também é o nome da API relacionada. A guia CloudTrail events(Eventos do CloudTrail) mostra os eventos de gerenciamento do CloudTrail relacionados à API de assuntoque ocorreram entre a hora de início e a hora de término do evento do Insights. Esses eventos ajudama executar uma análise mais profunda para determinar a provável causa de um evento do Insights e osmotivos da atividade de API incomum.

Se você desativar o CloudTrail Insights em uma trilha ou interromper o registro em log em uma trilha (o quedesativa o CloudTrail Insights), talvez você tenha Insights events armazenados no bucket de destino do S3ou exibidos na página Insights do console com data a partir da primeira hora em que o Insights foi ativado.

Versão 1.0128

AWS CloudTrail Guia do usuárioRegistrar em log eventos do Insights com

o Console de gerenciamento da AWS

Registrar em log eventos do Insights com o Consolede gerenciamento da AWSAtive a coleção de eventos do Insights em uma trilha existente. Por padrão, a coleção de eventos doInsights não está ativada.

1. Acesse a página Trails (Trilhas) do console do CloudTrail e escolha uma trilha.2. Em Insights events, selecione o ícone de lápis.3. Em Log Insights events (Registrar em log Insights events), selecione Yes (Sim). Selecione Salvar para

salvar as alterações.

Pode levar até 36 horas para que o CloudTrail entregue os primeiros Insights events, caso seja detectadaatividade incomum.

Registrar em log eventos do Insights com a AWSCommand Line InterfaceÉ possível configurar as trilhas para registrar em log Insights events usando a AWS CLI.

Para visualizar se as trilhas está registrando em log Insights events, execute o comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

O resultado a seguir mostra as configurações padrão para uma trilha. Por padrão, as trilhas não registramem log Insights events. O valor do atributo InsightType está vazio, e nenhum seletor de eventos doInsight é especificado, pois a coleção de eventos do Insights não está ativada.

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"}

Para configurar a trilha a fim de registrar e, log Insights events, execute o comando put-insight-selectors. O exemplo a seguir mostra como configurar a trilha para incluir Insights events. Nessaversão, o único seletor do Insights é ApiCallRateInsight.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"}]'

O resultado a seguir mostra o seletor de eventos do Insights que está configurado para a trilha.

{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" }

Versão 1.0129


], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"}

Registro de eventos com os SDKs do AWSExecute a operação GetInsightSelectors para ver se a trilha está registrando em log Insights eventspara uma trilha. É possível configurar as trilhas para registrar em log Insights events com a operaçãoPutInsightSelectors. Para obter mais informações, consulte o AWS CloudTrail API Reference.

Enviar eventos ao Amazon CloudWatch LogsO CloudTrail oferece suporte ao envio de Insights events para o CloudWatch Logs. Ao configurar a trilhapara enviar Insights events ao grupo de logs do CloudWatch Logs, o CloudTrail Insights envia somente oseventos especificado na trilha. Por exemplo, se você configurar a trilha para registrar em log eventos degerenciamento e Insights events, a trilha entrega eventos de gerenciamento e Insights events no grupode logs do CloudWatch Logs. Para configurar o Eventos do CloudWatch com o console ou com a API doCloudWatch, selecione o tipo de evento AWS Insight via CloudTrail na página Create rule (Criarregra) no console do CloudWatch. Para obter informações, consulte Monitorar arquivos de log CloudTrailcom Amazon CloudWatch Logs (p. 131).

Recebimento de arquivos de log do CloudTrail devárias regiões

Você pode configurar o CloudTrail para fornecer arquivos de log de várias regiões a um único bucket do S3para uma única conta. Por exemplo, você tem uma trilha em Região Oeste dos EUA (Oregon) configuradapara fornecer arquivos de log a um bucket do S3 e um grupo de logs do CloudWatch Logs. Quando vocêaplica a trilha a todas as regiões, o CloudTrail cria uma nova trilha em todas as outras regiões. Essa trilhapossui a configuração da trilha original. CloudTrail fornece arquivos de log ao mesmo bucket do S3 e grupode CloudWatch Logs logs. Desde que o CloudTrail tenha permissões para gravar em um bucket do S3, obucket de uma trilha de várias regiões não precisa estar na região inicial da trilha.

Para receber arquivos de log do CloudTrail de várias regiões


2. Escolha Trails (Trilhas) e depois escolha um nome para a trilha.3. Clique no ícone de lápis ao lado de Apply trail to all regions (Aplicar trilha a todas as regiões) e

escolha Yes (Sim).4. Escolha Save (Salvar). A trilha original agora é replicada entre todas as regiões. CloudTrail fornece

arquivos de log de todas as regiões ao bucket do S3 especificado.

Note

Quando uma nova região é iniciada na partição aws, o CloudTrail cria automaticamente uma trilhapara você na nova região com as mesmas configurações da trilha original.

Para obter mais informações, consulte os recursos a seguir:

• Como o CloudTrail se comporta nos âmbitos regional e global? (p. 10)• Perguntas frequentes do CloudTrail

Versão 1.0130

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html





https://aws.amazon.com/cloudtrail/faqs/

AWS CloudTrail Guia do usuárioMonitorar arquivos de log CloudTrail

com Amazon CloudWatch Logs

Monitorar arquivos de log CloudTrail com AmazonCloudWatch Logs

Você pode configurar CloudTrail com CloudWatch Logs para monitorar seus logs de trilha e ser notificadoquando ocorrerem atividades específicas.

1. Configure a sua trilha para enviar eventos de log para CloudWatch Logs.2. Defina filtros de métricas CloudWatch Logs para avaliar os eventos de log para correspondências em

termos, frases ou valores. Por exemplo, você pode monitorar eventos ConsoleLogin.3. Atribua métricas CloudWatch aos filtros de métricas.4. Crie alarmes CloudWatch que são acionados de acordo com os limites e os períodos que você

especificar. Você pode configurar alertas para enviar notificações quando os alarmes foremacionados. Assim, você poderá realizar uma ação.

5. Você também pode configurar CloudWatch para realizar uma ação automaticamente em resposta aum alarme.

Aplica-se a definição de preço padrão para Amazon CloudWatch e Amazon CloudWatch Logs. Para obtermais informações, consulte Definição de preço do Amazon CloudWatch.

Para obter mais informações sobre as regiões nas quais você pode configurar as trilhas para enviar logsao CloudWatch Logs, consulte Regiões e cotas do Amazon CloudWatch Logs na Referência geral daAWS.

A região AWS GovCloud (Oeste dos EUA) requer uma conta separada. Para obter mais informações,consulte AWS GovCloud (Oeste dos EUA).

Tópicos• Enviar eventos ao CloudWatch Logs (p. 131)• Criar alarmes CloudWatch com um modelo AWS CloudFormation (p. 136)• Criar alarmes CloudWatch para eventos CloudTrail: exemplos (p. 147)• Criar alarmes CloudWatch para eventos CloudTrail: outros exemplos (p. 171)• Configurar notificações para alarmes CloudWatch Logs (p. 180)• Interromper CloudTrail de enviar eventos para CloudWatch Logs (p. 180)• CloudWatch Denominação do grupo de log e do fluxo de log para CloudTrail (p. 181)• Documento de política função para CloudTrail usar CloudWatch Logs para monitoramento (p. 181)

Enviar eventos ao CloudWatch LogsQuando você configura a sua trilha para enviar eventos para CloudWatch Logs, CloudTrail envia somenteos eventos que correspondem às configurações da trilha. Por exemplo, se você configurar a trilha pararegistrar em log somente eventos de dados, ela enviará eventos de dados somente ao seu grupo delogs do CloudWatch Logs. O CloudTrail oferece suporte ao envio de dados, a Insights e a eventos degerenciamento para o CloudWatch Logs. Para obter mais informações, consulte Como trabalhar comarquivos de log CloudTrail (p. 112).

Para enviar eventos a um grupo de log CloudWatch Logs:

• Verifique se você tem permissões suficientes para criar ou especificar uma função do IAM. Para maisinformações, consulte Conceder permissão para visualizar e configurar informações do AmazonCloudWatch Logs no console do CloudTrail (p. 243).

Versão 1.0131


https://docs.aws.amazon.com/general/latest/gr/cwl_region.html

https://aws.amazon.com/govcloud-us/

AWS CloudTrail Guia do usuárioEnviar eventos ao CloudWatch Logs

• Crie uma nova trilha ou especifique uma existente. Para obter mais informações, consulte Criar eatualizar uma trilha com o console (p. 69).

• Crie um grupo de logs ou especifique um existente.• Especifique uma função IAM. Se você estiver modificando uma função do IAM existente de uma

trilha da organização, deverá atualizar manualmente a política para permitir o registro da trilha. Paraobter mais informações, consulte este exemplo de política (p. 135) e Criar uma trilha para umaorganização (p. 90).

• Anexe uma política de função ou use a política padrão.

Sumário• Configurar o monitoramento CloudWatch Logs com o console (p. 132)

• Criar um grupo de logs ou especificar um existente (p. 132)• Especificar uma função IAM (p. 133)• Visualizar eventos no console CloudWatch (p. 133)

• Configurar o monitoramento CloudWatch Logs com AWS CLI (p. 133)• Criar um grupo de logs (p. 134)• Criar uma função (p. 134)• Criar um documento de política (p. 134)• Atualizar a trilha (p. 136)

• Limitação (p. 136)

Configurar o monitoramento CloudWatch Logs com o consoleVocê pode usar Console de gerenciamento da AWS para configurar a sua trilha para enviar eventos paraCloudWatch Logs para monitoramento.

Criar um grupo de logs ou especificar um existenteCloudTrail usa um grupo de logs CloudWatch Logs como um endpoint de entrega de eventos de log. Vocêpode criar um grupo de logs ou especificar um existente.

Para criar ou especificar um grupo de logs

1. Verifique se você está conectado com um usuário administrativo ou função do IAM com permissõessuficientes para configurar a integração do CloudWatch Logs. Para mais informações, consulteConceder permissão para visualizar e configurar informações do Amazon CloudWatch Logs noconsole do CloudTrail (p. 243).

2. Abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.3. Escolha o nome da trilha. Se você escolher uma trilha que se aplica a todas as regiões, será

redirecionado à região em que ela foi criada. Você pode criar um grupo de logs ou escolher umexistente na mesma região que a trilha.

Note

Uma trilha que se aplica a todas as regiões envia arquivos de log de todas as regiões para ogrupo de logs CloudWatch Logs que você especificar.

4. Para CloudWatch Logs, escolha Configure (Configurar).5. Em New or existing log group (Grupo de log novo ou existente), digite o nome do grupo do log e

escolha Continue (Continuar). Para obter mais informações, consulte CloudWatch Denominação dogrupo de log e do fluxo de log para CloudTrail (p. 181).

6. Para a função IAM, escolha uma função existente ou crie uma. Se você criar uma função IAM, digiteum nome para ela.

Versão 1.0132



7. Escolha Allow para conceder ao CloudTrail permissões para criar um fluxo de logs CloudWatch Logs efornecer eventos.

Especificar uma função IAM

Você pode especificar uma função que CloudTrail deverá assumir para fornecer eventos ao fluxo de logs.

Para especificar uma função

1. Por padrão, a CloudTrail_CloudWatchLogs_Role é especificada para você. A política de funçãopadrão tem as permissões necessárias para criar um fluxo de logs CloudWatch Logs em um grupo delogs que você especificar e para fornecer eventos CloudTrail a esse fluxo de logs.

Note

Se você quiser usar essa função para um grupo de logs de uma trilha da organização, deverámodificar manualmente a política após a criação da função. Para obter mais informações,consulte este exemplo de política (p. 135) e Criar uma trilha para uma organização (p. 90).

a. Para verificar a função, acesse o console AWS Identity and Access Management em https://console.aws.amazon.com/iam/.

b. Escolha Roles (Funções) e escolha o CloudTrail_CloudWatchLogs_Role.c. Para ver o conteúdo da política de função, escolha View Policy Document (Visualizar documento

da política).2. Você pode especificar outra função, mas deve anexar a política de função obrigatória à função

existente, se deseja usá-la para enviar eventos para CloudWatch Logs. Para obter maisinformações, consulte Documento de política função para CloudTrail usar CloudWatch Logs paramonitoramento (p. 181).

Visualizar eventos no console CloudWatch

Após configurar a sua trilha para enviar eventos para o seu grupo de log CloudWatch Logs, é possívelvisualizar os eventos no console CloudWatch. CloudTrail normalmente fornece os eventos para o seugrupo de log alguns minutos após uma chamada de API.

Para visualizar eventos no console CloudWatch

1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. Escolha Logs.3. Escolha o grupo de logs que você especificou para a sua trilha.4. Escolha o nome do fluxo de logs.5. Para ver os detalhes do evento que sua trilha registrou, escolha um evento.

Note

A coluna Horário (UTC) no console CloudWatch mostra quando o evento foi fornecido ao seugrupo de logs. Para ver o horário real em que o evento foi registrado pelo CloudTrail, consulte ocampo eventTime.

Configurar o monitoramento CloudWatch Logs com AWS CLIVocê pode usar AWS CLI para configurar CloudTrail para enviar eventos para CloudWatch Logs paramonitoramento.

Versão 1.0133

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/cloudwatch/


Criar um grupo de logs

1. Se você não tem um grupo de logs existente, crie um grupo de logs CloudWatch Logs como umendpoint de entrega de eventos de log usando o comando CloudWatch Logs create-log-group.

aws logs create-log-group --log-group-name name

O exemplo a seguir cria um grupo de logs chamado CloudTrail/logs:

aws logs create-log-group --log-group-name CloudTrail/logs

2. Recupere o grupo de logs Nome de recurso da Amazon (ARN).

aws logs describe-log-groups

Criar uma funçãoCrie uma função para CloudTrail que permita que ele envie eventos ao grupo de logs CloudWatch Logs.O comando IAM create-role usa dois parâmetros: um nome de função e um caminho de arquivo paraum documento de política para assumir uma função no formato JSON. O documento de política que vocêusa concede a AssumeRole permissões de CloudTrail. O comando create-role cria a função com aspermissões necessárias.

Para criar o arquivo JSON que conterá o documento de política, abra um editor de texto e salve o conteúdode política a seguir em um arquivo chamado assume_role_policy_document.json.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Execute o comando a seguir para criar a função com permissões de AssumeRole para CloudTrail.

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Quando o comando for concluído, anote o ARN da função no resultado.

Criar um documento de políticaCrie o seguinte documento de política de função para CloudTrail. Este documento concede a CloudTrail aspermissões necessárias para criar um fluxo de log CloudWatch Logs no grupo de log especificado e parafornecer eventos CloudTrail para esse fluxo de log.

{ "Version": "2012-10-17", "Statement": [ {

Versão 1.0134


"Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ]

}, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ]}

Salve o documento de política em um arquivo chamado role-policy-document.json.

Se você criar uma política que também pode ser usada para trilhas da organização, precisará configurá-la de maneira um pouco diferente. Por exemplo, a política a seguir concede ao CloudTrail as permissõesnecessárias para criar um fluxo de logs do CloudWatch Logs no grupo de logs especificado e para fornecereventos do CloudTrail a esse fluxo de logs para ambas as trilhas na conta da AWS 111111111111 epara trilhas da organização criadas na conta 111111111111 que são aplicadas à organização do AWSOrganizations com o ID de o-exampleorgid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] }

Versão 1.0135

AWS CloudTrail Guia do usuárioCriar alarmes CloudWatch com

um modelo AWS CloudFormation

]}

Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para umaorganização (p. 90).

Execute o comando a seguir para aplicar a política à função.

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Atualizar a trilhaAtualize a trilha com o grupo de log e as informações da função usando o comando CloudTrail update-trail.

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Para obter mais informações sobre os comandos da AWS CLI, consulte a Referência da linha de comandodo AWS CloudTrail.

LimitaçãoComo o CloudWatch Logs tem uma limitação de tamanho de evento de 256 KB, o CloudTrail nãoenvia eventos maiores que 256 KB para o CloudWatch Logs. Por exemplo, uma chamada para a APIRunInstances do EC2 para ativar 500 instâncias excederá o limite de 256 KB. CloudTrail não enviará oevento para CloudWatch Logs. Para garantir que o CloudTrail envie eventos para CloudWatch Logs, dividasolicitações grandes em lotes menores.

Criar alarmes CloudWatch com um modelo AWSCloudFormationApós configurar a sua trilha para entregar arquivos de log em seu grupo de logs CloudWatch, é possívelcriar alarmes e filtros de métrica CloudWatch para monitorar os eventos nos arquivos de log. Por exemplo,é possível especificar um evento, como a operação Amazon EC2 RunInstances, para que CloudWatchenvie notificações quando esse evento ocorrer na sua conta. É possível criar seus filtros e alarmesseparadamente ou usar o modelo AWS CloudFormation para definir todos eles de uma vez.

É possível usar o exemplo de modelo do CloudFormation como é ou como referência para criar o seupróprio modelo.

Tópicos• Exemplo de modelo do CloudFormation (p. 136)• Criar uma pilha do CloudFormation com o modelo (p. 137)• Conteúdo do modelo do CloudFormation (p. 144)

Exemplo de modelo do CloudFormationO modelo do CloudFormation tem alarmes e filtros de métrica CloudWatch pré-definidos para que vocêreceba notificações por e-mail quando chamadas de API específicas relacionadas à segurança forem feitasna sua conta AWS.

O modelo está disponível em um arquivo zip no seguinte local:CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.

Versão 1.0136



https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html

samples/CloudWatch_Alarms_for_CloudTrail_API_Activity.zip



O modelo define filtros de métrica que monitoram as operações de criação, exclusão e atualização para osseguintes tipos de recurso:

• Instâncias Amazon EC2• IAM políticas• Gateways da Internet• Network ACLs• Grupos de segurança

Quando ocorre uma chamada de API em sua conta, um filtro de métrica a monitora. Se a chamada de APIultrapassar os limites especificados, o alarme é acionado e CloudWatch envia uma notificação por e-mailpara você.

Por padrão, a maioria dos filtros no modelo aciona um alarme quando um evento monitorado ocorre em umperíodo de cinco minutos. Você pode modificar esses limites de alarme para os seus próprios requisitos.Por exemplo, é possível monitorar três eventos em um período de dez minutos. Para fazer alterações,edite o modelo ou, após tê-lo carregado, especifique os limites no console do CloudWatch.

Note

Como CloudTrail normalmente entrega os arquivos de log a cada cinco minutos, especifiqueperíodos de alarme de pelo menos cinco minutos.

Para ver os filtros de métrica e alarmes no modelo, e as chamadas de API que acionam notificações por e-mail, consulte Conteúdo do modelo do CloudFormation (p. 144).

Criar uma pilha do CloudFormation com o modeloUma pilha do CloudFormation é um conjunto de recursos relacionados que você provisiona e atualizacomo uma unidade. O procedimento a seguir descreve como criar a pilha e validar o endereço de e-mailque recebe notificações.

Para criar uma pilha do CloudFormation com o modelo

1. Configure a sua trilha para entregar arquivos de log para o seu grupo de logs CloudWatch Logs.Consulte Enviar eventos ao CloudWatch Logs (p. 131).

2. Faça download do modelo do CloudFormation: CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.3. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.4. Selecione Criar Stack.

5. Na página Select Template (Selecionar modelo), em Name (Nome), digite um nome para a pilha. Oexemplo a seguir usa CloudWatchAlarmsForCloudTrail.

Versão 1.0137


samples/CloudWatch_Alarms_for_CloudTrail_API_Activity.zip

https://console.aws.amazon.com/cloudformation/



6. Em Source (Origem), escolha Upload a template to Amazon S3(Fazer upload de um modelo para oAmazon S3).

7. Escolha Choose File (Escolher arquivo) e selecione o modelo AWS CloudFormation obtido pordownload.

8. Escolha Next.9. Na página Specify Parameters (Especificar parâmetros), em Email (E-mail), digite o endereço de e-

mail para receber notificações.

Versão 1.0138



10. Em LogGroupName, digite o nome do grupo de log especificado ao configurar a trilha para entregar osarquivos de log para CloudWatch Logs.

11. Escolha Next.12. Em Options (Opções), você pode criar tags ou configurar outras opções avançadas. Elas não são

obrigatórias.

Versão 1.0139



13. Escolha Next.14. Na página Review, confirme se as configurações estão corretas.

Versão 1.0140



15. Escolha Criar. A pilha é criada em alguns minutos.

16. Após a criação da pilha, você receberá um e-mail no endereço especificado.

Versão 1.0141



17. No e-mail, escolha Confirm subscription. Você receberá notificações por e-mail quando os alarmesespecificados pelo modelo forem acionados.

O exemplo de notificação a seguir foi enviado quando uma chamada de API alterou uma política IAM,o que acionou o alarme de métrica.

Versão 1.0142



Versão 1.0143



Conteúdo do modelo do CloudFormationAs tabelas a seguir mostram os alarmes e filtros de métrica do modelo, o objetivo deles e as chamadasde API que acionam notificações por e-mail. As notificações são acionadas quando ocorrer uma ou maischamadas de API de um filtro indicado na sua conta.

Você pode revisar o filtro de métrica ou as definições de alarme no console do CloudWatch.

Eventos de bucket Amazon S3

Alarme e filtro de métrica Monitorar e enviarnotificações de:

Notificações acionadas por uma ou maisdas seguintes operações de API:

S3BucketChangesMetricFilter

S3BucketChangesAlarm

Chamadas deAPI que alteram apolítica de bucket,o ciclo de vida, areplicação ou asACLs.

PutBucketAcl

DeleteBucketPolicy

PutBucketPolicy

DeleteBucketLifecycle

PutBucketLifecycle

DeleteBucketReplication

PutBucketReplication

DeleteBucketCors

PutBucketCors

Eventos de rede



SecurityGroupChangesMetricFilter

SecurityGroupChangesAlarm

Chamadas deAPI que criam,atualizam eexcluem grupos desegurança.

CreateSecurityGroup

DeleteSecurityGroup

AuthorizeSecurityGroupEgress

RevokeSecurityGroupEgress

AuthorizeSecurityGroupIngress

RevokeSecurityGroupIngress

NetworkAclChangesMetricFilter

NetworkAclChangesAlarm

Chamadas deAPI que criam,atualizam eexcluem NetworkACLs.

CreateNetworkAcl

DeleteNetworkAcl

CreateNetworkAclEntry

DeleteNetworkAclEntry

ReplaceNetworkAclAssociation

ReplaceNetworkAclEntry

Versão 1.0144






GatewayChangesMetricFilter

GatewayChangesAlarm

Chamadas deAPI que criam,atualizam eexcluem o clientegateways daInternet.

CreateCustomerGateway

DeleteCustomerGateway

AttachInternetGateway

CreateInternetGateway

DeleteInternetGateway

DetachInternetGateway

VpcChangesMetricFilter

VpcChangesAlarm

Chamadas deAPI que criam,atualizam eexcluem VirtualPrivate Clouds(VPCs), conexõesemparelhadasde VPC econexões de VPCa instâncias doEC2 usando oClassicLink.

CreateVpc

DeleteVpc

ModifyVpcAttribute

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

RejectVpcPeeringConnection

AttachClassicLinkVpc

DetachClassicLinkVpc

DisableVpcClassicLink

EnableVpcClassicLink

Eventos Amazon EC2



EC2InstanceChangesMetricFilter

EC2InstanceChangesAlarm

A criação, oencerramento,o início, ainterrupção e areinicialização deinstâncias do EC2.

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

EC2LargeInstanceChangesMetricFilter

EC2LargeInstanceChangesAlarm

A criação, oencerramento,o início, ainterrupção e areinicialização degrandes instânciasdo EC2 de 4x e 8x.

Pelo menos uma das seguintesoperações de API:

RebootInstances

RunInstances

StartInstances

Versão 1.0145




Notificações acionadas por uma ou maisdas seguintes operações de API:StopInstances

TerminateInstances

e pelo menos um dos seguintes tipos deinstância:

instancetype=*.4xlarge

instancetype=*.8xlarge

Eventos CloudTrail e IAM



CloudTrailChangesMetricFilter

CloudTrailChangesAlarm

Criar, excluir eatualizar trilhas.A ocorrênciade iniciar einterromper oregistro em log deuma trilha.

CreateTrail

DeleteTrail

StartLogging

StopLogging

UpdateTrail

ConsoleSignInFailuresMetricFilter

ConsoleSignInFailuresAlarm

Falhas de login noconsole

eventName é ConsoleLogin

e

errorMessage é "Falha naautenticação"

AuthorizationFailuresMetricFilter

AuthorizationFailuresAlarm

Falhas deautorização

Qualquer chamada de API que resultaem um código de erro: AccessDenied

ou

*UnauthorizedOperation.

IAMPolicyChangesMetricFilter

IAMPolicyChangesAlarm

Alterações naspolíticas IAM

AttachGroupPolicy

DeleteGroupPolicy

DetachGroupPolicy

PutGroupPolicy

CreatePolicy

DeletePolicy

CreatePolicyVersion

DeletePolicyVersion

AttachRolePolicy

Versão 1.0146

AWS CloudTrail Guia do usuárioCriar alarmes CloudWatch paraeventos CloudTrail: exemplos


Notificações acionadas por uma ou maisdas seguintes operações de API:DeleteRolePolicy

DetachRolePolicy

PutRolePolicy

AttachUserPolicy

DeleteUserPolicy

DetachUserPolicy

PutUserPolicy

Criar alarmes CloudWatch para eventos CloudTrail:exemplosEste tópico descreve como configurar alarmes para eventos CloudTrail usando exemplos de cenários.

Pré-requisitos

Antes de usar os exemplos deste tópico, você deve:

• Criar uma trilha com o console do ou a CLI.• Crie um grupo de logs.• Especifique ou crie uma função IAM que conceda a CloudTrail as permissões para criar um fluxo de log

CloudWatch Logs no grupo de logs especificado e para entregar eventos CloudTrail para esse fluxo delog. O CloudTrail_CloudWatchLogs_Role padrão cuida disso para você.

Para obter mais informações, consulte Enviar eventos ao CloudWatch Logs (p. 131).

Criar um filtro de métrica e um alarme

Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base nofiltro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre asintaxe dos filtros de métricas e padrões de eventos de log do CloudTrail, consulte as seções relacionadasa JSON de Sintaxe de filtro e de padrão em Amazon CloudWatch Logs User Guide.

Note

Em vez de criar manualmente os exemplos de alarmes e de filtros de métrica a seguir, você podeusar um modelo de AWS CloudFormation para criá-los de uma vez. Para obter mais informações,consulte Criar alarmes CloudWatch com um modelo AWS CloudFormation (p. 136).

Tópicos• Exemplo: atividade de bucket Amazon S3 (p. 148)• Exemplo: alterações de configuração no security group (p. 150)• Exemplo: alterações na Lista de controle de acesso (ACL, Network Access Control List) (p. 153)• Exemplo: alterações no gateway de rede (p. 155)• Exemplo: alterações Amazon Virtual Private Cloud (VPC) (p. 157)

Versão 1.0147

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html


• Exemplo: alterações na instância Amazon EC2 (p. 159)• Exemplo: grandes alterações na instância do EC2 (p. 161)• Exemplo: alterações CloudTrail (p. 163)• Exemplo: falhas de login no console (p. 165)• Exemplo: falhas de autorização (p. 167)• Exemplo: alterações na política IAM (p. 169)

Exemplo: atividade de bucket Amazon S3Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando umachamada de API do Amazon S3 é feita para política do bucket DELETE ou PUT, ciclo de vida do bucket,replicação do bucket ou para um ACL do bucket PUT.

O alarme também é acionado para o bucket PUT de CORS (cross-origin resource sharing,compartilhamento de recursos de origem cruzada) e os eventos de bucket DELETE. Para obter maisinformações, consulte Compartilhamento de recursos de origem cruzada em Guia do desenvolvedor doAmazon Simple Storage Service.

Criar um filtro de métrica

1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Logs.3. Na lista de grupos de log, marque a caixa de seleção ao lado do grupo de log que você criou para os

eventos de log CloudTrail.4. Escolha Create Metric Filter (Criar filtro de métrica).5. Na tela Define Logs Metric Filter (Definir filtro da métrica de logs), escolha Filter Pattern (Padrão do

filtro) e digite:

{ ($.eventSource = s3.amazonaws.com) && (($.eventName = PutBucketAcl) || ($.eventName = PutBucketPolicy) || ($.eventName = PutBucketCors) || ($.eventName = PutBucketLifecycle) || ($.eventName = PutBucketReplication) || ($.eventName = DeleteBucketPolicy) || ($.eventName = DeleteBucketCors) || ($.eventName = DeleteBucketLifecycle) || ($.eventName = DeleteBucketReplication)) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite S3BucketActivity.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite S3BucketActivityEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme

Depois de criar o filtro de métrica, siga este procedimento para criar um alarme.

1. Na página Filters for Log_Group_Name, ao lado do nome do filtro S3BucketActivity, escolha CreateAlarm (Criar alarme).

2. Na página Create Alarm (Criar alarme), forneça os valores a seguir.

Versão 1.0148

https://docs.aws.amazon.com/AmazonS3/latest/dev/cors.html



Versão 1.0149


Configuração Valor

Atividade de bucket do S3

1

1

5 minutos

Soma

Perto da caixa Select a notification list (Selecionar uma lista denotificações), escolha New list (Nova lista) e digite um nome detópico exclusivo para a lista.

Escolha Email list (Lista de e-mails) e digite o endereço de e-mailao qual você deseja que as notificações sejam enviadas. Vocêreceberá um e-mail nesse endereço para confirmar que criouesse alarme.

3. Escolha Create Alarm (Criar alarme).

Testar o alarme de atividade do bucket do S3

Você pode testar o alarme alterando a política do bucket do S3.

Para testar o alarme

1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.2. Escolha um bucket do S3 em uma região em que sua trilha esteja registrada. Por exemplo, caso a sua

trilha esteja registrada apenas em Região do Leste dos EUA (Ohio), escolha um bucket na mesmaregião. Caso sua trilha se aplique a todas as regiões, escolha um bucket do S3 em qualquer região.

3. Escolha Permissions (Permissões) e escolha Bucket Policy (Política de bucket).4. Use o Bucket policy editor (Editor de política de bucket) para alterar a política e escolha Save (Salvar).5. Sua trilha registra a operação PutBucketPolicy e entrega o evento para o seu grupo de log

CloudWatch Logs. O evento aciona seu alarme de métrica, e o CloudWatch Logs envia umanotificação sobre a alteração.

Exemplo: alterações de configuração no security groupSiga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando ocorremalterações de configuração que envolvam grupos de segurança.



eventos de log CloudTrail.

Versão 1.0150




4. Escolha Create Metric Filter (Criar filtro de métrica).5. Na tela Define Logs Metric Filter (Definir filtro da métrica de logs), escolha Filter Pattern (Padrão do

filtro) e digite:

{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite SecurityGroupEvents.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite SecurityGroupEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme


1. Na página Filters for (Filtros para) Log_Group_Name, ao lado do nome do filtro, escolha Create Alarm(Criar alarme).


Versão 1.0151



Alterações de configuração no grupo de segurança

>=1

1

5 minutos

Soma


Versão 1.0152





Exemplo: alterações na Lista de controle de acesso (ACL,Network Access Control List)Siga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando ocorremalterações de configuração envolvendo Network ACL.




filtro) e digite:

{ ($.eventName = CreateNetworkAcl) || ($.eventName = CreateNetworkAclEntry) || ($.eventName = DeleteNetworkAcl) || ($.eventName = DeleteNetworkAclEntry) || ($.eventName = ReplaceNetworkAclEntry) || ($.eventName = ReplaceNetworkAclAssociation) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite NetworkACLEvents.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite NetworkACLEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0153




Alterações de configuração na Network ACL

>=1

1

5 minutos

Soma


Versão 1.0154





Exemplo: alterações no gateway de redeSiga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API é feita para criar, atualizar ou excluir um cliente ou Internet Gateway.




filtro) e digite:

{ ($.eventName = CreateCustomerGateway) || ($.eventName = DeleteCustomerGateway) || ($.eventName = AttachInternetGateway) || ($.eventName = CreateInternetGateway) || ($.eventName = DeleteInternetGateway) || ($.eventName = DetachInternetGateway) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite GatewayChanges.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite GatewayEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Exemplo: criar um alarme




Versão 1.0155




Alterações no gateway de rede

1

1

5 minutos

Soma


Versão 1.0156





Exemplo: alterações Amazon Virtual Private Cloud (VPC)Siga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API é feita para criar, atualizar ou excluir Amazon VPC, uma conexão de emparelhamento AmazonVPC ou uma conexão Amazon VPC a instâncias clássicas Amazon EC2.




filtro) e digite:

{ ($.eventName = CreateVpc) || ($.eventName = DeleteVpc) || ($.eventName = ModifyVpcAttribute) || ($.eventName = AcceptVpcPeeringConnection) || ($.eventName = CreateVpcPeeringConnection) || ($.eventName = DeleteVpcPeeringConnection) || ($.eventName = RejectVpcPeeringConnection) || ($.eventName = AttachClassicLinkVpc) || ($.eventName = DetachClassicLinkVpc) || ($.eventName = DisableVpcClassicLink) || ($.eventName = EnableVpcClassicLink) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite VpcChanges.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite VpcEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0157




Alterações na VPC

1

1

5 minutos

Soma


Versão 1.0158





Exemplo: alterações na instância Amazon EC2Siga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API é feita para criar, encerrar, iniciar, parar ou reiniciar uma instância Amazon EC2.




filtro) e digite:

{ ($.eventName = RunInstances) || ($.eventName = RebootInstances) || ($.eventName = StartInstances) || ($.eventName = StopInstances) || ($.eventName = TerminateInstances) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite EC2InstanceChanges.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite EC2InstanceEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0159




Alterações na instância do EC2

1

1

5 minutos

Soma


Versão 1.0160





Exemplo: grandes alterações na instância do EC2Siga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API é feita para criar uma instância Amazon EC2 4x ou 8x maior.




filtro) e digite:

{ ($.eventName = RunInstances) && (($.requestParameters.instanceType = *.8xlarge) || ($.requestParameters.instanceType = *.4xlarge)) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite EC2LargeInstanceChanges.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite EC2LargeInstanceEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0161




Grandes alterações na instância do EC2

1

1

5 minutos

Soma


Versão 1.0162





Exemplo: alterações CloudTrailSiga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API é feita para criar, atualizar ou excluir uma trilha CloudTrail ou para iniciar ou interromper o registrode uma trilha.




filtro) e digite:

{ ($.eventName = CreateTrail) || ($.eventName = UpdateTrail) || ($.eventName = DeleteTrail) || ($.eventName = StartLogging) || ($.eventName = StopLogging) }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite CloudTrailChanges.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite CloudTrailEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0163




Alterações no CloudTrail

1

1

5 minutos

Soma


Versão 1.0164





Exemplo: falhas de login no consoleSiga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando há três ou maisfalhas de login durante um período de cinco minutos.




filtro) e digite:

{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite ConsoleSignInFailures.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite ConsoleSigninFailureCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0165




Falhas de login no console

>=3

1

5 minutos

Soma


Versão 1.0166





Exemplo: falhas de autorizaçãoSiga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API não autorizada é feita.




filtro) e digite:

{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite AuthorizationFailures.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite AuthorizationFailureCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0167




Falhas de autorização

1

1

5 minutos

Soma


Versão 1.0168





Exemplo: alterações na política IAMSiga este procedimento para criar um alarme Amazon CloudWatch que é acionado quando uma chamadade API é feita para alterar uma política IAM.




filtro) e digite:

{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

6. Escolha Assign Metric (Atribuir métrica).7. Em Filter Name (Filtrar nome), digite IAMPolicyChanges.8. Em Metric Namespace (Namespace da métrica), digite CloudTrailMetrics.9. Em Metric Name (Nome da métrica), digite IAMPolicyEventCount.10. Escolha Show advanced metric settings (Mostrar configurações avançadas da métrica).11. Em Metric Value (Valor da métrica), digite 1.12. Escolha Create Filter (Criar filtro).

Criar um alarme




Versão 1.0169




Alterações na política IAM

1

1

5 minutos

Soma


Versão 1.0170

AWS CloudTrail Guia do usuárioCriar alarmes CloudWatch para

eventos CloudTrail: outros exemplos




Criar alarmes CloudWatch para eventos CloudTrail:outros exemplosAs melhores práticas de AWS Identity and Access Management (IAM) recomendam que você não use assuas credenciais da conta raiz para acessar a AWS. Em vez disso, você deve criar usuários individuaisdo IAM para que possa conceder a cada usuário um conjunto exclusivo de credenciais de segurança.As melhores práticas IAM também recomendam que você habilite a autenticação multifator (MFA) parausuários do IAM que têm permissão para acessar recursos importantes ou APIs.

Você pode monitorar se as atividades na sua conta AWS estão em conformidade com essas melhorespráticas por meio da criação de alarmes CloudWatch que notificarão quando as credenciais da conta raizforem usadas para acessar AWS ou quando ocorrerem atividades de API ou logins no console sem a MFA.Esses alarmes são descritos neste documento.

Configurar um alarme envolve duas etapas principais:

• Criar um filtro de métrica• Criar um alarme com base no filtro

Tópicos• Exemplo: monitore o uso da raiz (p. 171)• Exemplo: monitore as atividades de API sem a autenticação multifator (MFA) (p. 174)• Exemplo: monitore o login no console sem a autenticação multifator (MFA) (p. 177)

Exemplo: monitore o uso da raizEste cenário mostra como usar o Console de Gerenciamento AWS para criar um alarme AmazonCloudWatch que é acionado quando as credenciais (da conta) raiz são usadas.




filtro) e digite:

{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

Versão 1.0171

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html#enable-mfa-for-privileged-users




Note

Para obter mais informações sobre a sintaxe dos filtros de métricas e padrões de eventos delog do CloudTrail, consulte as seções relacionadas a JSON de Sintaxe de filtro e de padrãono Guia do usuário do Amazon CloudWatch.

6. Escolha Assign Metric (Atribuir métrica). Na tela Create Metric Filter and Assign a Metric (Criar filtro demétrica e atribuir uma métrica), na caixa Filter Name (Filtrar nome), insira RootAccountUsage

7. Em Metric Details (Detalhes da métrica), na caixaMetric Namespace (Namespace da métrica), insiraCloudTrailMetrics.

8. No campo Metric Name, insira RootAccountUsageCount.9. Escolha Metric Value (Valor da métrica) e digite 1.

Note

Se Metric Value (Valor da métrica) não for exibido, escolha Show advanced metric settings(Mostrar configurações avançadas da métrica) primeiro.

10. Quando terminar, selecione Create Filter.

Criar um alarme

Essas etapas são uma continuação das etapas anteriores da criação de um filtro de métrica.



Versão 1.0172

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/FilterAndPatternSyntax.html



Versão 1.0173




Uso da conta raiz

>=1

1

5 minutos

Soma


Escolha Email list (Lista de e-mails) e digite o endereço de e-mailao qual você deseja que as notificações sejam enviadas. (Vocêreceberá um e-mail nesse endereço para confirmar que criouesse alarme.)

3. Quando terminar, selecione Create Alarm (Criar alarme).

Exemplo: monitore as atividades de API sem a autenticaçãomultifator (MFA)Este cenário mostra como usar o Console de Gerenciamento AWS para criar um alarme AmazonCloudWatch que é acionado quando as chamadas de API são feitas sem o uso da autenticação multifator(MFA).




filtro) e digite:

{ $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true" }

Note


6. Escolha Assign Metric (Atribuir métrica). Na tela Create Metric Filter and Assign a Metric (Criar filtro demétrica e atribuir uma métrica), na caixa Filter Name (Filtrar nome), insira ApiActivityWithoutMFA.

Versão 1.0174






8. Na caixa Metric Name, insira ApiActivityWithoutMFACount.9. Escolha Metric Value (Valor da métrica) e digite 1.

Note



Criar um alarme




Versão 1.0175



Versão 1.0176




Atividades de API sem a MFA

>=1

1

5 minutos

Soma




Exemplo: monitore o login no console sem a autenticaçãomultifator (MFA)Este cenário mostra como usar o Console de Gerenciamento AWS para criar um alarme AmazonCloudWatch que é acionado quando um login no console é feito sem a autenticação multifator.




filtro) e digite:

{ $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed = "No" }

Note


6. Escolha Assign Metric (Atribuir métrica). Na tela Create Metric Filter and Assign a Metric (Criar filtro demétrica e atribuir uma métrica), na caixa Filter Name (Filtrar nome), insira ConsoleSignInWithoutMfa


Versão 1.0177





8. No campo Metric Name (Nome da métrica), insira ConsoleSignInWithoutMfaCount.9. Escolha Metric Value (Valor da métrica) e digite 1.

Note



Exemplo: criar um alarme




Versão 1.0178



Versão 1.0179

AWS CloudTrail Guia do usuárioConfigurar notificações para alarmes CloudWatch Logs


Login no console sem a MFA

1

1

5 minutos

Soma




Configurar notificações para alarmes CloudWatchLogsÉ possível configurar CloudWatch Logs para enviar uma notificação sempre que um alarme for acionadopara CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos coletadosem eventos CloudTrail e detectados por CloudWatch Logs. CloudWatch usa Amazon Simple NotificationService (SNS) para enviar e-mails. Para obter mais informações, consulte Configurar o Amazon SNS noGuia do desenvolvedor do CloudWatch.

Interromper CloudTrail de enviar eventos paraCloudWatch LogsVocê pode interromper o envio de eventos para CloudWatch Logs ao excluir o endpoint de fornecimento.

Console de Gerenciamento da AWSPara remover o endpoint de fornecimento do CloudWatch Logs usando o Console deGerenciamento da AWS

1. Faça login no Console de Gerenciamento AWS.2. Navegue até o console CloudTrail.3. No painel de navegação, clique em Configuration.4. Na seção CloudWatch Logs (optional) (opcional) , clique no ícone Delete (Excluir) (lixeira).5. Clique em Continue (Continuar) para confirmar.

Versão 1.0180

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/US_SetupSNS.html

AWS CloudTrail Guia do usuárioCloudWatch Denominação do grupo

de log e do fluxo de log para CloudTrail

Interface da linha de comando (CLI) da AWSVocê pode remover o grupo de log CloudWatch Logs como um endpoint de fornecimento usando ocomando update-trail. O comando a seguir apaga o grupo de logs e a função da configuração datrilha.

aws cloudtrail update-trail --name trailname --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""

CloudWatch Denominação do grupo de log e do fluxode log para CloudTrailAmazon CloudWatch exibirá o grupo de logs que você criou para os eventos CloudTrail junto com todosos outros grupos de log que você tem em uma região. Recomendamos que você use um nome para ogrupo de logs que o ajude a distingui-lo facilmente de outros. Por exemplo, CloudTrail/logs. Os nomesdos grupos de log podem ter entre 1 e 512 caracteres. Os caracteres permitidos incluem a-z, A-Z, 0-9,"_" (sublinhado), "-" (hífen), "/" (barra) e "." (ponto).

Quando CloudTrail cria o fluxo de log para o grupo de log, ele nomeia o fluxo de log de acordo com oseguinte formato: account_ID_CloudTrail_source_region.

Note

Se o volume dos logs CloudTrail for grande, vários fluxos de log poderão ser criados para forneceros dados de log ao seu grupo de log.

Documento de política função para CloudTrail usarCloudWatch Logs para monitoramentoEsta seção descreve a política de confiança necessária para que a função CloudTrail envie eventos delog para CloudWatch Logs. Você pode anexar um documento de política a uma função ao configurarCloudTrail para enviar eventos, conforme descrito em Enviar eventos ao CloudWatch Logs (p. 131).Você também pode criar uma função usando IAM. Para obter mais informações, consulte Criação de umafunção para um serviço da AWS (Console de Gerenciamento da AWS) ou Criação de uma função (CLI eAPI).

O exemplo de documento de política a seguir contém as permissões necessárias para criar um fluxo delog do CloudWatch no grupo de log que você especificou e para fornecer eventos do CloudTrail paraesse fluxo de log na região Leste dos EUA (Ohio). (Essa é a política padrão da função padrão do IAMCloudTrail_CloudWatchLogs_Role.)

{ "Version": "2012-10-17", "Statement": [ {

"Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"

Versão 1.0181

http://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/Using_CreateRole_CLIAPI.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/Using_CreateRole_CLIAPI.html

AWS CloudTrail Guia do usuárioDocumento de política função para CloudTrailusar CloudWatch Logs para monitoramento

]

}, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ]}

Se você criar uma política que também pode ser usada para trilhas da organização, será necessáriomodificá-la na política padrão criada para a função. Por exemplo, a política a seguir concede ao CloudTrailas permissões necessárias para criar um fluxo de logs do CloudWatch Logs no grupo de logs especificadocomo o valor do log_group_name, para fornecer eventos do CloudTrail a esse fluxo de logs para ambasas trilhas na conta da AWS 111111111111 e para trilhas da organização criadas na conta 111111111111que são aplicadas à organização do AWS Organizations com o ID o-exampleorgid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] } ]}

Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para umaorganização (p. 90).

Versão 1.0182

AWS CloudTrail Guia do usuárioRecebimento de arquivos de logdo CloudTrail de várias contas

Recebimento de arquivos de log do CloudTrail devárias contas

Você pode fazer com que o CloudTrail forneça arquivos de log de várias contas da AWS a um único bucketdo Amazon S3. Por exemplo, você tem quatro contas da AWS com os IDs 111111111111, 222222222222,333333333333 e 444444444444, e deseja configurar o CloudTrail para fornecer arquivos de log dessasquatro contas a um bucket que pertence à conta 111111111111. Para fazer isso, siga estas etapas naordem:

1. Ative o CloudTrail na conta à qual o bucket de destino pertencerá (neste exemplo, 111111111111). Nãoative o CloudTrail ainda em nenhuma das outras contas.

Para obter instruções, consulte Criar uma trilha (p. 69).2. Atualize a política no bucket de destino para conceder ao CloudTrail permissões entre contas.

Para obter instruções, consulte Definir a política de bucket para várias contas (p. 183).3. Ative o CloudTrail nas demais contas que você desejar (222222222222, 333333333333 e

444444444444 neste exemplo). Configure o CloudTrail nessas contas para usar o mesmo bucketpertencente à conta que você especificou na etapa 1 (neste exemplo, 111111111111).

Para obter instruções, consulte Ativar o CloudTrail em contas adicionais (p. 184).

Tópicos• Definir a política de bucket para várias contas (p. 183)• Ativar o CloudTrail em contas adicionais (p. 184)

Definir a política de bucket para várias contasPara que um bucket receba arquivos de log de várias contas, sua política de bucket precisa conceder aoCloudTrail permissão para gravar os arquivos de log de todas as contas que você especificar. Isso significaque você precisa modificar a política de bucket no seu bucket de destino para conceder ao CloudTrailpermissão para gravar os arquivos de log de cada conta especificada.

Para modificar as permissões do bucket para que os arquivos possam ser recebidos de váriascontas

1. Faça login no Console de gerenciamento da AWS usando a conta que possui o bucket(111111111111 neste exemplo) e abra o console do Amazon S3.

2. Escolha o bucket de entrega dos seus arquivos de log pelo CloudTrail e, em seguida, escolhaPropriedades.

3. Escolha Permissions (Permissões).4. Escolha Edit Bucket Policy (Editar política de bucket).5. Modifique a política existente para adicionar uma linha para cada conta adicional cujos arquivos de log

devem ser fornecidos a esse bucket. Veja o exemplo de política a seguir e observe a linha Resourcesublinhada especificando o ID de uma segunda conta.

Note

O ID de uma conta da AWS é um número de doze dígitos, e os zeros iniciais não podem seromitidos.

{

Versão 1.0183

AWS CloudTrail Guia do usuárioAtivar o CloudTrail em contas adicionais

"Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Ativar o CloudTrail em contas adicionaisVocê pode usar o console ou a interface de linha de comando para ativar o CloudTrail em contasadicionais da AWS.

Usar o console para ativar o CloudTrail em contas adicionais doAWSVocê pode usar o console do CloudTrail para ativá-lo em contas adicionais do CloudTrail.

1. Faça login no console de gerenciamento da AWS usando as credenciais da conta 222222222222 eabra o console do AWS CloudTrail. Na barra de navegação, selecione a região em que você desejaativar o CloudTrail.

2. Escolha Get Started Now (Começar agora).3. Na página seguinte, digite um nome para a sua trilha na caixa Trail name (Nome da trilha).4. Em Create a new S3 bucket? (Criar novo bucket do S3), escolha No (Não). Use a caixa de texto para

inserir o nome do bucket criado anteriormente para armazenamento de arquivos de log quando vocêassinou usando as credenciais da conta 111111111111. CloudTrail mostra um aviso perguntando sevocê tem certeza de que quer especificar um intervalo S3 em outra conta. Verifique o nome do bucketque você inseriu.

5. Escolha Advanced (Avançado).6. No campo Log file prefix digite o mesmo prefixo inserido para o armazenamento de arquivos de log ao

ativar o CloudTrail usando as credenciais da conta 111111111111. Se você optar por usar um prefixodiferente do informado quando ativou o CloudTrail na primeira conta, será necessário editar a políticano seu bucket de destino para permitir que o CloudTrail grave arquivos de log em seu bucket usandoesse novo prefixo.

Versão 1.0184

AWS CloudTrail Guia do usuárioAtivar o CloudTrail em contas adicionais

7. (Opcional) Escolha Yes (Sim) ou No (Não) em SNS notification for every log file delivery? (Notificaçãodo SNS para cada entrega de arquivo de log?). Se você escolher Yes (Sim), digite um nome para otópico do Amazon SNS no campo SNS topic (new) (Tópico do SNS (novo)).

Note

O Amazon SNS é um serviço regional. Portanto, se você optar por criar um tópico, ele existirána mesma região em que você ativou o CloudTrail. Se você tiver uma trilha que se aplica atodas as regiões, pode escolher um tópico do Amazon SNS em qualquer região, desde quetenha a política correta aplicada ao tópico. Para obter mais informações, consulte Política detópicos do Amazon SNS para o CloudTrail (p. 248).

8. Escolha Turn On (Ativar).

Em cerca de 15 minutos, o CloudTrail começa a publicação de arquivos de log que mostram as chamadasda AWS feitas nas suas contas nessa região desde que você concluiu as etapas anteriores.

Usar a CLI para ativar o CloudTrail em contas adicionais do AWSVocê pode usar as ferramentas de linha de comando da AWS para ativar o CloudTrail em contasadicionais e agregar seus arquivos de log a um bucket do Amazon S3. Para mais informações sobre essasferramentas, consulte Guia do usuário do AWS Command Line Interface.

Ative o CloudTrail em suas contas adicionais usando o comando create-trail e especificando oseguinte:

• --name especifica o nome da trilha.• --s3-bucket-name especifica o bucket do Amazon S3 existente, criado quando você ativou o

CloudTrail em sua primeira conta (111111111111 neste exemplo).• --s3-prefix especifica um prefixo para o caminho de entrega de arquivos de log (opcional).• --is-multi-region-trail especifica que essa trilha registrará eventos em todas as regiões da

AWS.

Ao contrário das trilhas criadas usando o console, é necessário fornecer um nome a cada trilha que vocêcriar com a AWS CLI. Você pode criar uma trilha para cada região em que uma conta está executandorecursos da AWS.

O exemplo de comando a seguir mostra como criar uma trilha para suas contas adicionais usando a AWSCLI. Para que os arquivos de log dessa conta sejam fornecidos ao bucket que você criou em sua primeiraconta (111111111111 neste exemplo), especifique o nome do bucket na opção --s3-bucket-name. Osnomes de bucket do Amazon S3 são exclusivos globalmente.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

Quando você executar o comando, verá um resultado semelhante a este:

{ "IncludeGlobalServiceEvents": true, "Name": "AWSCloudTrailExample", "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "MyBucketBelongingToAccount111111111111"}

Versão 1.0185


AWS CloudTrail Guia do usuárioCompartilhar arquivos de log

CloudTrail entre contas da AWS

Para obter mais informações sobre o uso do CloudTrail a partir das ferramentas da linha de comando daAWS, consulte a Referência de linha de comando do CloudTrail.

Compartilhar arquivos de log CloudTrail entrecontas da AWS

Esta seção explica como compartilhar arquivos de log CloudTrail entre várias contas da AWS. Imagine quetodos os arquivos de log foram recebidos em um único bucket Amazon S3, que é a configuração padrãode uma trilha criada no console CloudTrail. No primeiro cenário, você aprenderá como conceder acessosomente leitura às contas que geraram os arquivos de log que foram colocados no seu bucket AmazonS3. No segundo cenário, você saberá como conceder acesso a todos os arquivos de log a uma conta deterceiros que pode analisar os arquivos.

Para compartilhar arquivos de log entre várias contas AWS, você deve seguir as etapas gerais a seguir.Essas etapas são explicadas em detalhes mais adiante nesta seção.

• Crie uma função IAM para cada conta com a qual você deseja compartilhar arquivos de log.• Para cada uma dessas funções IAM, crie uma política de acesso que conceda acesso somente leitura à

conta com a qual você deseja compartilhar arquivos de log.• Faça com que um usuário IAM de cada conta assuma de maneira programática a função apropriada e

recupere os arquivos de log.

Esta seção mostra as etapas anteriores no contexto de dois cenários de compartilhamento diferentes: aconcessão de acesso aos arquivos de log a cada conta que gerou esses arquivos e o compartilhamentode arquivos de log com terceiros. A maioria das etapas seguidas para os dois cenários são as mesmas;a diferença importante está no tipo de permissões que a função IAM concede a cada conta. Assim, vocêpode conceder permissão a uma conta para ler apenas os seus próprios arquivos de log ou conceder auma conta permissão para ler todos os arquivos de log. Para obter detalhes sobre o gerenciamento depermissões para funções do IAM, consulte Funções (delegação e federação) no Guia do usuário do IAM.

Cenário 1: concessão de acesso à conta que gerou osarquivos de logNesse cenário, imagine que sua empresa é composta por duas unidades de negócios e que ela mantémtrês contas da AWS. A primeira conta, a Conta A, é a de nível superior. Por exemplo, ela pode sergerenciada pelo departamento de TI da sua empresa e, portanto, ser responsável pela coleta de arquivosde log de todos os outros departamentos e unidades de negócios em um único bucket. As outras duascontas, B e C, correspondem às unidades de negócios da sua empresa.

Esse cenário pressupõe que você já configurou os arquivos de log das três contas a serem fornecidas aum único bucket Amazon S3 e que a conta A tem controle total sobre aquele bucket, conforme mostradona ilustração a seguir.

Versão 1.0186


https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html

AWS CloudTrail Guia do usuárioCenário 1: concessão de acesso à

conta que gerou os arquivos de log

Embora o bucket Amazon S3 contenha arquivos de log que foram gerados pelas Contas A, B e C, asContas B e C inicialmente não têm acesso aos arquivos de log que as Contas B e C geraram. Vocêconcederá a cada unidade de negócios acesso somente leitura aos arquivos de log que ela gerou, comomostrado na ilustração a seguir.

Para conceder acesso somente leitura aos arquivos de log gerados pelas Contas B e C, você deve fazer oseguinte na Conta A. Lembre-se de que a Conta A tem controle total sobre o bucket Amazon S3.

Versão 1.0187

AWS CloudTrail Guia do usuárioCenário 2: conceder acesso a todos os logs

• Crie uma função IAM para a conta B e outra função IAM para a conta C. Como fazer isso: Criar umafunção (p. 189)

• Para a função IAM criada para a conta B, crie uma política de acesso que conceda acesso somenteleitura aos arquivos de log gerados pela conta B. Para a função IAM criada para a conta C, crieuma política de acesso padrão que conceda acesso somente leitura aos arquivos de log geradospela conta C. Como fazer isso: Criar uma política de acesso padrão para conceder acesso às suascontas (p. 190)

• Faça com que um usuário IAM da conta B assuma de maneira programática a função criada para aConta B. Faça com que um usuário IAM da conta C assuma de maneira programática a função criadapara a conta C. Cada usuário IAM deve receber permissão do respectivo proprietário da conta paraassumir a função. Como fazer isso: Criar políticas de permissões para usuários IAM (p. 194).

• Por fim, o proprietário da conta que concede a permissão deve ser um administrador e conhecer o ARNda função na Conta A que está sendo assumida. Como fazer isso: Chamar AssumeRole (p. 194).

Os usuários IAM nas contas B e C podem recuperar de maneira programática seus próprios arquivos delog, mas não os arquivos de log de outras contas.

Cenário 2: conceder acesso a todos os logsNesse cenário, imagine que sua empresa está estruturada como estava no cenário anterior, ou seja, elaé composta por duas unidades de negócios e mantém três contas da AWS. A primeira conta, a Conta A,é a de nível superior. Por exemplo, ela pode ser gerenciada pelo departamento de TI da sua empresa e,portanto, ser responsável por colocar todos os outros arquivos de log em um único bucket. As outras duascontas, B e C, correspondem a cada uma das unidades de negócios da sua empresa.

Assim como no cenário anterior, este cenário pressupõe que você já colocou os arquivos de log das trêscontas em um único bucket Amazon S3 e que a conta A tem controle total sobre o bucket.

Por fim, imagine também que sua empresa deseja compartilhar todos os arquivos de log de todas ascontas (A, B e C) com terceiros. Imagine que o terceiro tem uma conta AWS chamada conta Z, comomostrado na ilustração a seguir.

Para compartilhar todos os arquivos de log do seu suporte empresarial com a Conta Z, você deve fazer asseguintes ações na Conta A, que tem controle total sobre o bucket Amazon S3.

• Crie uma função IAM para a Conta Z. Como fazer isso: Criar uma função (p. 189)

Versão 1.0188

AWS CloudTrail Guia do usuárioCriar uma função

• Para a função IAM criada para a Conta Z, crie uma política de acesso que conceda acesso somenteleitura aos arquivos de log gerados pelas contas A, B e C. Como fazer isso: Criar uma política de acessopadrão para conceder acesso a um terceiro (p. 192)

• Faça com que um usuário IAM da Conta Z assuma de maneira programática a função e recupere osarquivos de log apropriados. O usuário IAM deve receber permissão do proprietário da Conta Z paraassumir a função. Como fazer isso: Criar políticas de permissões para usuários IAM (p. 194). Alémdisso, o proprietário da conta que concede a permissão deve ser um administrador e conhecer o ARN dafunção na Conta A que está sendo assumida. Como fazer isso: Chamar AssumeRole (p. 194).

Criar uma funçãoAo agregar arquivos de log de várias contas em um único bucket Amazon S3, somente a conta que temcontrole total sobre o bucket, a Conta A no nosso exemplo, tem acesso de leitura total a todos os arquivosde log no bucket. As Contas B, C e Z do exemplo só terão direitos depois que eles forem concedidos.Portanto, para compartilhar os seus arquivos de log AWS CloudTrail de uma conta para outra (ou seja,para concluir o Cenário 1 ou o Cenário 2 descritos anteriormente nesta seção), você deve habilitar oacesso entre contas. Para fazer isso, crie funções IAM e suas respectivas políticas de acesso.

FunçõesCrie uma IAM função para cada conta à qual você deseja conceder acesso. Em nosso exemplo, você terátrês funções, uma para cada uma das Contas B, C e Z. Cada função IAM define uma política de acessoou de permissões com a qual as contas podem acessar os recursos (arquivos de log) de propriedade daConta A. As permissões são anexadas a cada função e associadas a cada conta (B, C ou Z) somentequando a função é assumida. Para ver detalhes sobre o gerenciamento de permissões de funções IAM,consulte Funções do IAM em Guia do usuário do IAM. Para obter mais informações sobre como assumiruma função, consulte Assumir uma função (p. 193).

PolíticasHá duas políticas para cada função IAM que você criar. A política de confiança especifica uma entidadeconfiável ou principal. Em nosso exemplo, as Contas B, C e Z são entidades confiáveis, e um usuário IAMcom as permissões apropriadas nessas contas pode assumir a função.

A política de confiança é criada automaticamente quando você usa o console para criar a função. Se vocêusar o SDK para criar a função, será necessário fornecer a política de confiança como um parâmetropara a API CreateRole. Se você usar a CLI para criar a função, será necessário especificar a política deconfiança no comando create-role da CLI.

A política de acesso (ou de permissões) da função que você deve criar como o proprietário da Conta Adefine quais ações e recursos a entidade confiável ou principal tem permissão para acessar (nesse caso,os arquivos de log CloudTrail). Para o Cenário 1 que concede acesso de arquivo de log à conta que gerouos arquivos de log, conforme discutido em Criar uma política de acesso padrão para conceder acessoàs suas contas (p. 190). Para o Cenário 2 que concede acesso de leitura a todos os arquivos de log aterceiros, conforme discutido em Criar uma política de acesso padrão para conceder acesso a um terceiro (p. 192).

Para ver mais detalhes sobre como criar e trabalhar com as políticas do IAM, consulte Gerenciamento deacesso no Guia do usuário do IAM.

Criar uma funçãoPara criar uma função usando o console

1. Faça login no Console de Gerenciamento AWS como administrador da Conta A.

Versão 1.0189

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

AWS CloudTrail Guia do usuárioCriar uma política de acesso padrão

para conceder acesso às suas contas

2. Navegue até o console IAM.3. No painel de navegação, selecione Roles (Funções).4. Escolha Create New Role (Criar nova função).5. Digite um nome para a nova função e escolha Next Step (Próxima etapa).6. Escolha Role for Cross-Account Access (Função para acesso entre contas).7. Para o Cenário 1, faça o seguinte para fornecer acesso entre as contas que você possui:

a. Escolha Provide access between AWS accounts you own. (Fornecer aceso entre contas que vocêpossui.)

b. Insira o ID de doze dígitos da conta (B, C ou Z) que receberá o acesso.c. Marque a caixa Require MFA se você quiser que o usuário forneça autenticação multifator antes de

assumir a função.

Para o Cenário 2, faça o seguinte para fornecer acesso a uma conta de terceiros. Em nosso exemplo,você seguiria essas etapas para a Conta Z, o analisador de logs de terceiros:a. Escolha Allows IAM users from a 3rd party AWS account to access this account. (Permitir que

usuários do IAM de uma conta da AWS de terceiros acesse esta conta.)b. Insira o ID de doze dígitos da conta (Conta Z) que receberá o acesso.c. Insira um ID externo que proporcione mais controle sobre quem pode assumir a função. Para obter

mais informações, consulte Como usar um ID externo na concessão de acesso aos seus recursos daAWS a terceiros no Guia do usuário do IAM.

8. Escolha Next Step (Próxima etapa) para anexar uma política que define as permissões para essafunção.

9. Em Attach Policy (Anexar política), escolha a política AmazonS3ReadOnlyAccess.

Note

Por padrão, a política AmazonS3ReadOnlyAccess concede direitos de recuperação e de lista atodos os buckets Amazon S3 da sua conta.

• Para conceder a uma conta acesso somente aos arquivos de log dela (Cenário 1), consulte Criar umapolítica de acesso padrão para conceder acesso às suas contas (p. 190).

• Para conceder a uma conta acesso a todos os arquivos de log do bucket Amazon S3 (Cenário 2),consulte Criar uma política de acesso padrão para conceder acesso a um terceiro (p. 192).

10.Escolha Next Step (Próxima etapa)11.Revise as informações da função.

Note

Nesse momento, você pode editar o nome da função, se desejar. Entretanto, se fizer isso, serádirecionado de volta à página Step 2: Select Role Type (Etapa 2: Selecionar tipo de função), naqual você deverá inserir novamente as informações da função.

12.Selecione Create Role (Criar função). Quando o processo de criação da função for concluído, elaaparecerá na lista de funções.

Criar uma política de acesso padrão para concederacesso às suas contasNo Cenário 1, como um usuário administrativo na Conta A, você tem controle total sobre o bucket AmazonS3 no qual CloudTrail escreve arquivos de log para as Contas B e C. Você deseja compartilhar os arquivosde log de cada unidade de negócios novamente com aquela que os criou. Entretanto, você não quer queuma unidade consiga ler os arquivos de log das outras.Versão 1.0

190

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html


AWS CloudTrail Guia do usuárioCriar uma política de acesso padrão

para conceder acesso às suas contas

Por exemplo, para compartilhar os arquivos de log da Conta B com a Conta B, mas não com a ContaC, será necessário criar uma nova função IAM na Conta A que especifique que a Conta B é uma contaconfiável. Essa política de confiança de função especifica que a Conta B é confiável para assumir a funçãocriada pela Conta A e deve ter a aparência mostrada no exemplo a seguir. A política de confiança é criadaautomaticamente quando você cria a função usando o console. Se você usar o SDK para criar a função,será necessário fornecer a política de confiança como um parâmetro para a API CreateRole. Se vocêusar a CLI para criar a função, será necessário especificar a política de confiança no comando create-role da CLI.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-B-id:root" }, "Action": "sts:AssumeRole" } ]}

Você também precisará criar uma política de acesso padrão para especificar que a Conta B só pode ler dolocal em que B criou seus arquivos de log. A política de acesso padrão terá a aparência a seguir. Observeque o ARN do Resource inclui o ID da Conta B de 12 dígitos e o prefixo especificado (se for o caso) aoativar CloudTrail para a Conta B durante o processo de agregação. Para obter mais informações sobrecomo especificar um prefixo, consulte Ativar o CloudTrail em contas adicionais (p. 184).

Important

Você precisa garantir que o prefixo na política de acesso seja exatamente o mesmo que o prefixoespecificado quando você ativou CloudTrail para a Conta B. Se não for, será necessário editar apolítica de acesso da função IAM na Conta A para incorporar o prefixo real para a Conta B. Se oprefixo na política de acesso da função não for exatamente o mesmo que o prefixo especificadoquando você ativou CloudTrail na Conta B, esta conta não poderá acessar os seus arquivos delog.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/account-B-id/*" }, { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name" } ]}

Versão 1.0191

AWS CloudTrail Guia do usuárioCriar uma política de acesso padrãopara conceder acesso a um terceiro

A função que você cria para a Conta C é quase idêntica àquela criada para a Conta B. A política de acessode cada função precisa incluir o ID da conta e o prefixo apropriados para que cada conta possa ler apenasdo local em que CloudTrail criou os arquivos de log dela.

Depois que você criar funções para cada conta e especificar as políticas apropriadas de acessoe confiança e depois que um usuário IAM de cada conta tiver recebido o acesso concedido peloadministrador daquela conta, um usuário IAM das Contas B ou C poderá assumir a função de modoprogramático.

Depois que você criar funções para cada conta e especificar as políticas apropriadas de acesso e deconfiança, um usuário IAM de uma das contas que se tornaram confiáveis recentemente (B ou C) deveráassumir a função de modo programático para ler os arquivos de log no bucket Amazon S3.

Para obter mais informações, consulte Assumir uma função (p. 193).

Criar uma política de acesso padrão para concederacesso a um terceiroA Conta A precisa criar uma função IAM separada para a Conta Z, o analisador de terceiros no Cenário 2.Ao criar a função, AWS cria automaticamente a relação de confiança, que especifica que a Conta Z seráconfiável para assumir a função. A política de acesso padrão da função especifica quais ações a Conta Zpode realizar. Para obter mais informações sobre como criar funções e políticas de funções, consulte Criaruma função (p. 189).

Por exemplo, a relação de confiança criada por AWS especifica que a Conta Z é confiável para assumir afunção criada pela Conta A. Veja a seguir um exemplo de política de confiança:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"}, "Action": "sts:AssumeRole" }]}

Se você tiver especificado um ID externo quando criou a função para a Conta Z, sua política de acessopadrão contém um elemento Condition adicional que testa o ID exclusivo atribuído pela Conta Z. Oteste é realizado quando a função é assumida. O exemplo a seguir de política de acesso padrão tem umelemento Condition.

Para obter mais informações, consulte Como usar um ID externo na concessão de acesso aos seusrecursos da AWS a terceiros no Guia do usuário do IAM.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"}, "Action": "sts:AssumeRole", "Condition": {"StringEquals": {"sts:ExternalId": "external-ID-issued-by-account-Z"}} }]

Versão 1.0192



AWS CloudTrail Guia do usuárioAssumir uma função

}

Você também precisa criar uma política de acesso para a função da Conta A para especificar que a ContaZ pode ler todos os logs do bucket Amazon S3. A política de acesso padrão deve ser parecida com oexemplo a seguir. O caractere curinga (*) no final do valor Resource indica que a Conta Z pode acessarqualquer arquivo de log no bucket do S3 ao qual ele recebeu acesso.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name/*" }, { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name" } ]}

Depois que você criar uma função para a Conta Z e especificar a política de acesso e a relação deconfiança apropriada, um usuário IAM na Conta Z precisará assumir a função de modo programáticopara poder ler os arquivos de log do bucket. Para obter mais informações, consulte Assumir umafunção (p. 193).

Assumir uma funçãoVocê deve designar um usuário do IAM separado para assumir cada função que você criou em cada contae garantir que cada usuário do IAM tenha as permissões apropriadas.

Usuários e funções do IAMDepois que você criar as políticas e funções necessárias na Conta A para os cenários 1 e 2, precisarádesignar um usuário IAM em cada uma das contas B, C e Z. Cada usuário IAM assumirá de maneiraprogramática a função adequada para acessar os arquivos de log. Assim, o usuário na Conta B assumirá afunção criada para a Conta B, o usuário na Conta C assumirá a função criada para a Conta C e o usuáriona Conta Z assumirá a função criada para a Conta Z. Quando um usuário assume uma função, AWSretorna as credenciais de segurança temporárias que podem ser usadas para fazer solicitações para listar,recuperar, copiar ou excluir os arquivos de log de acordo com as permissões concedidas pela política deacesso padrão associada à função.

Para obter mais informações sobre como trabalhar com usuários do IAM, consulte Trabalhar com grupos eusuários do IAM.

A principal diferença entre os cenários 1 e 2 está na política de acesso que você cria para cada função IAMem cada cenário.

• No cenário 1, as políticas de acesso das Contas B e C limitam cada conta à leitura de seus própriosarquivos de log. Para obter mais informações, consulte Criar uma política de acesso padrão paraconceder acesso às suas contas (p. 190).

Versão 1.0193

https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html

AWS CloudTrail Guia do usuárioAssumir uma função

• No cenário 2, a política de acesso da Conta Z permite que ela leia todos os arquivos de log que estãoagregados no bucket Amazon S3. Para obter mais informações, consulte Criar uma política de acessopadrão para conceder acesso a um terceiro (p. 192).

Criar políticas de permissões para usuários IAMPara realizar as ações permitidas pelas funções, o usuário do IAM deve ter permissão para chamar aAPI AWS STS AssumeRole . Você deve editar a política com base em usuários para cada usuárioIAM, de modo a conceder a eles as permissões apropriadas. Desse modo, você define um elementoResource (Recurso) na política, que é anexado ao usuário IAM. O exemplo a seguir mostra uma políticade um usuário IAM na Conta B que permite que o usuário assuma uma função chamada "Teste" criadaanteriormente para a Conta A.

Para anexar a política necessária à função IAM

1. Faça login em Console de gerenciamento da AWS e abra o console IAM.2. Escolha o usuário cujas permissões você deseja modificar.3. Escolha a guia Permissions (Permissões).4. Escolha Custom Policy (Política personalizada).5. Escolha Use the policy editor to customize your own set of permissions (Usar editor da política para

personalizar seu próprio conjunto de permissões).6. Digite um nome para a política.7. Copie a política a seguir no espaço fornecido para o documento de política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["sts:AssumeRole"], "Resource": "arn:aws:iam::account-A-id:role/Test" } ]}

Important

Somente usuários IAM podem assumir uma função. Se você tentar usar as credenciais da contaraiz AWS para assumir uma função, o acesso será negado.

Chamar AssumeRoleUm usuário nas contas B, C ou Z pode assumir uma função ao criar um aplicativo que chama a APIAssumeRole do AWS STS e transmite o nome da sessão da função, o número de recurso da Amazon(ARN) da função a ser assumida e um ID externo opcional. O nome da sessão da função é definido pelaConta A quando ela cria a função a ser assumida. O ID externo, se houver, é definido pela Conta Z etransmitido à Conta A para inclusão durante a criação da função. Para obter mais informações, consulteComo usar um ID externo na concessão de acesso aos seus recursos da AWS a terceiros em Guia dousuário do IAM. Você pode recuperar o ARN da Conta A ao abrir o console IAM.

Para encontrar o valor ARN na Conta A com o console IAM

1. Escolha Roles (Funções)2. Escolha a função que você deseja examinar.3. Procure por Role ARN (ARN da função) na seção Summary (Resumo).

Versão 1.0194

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html



AWS CloudTrail Guia do usuárioInterromper o compartilhamento de arquivosde log do CloudTrail entre contas da AWS

A API AssumeRole retorna as credenciais temporárias que um usuário nas Contas B, C ou Z pode usarpara acessar recursos na Conta A. Neste exemplo, os recursos que você deseja acessar são o bucketAmazon S3 e os arquivos de log que ele contém. As credenciais temporárias têm as permissões que vocêdefiniu na política de acesso padrão da função.

O exemplo de Python a seguir (usando AWS SDK for Python (Boto)) mostra como chamar AssumeRole ecomo usar as credenciais de segurança temporárias retornadas para listar todos os buckets do Amazon S3controlados pela Conta A.

def list_buckets_from_assumed_role(user_key, assume_role_arn, session_name): """ Assumes a role that grants permission to list the Amazon S3 buckets in the account. Uses the temporary credentials from the role to list the buckets that are owned by the assumed role's account.

:param user_key: The access key of a user that has permission to assume the role. :param assume_role_arn: The Amazon Resource Name (ARN) of the role that grants access to list the other account's buckets. :param session_name: The name of the STS session. """ sts_client = boto3.client( 'sts', aws_access_key_id=user_key.id, aws_secret_access_key=user_key.secret) response = sts_client.assume_role( RoleArn=assume_role_arn, RoleSessionName=session_name) temp_credentials = response['Credentials'] print(f"Assumed role {assume_role_arn} and got temporary credentials.")

# Create an S3 resource that can access the account with the temporary credentials. s3_resource = boto3.resource( 's3', aws_access_key_id=temp_credentials['AccessKeyId'], aws_secret_access_key=temp_credentials['SecretAccessKey'], aws_session_token=temp_credentials['SessionToken'])

print(f"Listing buckets for the assumed role's account:") for bucket in s3_resource.buckets.all(): print(bucket.name)

Interromper o compartilhamento de arquivos de log doCloudTrail entre contas da AWSPara interromper o compartilhamento de arquivos de log com outra conta da AWS, basta excluir a funçãoque você criou para essa conta em Criar uma função (p. 189).

1. Faça login no Console de Gerenciamento AWS como um usuário do IAM com permissões de níveladministrativo na Conta A.

2. Navegue até o console IAM.3. No painel de navegação, clique em Roles (Funções).4. Selecione a função que você deseja excluir.5. Clique com o botão direito do mouse e selecione Delete Role (Excluir função) no menu de contexto.

Validar a integridade dos arquivos de log CloudTrailPara determinar se um arquivo de log foi modificado, excluído permaneceu ou inalterado depois queCloudTrail o forneceu, você pode usar a validação de integridade dos arquivos de log CloudTrail. Esserecurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para

Versão 1.0195


AWS CloudTrail Guia do usuárioPor que usá-los?

assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivosde log CloudTrail sem detectar tais ações. Você pode usar AWS CLI para validar os arquivos no local emque CloudTrail os forneceu.

Por que usá-los?Os arquivos de log validados são valiosíssimos para segurança e investigações forenses. Por exemplo,um arquivo de log validado permite que você declare positivamente que o arquivo de log não foi alteradoou que determinadas credenciais de usuário realizaram atividades específicas de API. O processo devalidação da integridade dos arquivos de log CloudTrail também permite que você saiba se um arquivo delog foi excluído ou alterado ou declare positivamente que nenhum arquivo de log foi fornecido à sua contadurante um determinado período.

Como funcionaQuando você habilita a validação da integridade de arquivos de log, CloudTrail cria um hash para cadaarquivo de log que fornece. A cada hora, CloudTrail também cria e fornece um arquivo que faz referênciaaos arquivos de log da última hora e contém um hash de cada um. Esse arquivo é chamado de arquivo deresumo. CloudTrail assina cada arquivo de resumo usando a chave privada de um par de chaves públicase privadas. Após o fornecimento, você pode usar a chave pública para validar o arquivo de resumo.CloudTrail usa diferentes pares de chave para cada região AWS.

Os arquivos de resumo são fornecidos ao mesmo bucket Amazon S3 associado à sua trilha que osarquivos de log CloudTrail. Se seus arquivos de log forem fornecidos de todas as regiões ou de váriascontas para um único bucket Amazon S3, CloudTrail fornecerá os arquivos de resumo dessas regiões econtas para o mesmo bucket.

Os arquivos de resumo são colocados em uma pasta separada dos arquivos de log. Essa separação dearquivos de resumo e de log permite que você aplique as políticas de segurança granulares e que assoluções de processamento de log existentes continuem a operar sem modificação. Cada arquivo deresumo também contém a assinatura digital do arquivo de resumo anterior, se existir. A assinatura doarquivo de resumo atual está nas propriedades de metadados do objeto Amazon S3 do arquivo de resumo.Para obter mais informações sobre o conteúdo do arquivo de resumo, consulte Estrutura dos arquivos deresumo CloudTrail (p. 203).

Armazenar arquivos de log e de compilaçãoVocê pode armazenar os arquivos de log e de resumo do CloudTrail em Amazon S3 ou em S3 Glacier demaneira segura, durável e econômica por um período indefinido. Para aumentar a segurança do arquivosde resumo armazenados em Amazon S3, você pode usar o Amazon S3 MFA Delete.

Ativar a validação e validar arquivosPara habilitar a validação da integridade dos arquivos de log, você pode usar Console de gerenciamentoda AWS, AWS CLI ou a API CloudTrail. Para obter mais informações, consulte Habilitar a validação daintegridade dos arquivos de log para CloudTrail (p. 197).

Para validar a integridade dos arquivos de log CloudTrail, você pode usar AWS CLI ou criar a sua própriasolução. AWS CLI validará os arquivos no local em que CloudTrail os forneceu. Se você deseja validarlogs que foram movidos para outro local, em Amazon S3 ou em outro lugar, pode criar suas própriasferramentas de validação.

Para obter informações sobre como validar logs usando AWS CLI, consulte Validar a integridade dosarquivos de log do CloudTrail com a AWS CLI (p. 197). Para obter informações sobre como desenvolverimplementações personalizadas de validação de arquivos de log CloudTrail, consulte Implementaçõespersonalizadas da validação da integridade dos arquivos de log do CloudTrail (p. 207).

Versão 1.0196

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMFADelete.html

AWS CloudTrail Guia do usuárioHabilitar a validação da integridadedos arquivos de log para CloudTrail

Habilitar a validação da integridade dos arquivos delog para CloudTrailVocê pode habilitar a validação da integridade dos arquivos de log usando Console de gerenciamento daAWS, a interface de linha de comando da AWS (AWS CLI) ou a API CloudTrail. O CloudTrail começa afornecer arquivos de resumo em cerca de uma hora.

Console de gerenciamento da AWSPara permitir a validação da integridade do arquivo de log com o console CloudTrail, escolha Yes (Sim)para a opção Enable log file validation (Habilitar validação do arquivo de log) ao criar ou atualizar umatrilha. Por padrão, esse recurso é ativado para as novas trilhas. Para obter mais informações, consulteCriar e atualizar uma trilha com o console (p. 69).

AWS CLIPara habilitar a validação da integridade dos arquivos de log com a AWS CLI, use a opção --enable-log-file-validation com os comandos create-trail ou update-trail. Para desativar a validação daintegridade dos arquivos de log, use a opção --no-enable-log-file-validation.

Exemplo

O comando update-trail a seguir permite a validação do arquivo de log e começa a fornecer arquivosde resumo ao bucket Amazon S3 para a trilha especificada.

aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation

API CloudTrailPara habilitar a validação da integridade dos arquivos de log com a API CloudTrail, defina o parâmetro desolicitação EnableLogFileValidation como true ao chamar CreateTrail ou UpdateTrail.

Para obter mais informações, consulte CreateTrail e UpdateTrail em AWS CloudTrail API Reference.

Validar a integridade dos arquivos de log do CloudTrailcom a AWS CLIPara validar os log com o AWS Command Line Interface, use o comando do CloudTrail validate-logs. O comando usa os arquivos de resumo fornecidos ao bucket do Amazon S3 para executar avalidação. Para obter informações sobre os arquivos de resumo, consulte Estrutura dos arquivos deresumo CloudTrail (p. 203).

A AWS CLI permite que você detecte os seguintes tipos de alterações:

• Modificação ou exclusão dos arquivos de log do CloudTrail• Modificação ou exclusão dos arquivos de resumo do CloudTrail• Modificação ou exclusão de ambos

Note

A AWS CLI valida somente os arquivos de log aos quais os arquivos de resumo fazem referência.Para obter mais informações, consulte Verificar se um arquivo específico foi fornecido peloCloudTrail (p. 203).

Versão 1.0197

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-trail.html

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/api_CreateTrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateTrail.html


AWS CloudTrail Guia do usuárioValidar a integridade dos arquivos

de log do CloudTrail com a AWS CLI

Pré-requisitosPara validar a integridade dos arquivos de log com a AWS CLI, as seguintes condições precisam seratendidas:

• Você precisa ter conectividade online com a AWS.• Você precisa ter acesso de leitura ao bucket do Amazon S3 que contém os arquivos de resumo e de log.• Os arquivos de resumo e de log não podem ter sido movidos do local original do Amazon S3 em que o

CloudTrail os forneceu.

Note

Os arquivos de log que foram baixados para o disco local não podem ser validados com a AWSCLI. Para obter informações sobre como criar suas próprias ferramentas para validação, consulteImplementações personalizadas da validação da integridade dos arquivos de log do CloudTrail (p. 207).

validate-logsSintaxe

Veja a seguir a sintaxe de validate-logs. Os parâmetros opcionais são mostrados entre colchetes.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time>[--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

Opções

Veja a seguir as opções de linha de comando de validate-logs. As opções --trail-arn e --start-time são obrigatórias.

--start-time

Especifica que os arquivos de log fornecidos no horário UTC especificado ou depois dele serãovalidados. Exemplo: 2015-01-08T05:21:42Z.

--end-time

Opcionalmente, especifica que os arquivos de log fornecidos no horário UTC especificado ouantes dele serão validados. O valor padrão é o horário UTC atual (Date.now()). Exemplo:2015-01-08T12:31:41Z.

Note

Para o período especificado, o comando validate-logs verifica somente os arquivos delog que são referenciados em seus arquivos de resumo correspondentes. Nenhum outroarquivo de log no bucket do Amazon S3 é verificado. Para obter mais informações, consulteVerificar se um arquivo específico foi fornecido pelo CloudTrail (p. 203).

--s3-bucket

Opcionalmente, especifica o bucket do Amazon S3 em que os arquivos de resumo sãoarmazenados. Se um nome de bucket não for especificado, a AWS CLI o recuperará ao chamarDescribeTrails().

Versão 1.0198



--prefix

Opcionalmente, especifica o prefixo do Amazon S3 em que os arquivos de resumo são armazenados.Se não for especificado, a AWS CLI o recuperará ao chamar DescribeTrails().

Note

Você deve usar essa opção somente se o prefixo atual for diferente daquele que estava emuso durante o período que você especificar.

--trail-arn

Especifica o Nome de recurso da Amazon (ARN) da trilha a ser validada. O formato de uma trilha queo Nome de recurso da Amazon (ARN) segue.

arn:aws:cloudtrail:us-east-2:111111111111:trail/MyTrailName

Note

Para obter o Nome de recurso da Amazon (ARN) de uma trilha, você pode usar o comandodescribe-trails antes de executar validate-logs.Convém especificar o prefixo e o nome do bucket, além do Nome de recurso da Amazon(ARN) da trilha, se os arquivos de log foram fornecidos a mais de um bucket no períodoespecificado e você quiser restringir a validação aos arquivos de log em apenas um dosbuckets.

--verbose

Opcionalmente, fornece informações de validação de cada arquivo de log ou de compilação noperíodo especificado. Os resultados indicam se o arquivo permanece inalterado ou foi modificado ouexcluído. No modo não detalhado (o padrão), as informações são retornadas somente para os casosem que havia uma falha de validação.

Exemplo

O exemplo a seguir valida os arquivos de log do horário de início especificado até o presente, usando obucket do Amazon S3 configurado para a trilha atual e especificando os resultados detalhados.

aws cloudtrail validate-logs --start-time 2015-08-27T00:00:00Z --end-time 2015-08-28T00:00:00Z --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/my-trail-name --verbose

Como validate-logs funciona

O comando validate-logs começa validando o arquivo de resumo mais recente no períodoespecificado. Primeiro, ele verifica se o arquivo de resumo foi baixado do local ao qual ele afirma quepertence. Em outras palavras, se a CLI fizer download do arquivo de resumo df1 do local do S3 p1,validate-logs verificará se p1 == df1.digestS3Bucket + '/' + df1.digestS3Object.

Se a assinatura do arquivo de resumo for válida, ela verificará o valor de hash de cada um dos logsreferenciados no arquivo de resumo. Então, o comando volta no tempo, validando os arquivos deresumo anteriores e seus arquivos de log referenciados sucessivamente. Ele continuará até que o valorespecificado para start-time seja atingido ou até que a cadeia de compilação termine. Se um arquivode resumo é ausente ou não é válido, o período que não pode ser validado é indicado nos resultados.

Versão 1.0199



Resultados da validaçãoOs resultados da validação começam com um cabeçalho de resumo no seguinte formato:

Validating log files for trail trail_ARN between time_stamp and time_stamp

Cada linha dos resultados principais contém os resultados da validação para um único arquivo de resumoou de log no seguinte formato:

<Digest file | Log file> <S3 path> <Validation Message>

A tabela a seguir descreve as possíveis mensagens de validação do arquivo de log e de compilação.

Tipo de arquivo Mensagem de validação Descrição

Digest file valid A assinatura do arquivo de resumo é válida.Os arquivos de log aos quais ela faz referênciapodem ser verificados. Essa mensagem éincluída apenas no modo detalhado.

Digest file INVALID: has been movedfrom its original location

O bucket do S3 ou o objeto do S3 do qualo arquivo de resumo foi recuperado nãocorresponde aos locais do bucket do S3 ou doobjeto do S3 que são registrados no próprioarquivo de resumo.

Digest file INVALID: invalid format O formato do arquivo de resumo é inválido. Osarquivos de log correspondentes ao períodoque o arquivo de resumo representa não podemser validados.

Digest file INVALID: not found O arquivo de resumo não foi encontrado. Osarquivos de log correspondentes ao períodoque o arquivo de resumo representa não podemser validados.

Digest file INVALID: public key notfound for fingerprintimpressão digital

A chave pública correspondente à impressãodigital registrada no arquivo de resumo não foiencontrada. O arquivo de resumo não pode servalidado.

Digest file INVALID: signatureverification failed

A assinatura do arquivo de resumo não é válida.Como o arquivo de resumo não é válido, osarquivos de log aos quais ele faz referência nãopodem ser validados, e nenhuma declaraçãopode ser feita sobre a atividade da API neles.

Digest file INVALID: Unable toload PKCS #1 key withfingerprint impressãodigital

Como a chave pública DER codificada noformato PKCS #1 que contém a impressãodigital especificada não pode ser carregada, oarquivo de resumo não pode ser validado.

Log file valid O arquivo de log foi validado e não foimodificado desde o horário do fornecimento.Essa mensagem é incluída apenas no mododetalhado.

Versão 1.0200



Tipo de arquivo Mensagem de validação Descrição

Log file INVALID: hash valuedoesn't match

O hash do arquivo de log não é correspondente.O arquivo de log foi modificado depois de serfornecido pelo CloudTrail.

Log file INVALID: invalid format O formato do arquivo de log é inválido. Oarquivo de log não pode ser validado.

Log file INVALID: not found O arquivo de log não foi encontrado e não podeser validado.

A saída inclui informações resumidas sobre os resultados retornados.

Exemplos de resultados

Detalhado

O exemplo de comando validate-logs usa o sinalizador --verbose e produz o exemplo de resultadoa seguir. [...] indica que o resultado de amostra foi abreviado.

aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name --start-time 2015-08-31T22:00:00Z --end-time 2015-09-01T19:17:29Z --verbose

Validating log files for trail arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name between 2015-08-31T22:00:00Z and 2015-09-01T19:17:29Z Digest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/09/01/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T201728Z.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1925Z_WZZw1RymnjCRjxXc.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1915Z_POuvV87nu6pfAV2W.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1930Z_l2QgXhAKVm1QXiIA.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1920Z_eQJteBBrfpBCqOqw.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1950Z_9g5A6qlR2B5KaRdq.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1920Z_i4DNCC12BuXd6Ru7.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1915Z_Sg5caf2RH6Jdx0EJ.json.gz validDigest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/09/01/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T191728Z.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1910Z_YYSFiuFQk4nrtnEW.json.gz valid[...]

Versão 1.0201



Log file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T1055Z_0Sfy6m9f6iBzmoPF.json.gz validLog file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T1040Z_lLa3QzVLpOed7igR.json.gz valid

Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T101728Z.json.gz INVALID: signature verification failed

Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T091728Z.json.gz validLog file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T0830Z_eaFvO3dwHo4NCqqc.json.gz validDigest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T081728Z.json.gz validDigest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T071728Z.json.gz valid[...]Log file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2245Z_mbJkEO5kNcDnVhGh.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2225Z_IQ6kXy8sKU03RSPr.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2230Z_eRPVRTxHQ5498ROA.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2255Z_IlWawYZGvTWB5vYN.json.gz validDigest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/08/31/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150831T221728Z.json.gz valid

Results requested for 2015-08-31T22:00:00Z to 2015-09-01T19:17:29ZResults found for 2015-08-31T22:17:28Z to 2015-09-01T20:17:28Z:

22/23 digest files valid, 1/23 digest files INVALID63/63 log files valid

Não detalhadoO exemplo de comando validate-logs não usa o sinalizador --verbose. No exemplo de resultado aseguir, um erro foi encontrado. Somente o cabeçalho, o erro e as informações resumidas são retornados.

aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name --start-time 2015-08-31T22:00:00Z --end-time 2015-09-01T19:17:29Z

Validating log files for trail arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name between 2015-08-31T22:00:00Z and 2015-09-01T19:17:29Z

Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T101728Z.json.gz INVALID: signature verification failed

Results requested for 2015-08-31T22:00:00Z to 2015-09-01T19:17:29ZResults found for 2015-08-31T22:17:28Z to 2015-09-01T20:17:28Z:

Versão 1.0202

AWS CloudTrail Guia do usuárioEstrutura dos arquivos de resumo CloudTrail

22/23 digest files valid, 1/23 digest files INVALID63/63 log files valid

Verificar se um arquivo específico foi fornecido pelo CloudTrailPara verificar se um arquivo específico no seu bucket foi fornecido pelo CloudTrail, execute o validate-logs no modo detalhado para o período que inclui o arquivo. Se o arquivo aparecer no resultado devalidate-logs, significa que o arquivo foi fornecido pelo CloudTrail.

Estrutura dos arquivos de resumo CloudTrailCada arquivo de resumo contém os nomes dos arquivos de log que foram fornecidos ao seu bucketAmazon S3 durante a última hora, os valores de hash desses arquivos de log e a assinatura digital doarquivo de resumo anterior. A assinatura do arquivo de resumo atual está armazenada nas propriedadesde metadados do objeto do arquivo de resumo. As assinaturas digitais e os hashes são usados paravalidar a integridade dos arquivos de log e do próprio arquivo de resumo.

Local do arquivo de resumoOs arquivos de resumo são fornecidos ao local de um bucket Amazon S3 que segue essa sintaxe.

s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/ region/digest-end-year/digest-end-month/digest-end-date/ aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Note

Para trilhas de organização, o local do bucket também inclui o ID da unidade organizacional, daseguinte forma:

s3://s3-bucket-name/optional-prefix/AWSLogs/OU-ID/aws-account-id/CloudTrail-Digest/ region/digest-end-year/digest-end-month/digest-end-date/ aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Amostra de conteúdo dos arquivos de resumoO exemplo de arquivo de resumo a seguir contém informações de um log CloudTrail.

{ "awsAccountId": "111122223333", "digestStartTime": "2015-08-17T14:01:31Z", "digestEndTime": "2015-08-17T15:01:31Z", "digestS3Bucket": "S3-bucket-name", "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T150131Z.json.gz", "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff", "digestSignatureAlgorithm": "SHA256withRSA", "newestEventTime": "2015-08-17T14:52:27Z", "oldestEventTime": "2015-08-17T14:42:27Z", "previousDigestS3Bucket": "S3-bucket-name", "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T140131Z.json.gz", "previousDigestHashValue": "97fb791cf91ffc440d274f8190dbdd9aa09c34432aba82739df18b6d3c13df2d",

Versão 1.0203


"previousDigestHashAlgorithm": "SHA-256", "previousDigestSignature": "50887ccffad4c002b97caa37cc9dc626e3c680207d41d27fa5835458e066e0d3652fc4dfc30937e4d5f4cc7f796e7a258fb50a43ac427f2237f6e505d4efaf373d156e15e3b68dea9f58111d395b62628d6bd367a9024d2183b5c5f6e19466d3a996b92df705bc997b8a0e13430f241d733cf95df4e41bb6c304c3f58363043572ea57a27085639ce187e679c0d81c7519b1184fa77fb7ab0b0e40a32dace6e1eefc3995c5ae182da49b62b26398cebb52a2201a6387b75b89c83e5570bcb9bba6c34a80f2f00a1c6ebe07d1ff149eccd812dc805bb3eeff6657db32a6cb48d2d096404eb76181877bc6ebb8cd0b23f823200155b2fd8848d428e46e8456328a", "logFiles": [ { "s3Bucket": "S3-bucket-name", "s3Object": "AWSLogs/111122223333/CloudTrail/us-east-2/2015/08/17/111122223333_CloudTrail_us-east-2_20150817T1445Z_9nYN7gp2eWAJHIfT.json.gz", "hashValue": "9bb6196fc6b84d6f075a56548feca262bd99ba3c2de41b618e5b6e22c1fc71f6", "hashAlgorithm": "SHA-256", "newestEventTime": "2015-08-17T14:52:27Z", "oldestEventTime": "2015-08-17T14:42:27Z" } ]}

Descrições dos campos dos arquivos de resumoVeja a seguir descrições de cada campo no arquivo de resumo:

awsAccountId

O ID da conta AWS ao qual o arquivo de resumo foi fornecido.

digestStartTime

O período UTC inicial que o arquivo de resumo abrange, tomando como referência o momento emque os arquivos de log foram fornecidos pelo CloudTrail. Isso significa que, se o período é [Ta, TB], oarquivo de resumo conterá todos os arquivos de log fornecidos ao cliente entre Ta e TB.

digestEndTime

O período UTC final que o arquivo de resumo abrange, tomando como referência o momento emque os arquivos de log foram fornecidos pelo CloudTrail. Isso significa que, se o período é [Ta, TB], oarquivo de resumo conterá todos os arquivos de log fornecidos ao cliente entre Ta e TB.

digestS3Bucket

O nome do bucket Amazon S3 ao qual o arquivo de resumo atual foi fornecido.

digestS3Object

A chave do objeto Amazon S3 (ou seja, o local do bucket Amazon S3) do arquivo de resumo atual. Asduas primeiras regiões na string mostram a região da qual o arquivo de resumo foi fornecido. A últimaregião (após your-trail-name) é a região de origem da trilha. A região de origem é aquela em quea trilha foi criada. No caso de uma trilha com várias regiões, isso pode ser diferente da região da qualo arquivo de resumo foi fornecido.

newestEventTime

O horário UTC do evento mais recente entre todos os eventos nos arquivos de log da compilação.

oldestEventTime

O horário UTC do evento mais antigo entre todos os eventos nos arquivos de log da compilação.

Versão 1.0204


Note

Se o arquivo de resumo for fornecido com atraso, o valor de oldestEventTime seráanterior ao de digestStartTime.

previousDigestS3Bucket

O bucket Amazon S3 ao qual o arquivo de resumo anterior foi fornecido.

previousDigestS3Object

A chave do objeto Amazon S3 (ou seja, o local do bucket Amazon S3) do arquivo de resumo anterior.

previousDigestHashValue

O valor de hash codificado hexadecimal do conteúdo não compactado do arquivo de resumo anterior.

previousDigestHashAlgorithm

O nome do algoritmo de hash que foi usado para fazer hash do arquivo de resumo anterior.

publicKeyFingerprint

A impressão digital com codificação hexadecimal da chave pública que corresponde à chave privadausada para assinar esse arquivo de resumo. Você pode recuperar as chaves públicas do períodocorrespondente ao arquivo de resumo usando AWS CLI ou a API CloudTrail. Das chaves públicasretornadas, aquela cuja impressão digital corresponde a esse valor pode ser usada para validar oarquivo de resumo. Para obter informações sobre a recuperação de chaves públicas de arquivos deresumo, consulte o comando AWS CLIlist-public-keys ou a API CloudTrailListPublicKeys.

Note

CloudTrail usa diferentes pares de chaves públicas/privadas por região. Cada arquivo deresumo é assinado com uma chave privada exclusiva de sua respectiva região. Portanto,quando você valida um arquivo de resumo de uma região específica, precisa procurar achave pública correspondente na mesma região.

digestSignatureAlgorithm

O algoritmo usado para assinar o arquivo de resumo.

logFiles.s3Bucket

O nome do bucket Amazon S3 do arquivo de log.

logFiles.s3Object

A chave do objeto Amazon S3 do arquivo de log atual.

logFiles.newestEventTime

O horário UTC do evento mais recente no arquivo de log. Esse horário também corresponde ao timestamp do arquivo de log em si.

Versão 1.0205

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-public-keys.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListPublicKeys.html


logFiles.oldestEventTime

O horário UTC do evento mais antigo no arquivo de log.

logFiles.hashValue

O valor de hash codificado hexadecimal do conteúdo do arquivo de log não compactado.

logFiles.hashAlgorithm

O algoritmo de hash usado para fazer hash do arquivo de log.

Arquivo de resumo inicialQuando a validação da integridade do arquivo de log é iniciada, um arquivo de resumo inicial é gerado.Um arquivo de resumo inicial também é gerado quando a validação da integridade dos arquivos de logé reiniciada (com a desativação e a reativação da validação da integridade dos arquivos de log ou ainterrupção e a reinicialização do registro com a validação ativada). Em um arquivo de resumo inicial, osseguintes campos relacionados ao arquivo de resumo anterior serão nulos:

• previousDigestS3Bucket

• previousDigestS3Object

• previousDigestHashValue

• previousDigestHashAlgorithm

• previousDigestSignature

Arquivos de resumo "vazios"CloudTrail fornece um arquivo de resumo mesmo quando não há atividade de API na sua conta duranteo período de uma hora que o arquivo de resumo representa. Isso pode ser útil quando você precisaconfirmar que nenhum arquivo de log foi fornecido durante a hora informada pelo arquivo de resumo.

O exemplo a seguir mostra o conteúdo de um arquivo de resumo que registrou uma hora na qual nãoocorreram atividades de API. O campo logFiles:[ ] no final do conteúdo do arquivo de resumo estávazio.

{ "awsAccountId": "111122223333", "digestStartTime": "2015-08-20T17:01:31Z", "digestEndTime": "2015-08-20T18:01:31Z", "digestS3Bucket": "example-bucket-name", "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T180131Z.json.gz", "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff", "digestSignatureAlgorithm": "SHA256withRSA", "newestEventTime": null, "oldestEventTime": null, "previousDigestS3Bucket": "example-bucket-name", "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T170131Z.json.gz", "previousDigestHashValue": "ed96c4bac9eaa8fe9716ca0e515da51938be651b1db31d781956416a9d05cdfa", "previousDigestHashAlgorithm": "SHA-256",

Versão 1.0206

AWS CloudTrail Guia do usuárioImplementações personalizadas da validação da

integridade dos arquivos de log do CloudTrail

"previousDigestSignature": "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", "logFiles": []}

Assinatura do arquivo de resumoAs informações da assinatura de um arquivo de resumo estão localizadas em duas propriedades demetadados do objeto do arquivo de resumo Amazon S3. Cada arquivo de resumo tem as seguintesentradas de metadados:

• x-amz-meta-signature

O valor codificado hexadecimal da assinatura do arquivo de resumo. Veja a seguir um exemplo deassinatura:

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

• x-amz-meta-signature-algorithm

Veja a seguir um exemplo de valor do algoritmo usado para gerar a assinatura de compilação:

SHA256withRSA

Encadeamento de arquivos de resumoO fato de que cada arquivo de resumo contém uma referência ao arquivo de resumo anterior ativa um"encadeamento" que permite que ferramentas de validação como a AWS CLI detectem se um arquivo deresumo foi excluído. Ele também permite que os arquivos de resumo em um período específico sejamsucessivamente inspecionados, começando pelo mais recente.

Note

Quando você desativa a validação da integridade do arquivo de log, a cadeia de arquivos deresumo é interrompida após uma hora. CloudTrail não criará arquivos de resumo para os arquivosde log que foram fornecidos durante um período em que a validação da integridade dos arquivosde log foi desativada. Por exemplo, se você ativar a validação da integridade dos arquivos delog ao meio-dia em 1º de janeiro, desativá-la ao meio-dia em 2 de janeiro e reativá-la em 10 dejaneiro ao meio-dia, os arquivos de resumo não serão criados para os arquivos de log fornecidosa partir do meio-dia em 2 de janeiro ao meio-dia em 10 de janeiro. O mesmo se aplica sempre quevocê interrompe o registro CloudTrail ou exclui uma trilha.

Se o registro for interrompido ou a trilha for excluída, CloudTrail fornecerá um arquivo de resumo final.Esse arquivo de resumo pode conter informações de todos os arquivos de log restantes que abrangemeventos até o evento StopLogging (inclusive).

Implementações personalizadas da validação daintegridade dos arquivos de log do CloudTrailComo o CloudTrail usa algoritmos criptográficos e funções de hash padrão do setor e disponíveisabertamente, você pode criar suas próprias ferramentas para validar a integridade dos arquivos de logdo CloudTrail. Quando a validação da integridade dos arquivos de log é habilitada, o CloudTrail fornece

Versão 1.0207



arquivos de resumo ao bucket do Amazon S3. Você pode usar esses arquivos para implementar suaprópria solução de validação. Para obter mais informações sobre os arquivos de resumo, consulteEstrutura dos arquivos de resumo CloudTrail (p. 203).

Este tópico descreve como os arquivos de resumo são assinados e explica detalhadamente as etapas quevocê precisará seguir para implementar uma solução que valida os arquivos de resumo e os arquivos delog aos quais eles fazem referência.

Entender como os arquivos de resumo do CloudTrail sãoassinadosOs arquivos de resumo do CloudTrail são assinados com assinaturas digitais de RSA. Para cada arquivode resumo, o CloudTrail faz o seguinte:

1. Cria uma string para assinatura de dados com base em campos de arquivos de resumo designados(descritos na próxima seção).

2. Obtém uma chave privada exclusiva para a região.3. Transmite o hash SHA-256 da string e a chave privada ao algoritmo de assinatura RSA, que produz

uma assinatura digital.4. Codifica o código de byte da assinatura em formato hexadecimal.5. Insere a assinatura digital na propriedade de metadados x-amz-meta-signature do objeto do

arquivo de resumo do Amazon S3.

Conteúdo da string de assinatura de dados

Os seguintes objetos do CloudTrail são incluídos na string para assinatura de dados:

• O carimbo de data e hora final do arquivo de resumo no formato estendido UTC (por exemplo,2015-05-08T07:19:37Z)

• O caminho atual do arquivo de resumo do S3• O hash SHA-256 com codificação hexadecimal do arquivo de resumo atual• A assinatura com codificação hexadecimal do arquivo de resumo anterior

O formato para calcular essa string e uma string de exemplo são fornecidos posteriormente nestedocumento.

Etapas da implementação da validação personalizadaAo implementar uma solução de validação personalizada, você precisará validar o arquivo de resumoprimeiro e os arquivos de log aos quais ele faz referência.

Validar o arquivo de resumo

Para validar um arquivo de resumo, você precisa da assinatura dele, da chave pública cuja chave privadafoi usada para assiná-lo e de uma string de assinatura de dados computada.

1. Obtenha o arquivo de resumo.2. Verifique se o arquivo de resumo foi recuperado de seu local original.3. Obtenha a assinatura com codificação hexadecimal do arquivo de resumo.4. Obtenha a impressão digital com codificação hexadecimal da chave pública cuja chave privada foi

usada para assinar o arquivo de resumo.5. Recupere as chaves públicas do período correspondente ao arquivo de resumo.

Versão 1.0208



6. Entre as chaves públicas recuperadas, escolha aquela cuja impressão digital corresponde à impressãodigital do arquivo de resumo.

7. Usando o hash do arquivo de resumo e outros campos de arquivos de resumo, recrie a string deassinatura de dados usada para verificar a assinatura do arquivo de resumo.

8. Para validar a assinatura, transmita o hash SHA-256 da string, a chave pública e a assinatura comoparâmetros ao algoritmo de verificação de assinatura RSA. Se o resultado for verdadeiro, o arquivo deresumo será válido.

Validar os arquivos de logSe o arquivo de resumo for válido, valide cada um dos arquivos de log aos quais o arquivo de resumo fazreferência.

1. Para validar a integridade de um arquivo de log, compute o valor de hash SHA-256 dele em seuconteúdo não compactado e compare os resultados com o hash do arquivo de log gravado em formatohexadecimal na compilação. Se os hashes forem correspondentes, o arquivo de log será válido.

2. Com as informações sobre o arquivo de resumo anterior que está incluído no arquivo de resumoatual, valide os arquivos de resumo anteriores e seus arquivos de log correspondentes de maneiraconsecutiva.

As seções a seguir descrevem essas etapas em detalhes.

A. Obtenha o arquivo de resumo.As primeiras etapas são: obter o arquivo de resumo mais recente, verificar se você o recuperou do localoriginal dele, verificar sua assinatura digital e obter a impressão digital da chave pública.

1. Com S3 Get ou a classe AmazonS3Client (por exemplo), obtenha o arquivo de resumo mais recentedo bucket do Amazon S3 para o período que você deseja validar.

2. Verifique se o bucket e o objeto do S3 usados para recuperar o arquivo correspondem aos locais dobucket e do objeto do S3 que são registrados no próprio arquivo de resumo.

3. Obtenha a assinatura digital do arquivo de resumo da propriedade de metadados x-amz-meta-signature do objeto do arquivo de resumo em Amazon S3.

4. No arquivo de resumo, obtenha a impressão digital da chave pública cuja chave privada foi usada paraassinar o arquivo de resumo do campo digestPublicKeyFingerprint.

B. Recupere a chave pública para validar o arquivo de resumoPara obter a chave pública para validar o arquivo de resumo, você pode usar a AWS CLI ou a APICloudTrail. Em ambos os casos, você especifica um período (ou seja, um horário de início e de término)para os arquivos de resumo que você deseja validar. Uma ou mais chaves públicas podem ser retornadaspara o período que você especificar. As chaves retornadas podem ter períodos de validade que sesobrepõem.

Note

Como CloudTrail usa pares diferentes de chaves públicas/privadas por região, cada arquivo deresumo é assinado com uma chave privada exclusiva da sua região. Portanto, quando você validaum arquivo de resumo de uma região específica, precisa recuperar a chave pública da mesmaregião.

Use AWS CLI para recuperar chaves públicas

Para recuperar chaves públicas de arquivos de resumo usando AWS CLI, use o comando cloudtraillist-public-keys. O comando tem o formato a seguir:

Versão 1.0209

https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectGET.html

https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3Client.html



aws cloudtrail list-public-keys [--start-time <start-time>] [--end-time <end-time>]

Os parâmetros de horário de início e de término são carimbos de data e hora UTC opcionais. Se eles nãoforem especificados, a hora atual será usada, e a chave ou as chaves públicas atualmente ativas serãoretornadas.

Exemplo de resposta

A resposta será uma lista de objetos JSON que representam a chave ou as chaves retornadas:

{ "publicKeyList": [ { "ValidityStartTime": "1436317441.0", "ValidityEndTime": "1438909441.0", "Value": "MIIBCgKCAQEAn11L2YZ9h7onug2ILi1MWyHiMRsTQjfWE+pHVRLk1QjfWhirG+lpOa8NrwQ/r7Ah5bNL6HepznOU9XTDSfmmnP97mqyc7z/upfZdS/AHhYcGaz7n6Wc/RRBU6VmiPCrAUojuSk6/GjvA8iOPFsYDuBtviXarvuLPlrT9kAd4Lb+rFfR5peEgBEkhlzc5HuWO7S0y+KunqxX6jQBnXGMtxmPBPP0FylgWGNdFtks/4YSKcgqwH0YDcawP9GGGDAeCIqPWIXDLG1jOjRRzWfCmD0iJUkz8vTsn4hq/5ZxRFE7UBAUiVcGbdnDdvVfhF9C3dQiDq3k7adQIziLT0cShgQIDAQAB", "Fingerprint": "8eba5db5bea9b640d1c96a77256fe7f2" }, { "ValidityStartTime": "1434589460.0", "ValidityEndTime": "1437181460.0", "Value": "MIIBCgKCAQEApfYL2FiZhpN74LNWVUzhR+VheYhwhYm8w0n5Gf6i95ylW5kBAWKVEmnAQG7BvS5g9SMqFDQx52fW7NWV44IvfJ2xGXT+wT+DgR6ZQ+6yxskQNqV5YcXj4Aa5Zz4jJfsYjDuO2MDTZNIzNvBNzaBJ+r2WIWAJ/Xq54kyF63B6WE38vKuDE7nSd1FqQuEoNBFLPInvgggYe2Ym1Refe2z71wNcJ2kY+q0h1BSHrSM8RWuJIw7MXwF9iQncg9jYzUlNJomozQzAG5wSRfbplcCYNY40xvGd/aAmO0m+Y+XFMrKwtLCwseHPvj843qVno6x4BJN9bpWnoPo9sdsbGoiK3QIDAQAB", "Fingerprint": "8933b39ddc64d26d8e14ffbf6566fee4" }, { "ValidityStartTime": "1434589370.0", "ValidityEndTime": "1437181370.0", "Value": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqlzPJbvZJ42UdcmLfPUqXYNfOs6I8lCfao/tOs8CmzPOEdtLWugB9xoIUz78qVHdKIqxbaG4jWHfJBiOSSFBM0lt8cdVo4TnRa7oG9io5pysS6DJhBBAeXsicufsiFJR+wrUNh8RSLxL4k6G1+BhLX20tJkZ/erT97tDGBujAelqseGg3vPZbTx9SMfOLN65PdLFudLP7Gat0Z9p5jw/rjpclKfo9Bfc3heeBxWGKwBBOKnFAaN9V57pOaosCvPKmHd9bg7jsQkI9Xp22IzGLsTFJZYVA3KiTAElDMu80iFXPHEq9hKNbt9e4URFam+1utKVEiLkR2disdCmPTK0VQIDAQAB", "Fingerprint": "31e8b5433410dfb61a9dc45cc65b22ff" } ]}

Use a API CloudTrail para recuperar chaves públicas

Para recuperar chaves públicas de arquivos de resumo usando a API CloudTrail, transmita os valoresde horário de início e de término à API ListPublicKeys. A API ListPublicKeys retorna as chavespúblicas cujas chaves privadas foram usadas para assinar arquivos de resumo dentro do períodoespecificado. Para cada chave pública, a API também retorna a impressão digital correspondente.

ListPublicKeys

Esta seção descreve os parâmetros de solicitação e os elementos de resposta da API ListPublicKeys.Note

A codificação dos campos binários de ListPublicKeys está sujeita a alterações.

Parâmetros de solicitação

Versão 1.0210



Nome Descrição

StartTime Especifica opcionalmente, em UTC, o início do período para pesquisar chavespúblicas de arquivos de resumo CloudTrail. Se StartTime não for especificado, ahora atual será usada, e a chave pública atual será retornada.

Tipo: DateTime

EndTime Especifica opcionalmente, em UTC, o término do período para pesquisarchaves públicas de arquivos de resumo CloudTrail. Se EndTime não forespecificado, a hora atual será usada.

Tipo: DateTime

Elementos de resposta

PublicKeyList, um conjunto de PublicKey objetos que contém:

Nome Descrição

Value O valor de chave pública codificado DER no formato PKCS #1.

Tipo: Blob

ValidityStartTime O horário de início da validade da chave pública.

Tipo: DateTime

ValidityEndTime O horário de término da validade da chave pública.

Tipo: DateTime

Fingerprint A impressão digital da chave pública. A impressão digital pode ser usada paraidentificar a chave pública que você precisa usar para validar o arquivo deresumo.

Tipo: string

C. Escolha a chave pública a ser usada para a validaçãoEntre as chaves públicas recuperadas por list-public-keys ou ListPublicKeys, escolhaa chave retornada cuja impressão digital corresponde à impressão digital gravada no campodigestPublicKeyFingerprint do arquivo de resumo. Esta é a chave pública que você usará paravalidar o arquivo de resumo.

D. Recrie a string de assinatura de dadosAgora que você tem a assinatura do arquivo de resumo e a chave pública associada, precisa calcular astring de assinatura de dados. Depois que você calcular a string de assinatura de dados, terá o necessáriopara verificar a assinatura.

A string de assinatura de dados tem o seguinte formato:

Data_To_Sign_String = Digest_End_Timestamp_in_UTC_Extended_format + '\n' + Current_Digest_File_S3_Path + '\n' + Hex(Sha256(current-digest-file-content)) + '\n' +

Versão 1.0211



Previous_digest_signature_in_hex

Veja a seguir um exemplo de Data_To_Sign_String.

2015-08-12T04:01:31ZS3-bucket-name/AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/12/111122223333_us-east-2_CloudTrail-Digest_us-east-2_20150812T040131Z.json.gz4ff08d7c6ecd6eb313257e839645d20363ee3784a2328a7d76b99b53cc9bcacd6e8540b83c3ac86a0312d971a225361d28ed0af20d70c211a2d405e32abf529a8145c2966e3bb47362383a52441545ed091fb81d4c7c09dd152b84e79099ce7a9ec35d2b264eb92eb6e090f1e5ec5d40ec8a0729c02ff57f9e30d5343a8591638f8b794972ce15bb3063a0197298b0aee2c1c8af74ec620261529265e83a9834ebef6054979d3e9a6767dfa6fdb4ae153436c567d6ae208f988047ccfc8e5e41f7d0121e54ed66b1b904f80fb2ce304458a2a6b91685b699434b946c52589e9438f8ebe5a0d80522b2f043b3710b87d2cda43e5c1e0db921d8d540b9ad5f6d4$31b1f4a8ef2d758424329583897339493a082bb36e782143ee5464b4e3eb4ef6

Depois que você recriar essa string, poderá validar o arquivo de resumo.

E. Valide o arquivo de resumo

Transmita o hash SHA-256 da string de assinatura de dados recriada, a assinatura digital e a chavepública ao algoritmo de verificação de assinatura RSA. Se o resultado for verdadeiro, a assinatura doarquivo de resumo será verificada, e o arquivo de resumo será válido.

F. Valide os arquivos de log

Depois que você validar o arquivo de resumo, poderá validar os arquivos de log aos quais ele fazreferência. O arquivo de resumo contém os hashes SHA-256 dos arquivos de log. Se um dos arquivosde log for modificado depois de ter sido entregue por CloudTrail, os hashes SHA-256 serão alterados, e aassinatura do arquivo de resumo não será correspondente.

Veja a seguir como validar os arquivos de log:

1. Faça um S3 Get do arquivo de log usando as informações de local do S3 nos camposlogFiles.s3Bucket e logFiles.s3Object do arquivo de resumo.

2. Se a operação S3 Get for bem-sucedida, percorra os arquivos de log listados no conjunto de arquivosde log seguindo estas etapas:a. Recupere o hash original do arquivo no campo logFiles.hashValue do log correspondente no

arquivo de resumo.b. Faça hash do conteúdo descompactado do arquivo de log com o algoritmo de hashing especificado

em logFiles.hashAlgorithm.c. Compare o valor de hash que você gerou com o valor do log no arquivo de resumo. Se os hashes

forem correspondentes, o arquivo de log será válido.

G. Valide arquivos de log e de compilação adicionais

Em cada arquivo de resumo, os campos a seguir fornecem o local e a assinatura do arquivo de resumoanterior:

• previousDigestS3Bucket

• previousDigestS3Object

• previousDigestSignature

Use essas informações para acessar os arquivos de resumo anteriores em sequência, validando aassinatura de cada um deles e os arquivos de log aos quais eles fazem referência seguindo as etapasdas seções anteriores. A única diferença é que, para os arquivos de resumo anteriores, você não precisarecuperar a assinatura digital das propriedades de metadados Amazon S3 do objeto do arquivo de resumo.A assinatura do arquivo de resumo anterior é fornecida a você no campo previousDigestSignature.

Versão 1.0212



Você pode voltar até que o arquivo de resumo inicial seja atingido ou até que a cadeia de arquivos deresumo seja interrompida, o que ocorrer primeiro.

Validar arquivos de log e de compilação offlineAo validar os arquivos de log e de compilação offline, você pode seguir os procedimentos descritos nasseções anteriores. No entanto, é necessário levar em conta as seguintes áreas:

Processar o arquivo de resumo mais recenteA assinatura digital do arquivo de resumo mais recente (ou seja, "atual") está nas propriedades demetadados Amazon S3 do objeto do arquivo de resumo. Em um cenário offline, a assinatura digital doarquivo de resumo atual não é disponibilizada.

Veja a seguir duas possíveis maneiras de fazer isso:

• Como a assinatura digital do arquivo de resumo anterior está no atual, comece a validação a partirdo penúltimo arquivo de resumo. Com esse método, não é possível validar o arquivo de resumo maisrecente.

• Como uma etapa preliminar, obtenha a assinatura do arquivo de resumo atual das propriedadesde metadados do objeto do arquivo de resumo (por exemplo, ao chamar a API AmazonS3getObjectMetadata) e armazene-a offline com segurança. Isso permite que o arquivo de resumo atualseja validado, além dos arquivos anteriores da cadeia.

Resolução de caminhoOs campos nos arquivos de resumo obtidos por download, como s3Object epreviousDigestS3Object, ainda apontarão para os locais online de Amazon S3 dos arquivos de loge de resumo. Uma solução offline precisa encontrar uma maneira de redirecioná-los para o caminho atualdos arquivos de log e de compilação baixados.

Chaves públicasPara fazer a validação offline, todas as chaves públicas de que você precisa para validar os arquivos delog em um determinado período precisam primeiro ser obtidas online (ao chamar ListPublicKeys, porexemplo) e, depois, armazenadas offline com segurança. Essa etapa precisará ser repetida sempre quevocê quiser validar arquivos adicionais fora do período inicial que especificou.

Exemplo de snippet de validaçãoO exemplo de trecho a seguir fornece um código esqueleto para validar arquivos de log e de resumo deCloudTrail. O código esqueleto pode ser online ou offline, ou seja, você decide se o implementará com ousem conectividade online na AWS. A implementação sugerida usa Java Cryptography Extension (JCE) eBouncy Castle como um provedor de segurança.

O exemplo de snippet mostra:

• Como criar a string de assinatura de dados usada para validar a assinatura do arquivo de resumo.• Como verificar a assinatura do arquivo de resumo.• Como verificar os hashes do arquivo de log.• Uma estrutura de código para validar uma cadeia de arquivos de resumo.

import java.util.Arrays;import java.security.MessageDigest;

Versão 1.0213

https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3.html#getObjectMetadata(com.amazonaws.services.s3.model.GetObjectMetadataRequest)

https://en.wikipedia.org/wiki/Java_Cryptography_Extension

http://www.bouncycastle.org/



import java.security.KeyFactory;import java.security.PublicKey;import java.security.Security;import java.security.Signature;import java.security.spec.X509EncodedKeySpec;import org.json.JSONObject;import org.bouncycastle.jce.provider.BouncyCastleProvider;import org.apache.commons.codec.binary.Hex; public class DigestFileValidator { public void validateDigestFile(String digestS3Bucket, String digestS3Object, String digestSignature) { // Using the Bouncy Castle provider as a JCE security provider - http://www.bouncycastle.org/ Security.addProvider(new BouncyCastleProvider()); // Load the digest file from S3 (using Amazon S3 Client) or from your local copy JSONObject digestFile = loadDigestFileInMemory(digestS3Bucket, digestS3Object); // Check that the digest file has been retrieved from its original location if (!digestFile.getString("digestS3Bucket").equals(digestS3Bucket) || !digestFile.getString("digestS3Object").equals(digestS3Object)) { System.err.println("Digest file has been moved from its original location."); } else { // Compute digest file hash MessageDigest messageDigest = MessageDigest.getInstance("SHA-256"); messageDigest.update(convertToByteArray(digestFile)); byte[] digestFileHash = messageDigest.digest(); messageDigest.reset(); // Compute the data to sign String dataToSign = String.format("%s%n%s/%s%n%s%n%s", digestFile.getString("digestEndTime"), digestFile.getString("digestS3Bucket"), digestFile.getString("digestS3Object"), // Constructing the S3 path of the digest file as part of the data to sign Hex.encodeHexString(digestFileHash), digestFile.getString("previousDigestSignature")); byte[] signatureContent = Hex.decodeHex(digestSignature); /* NOTE: To find the right public key to verify the signature, call CloudTrail ListPublicKey API to get a list of public keys, then match by the publicKeyFingerprint in the digest file. Also, the public key bytes returned from ListPublicKey API are DER encoded in PKCS#1 format: PublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, PublicKey BIT STRING } AlgorithmIdentifier ::= SEQUENCE { algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL } */ pkcs1PublicKeyBytes = getPublicKey(digestFile.getString("digestPublicKeyFingerprint"))); // Transform the PKCS#1 formatted public key to x.509 format. RSAPublicKey rsaPublicKey = RSAPublicKey.getInstance(pkcs1PublicKeyBytes);

Versão 1.0214



AlgorithmIdentifier rsaEncryption = new AlgorithmIdentifier(PKCSObjectIdentifiers.rsaEncryption, null); SubjectPublicKeyInfo publicKeyInfo = new SubjectPublicKeyInfo(rsaEncryption, rsaPublicKey); // Create the PublicKey object needed for the signature validation PublicKey publicKey = KeyFactory.getInstance("RSA", "BC").generatePublic(new X509EncodedKeySpec(publicKeyInfo.getEncoded())); // Verify signature Signature signature = Signature.getInstance("SHA256withRSA", "BC"); signature.initVerify(publicKey); signature.update(dataToSign.getBytes("UTF-8")); if (signature.verify(signatureContent)) { System.out.println("Digest file signature is valid, validating log files…"); for (int i = 0; i < digestFile.getJSONArray("logFiles").length(); i++) { JSONObject logFileMetadata = digestFile.getJSONArray("logFiles").getJSONObject(i); // Compute log file hash byte[] logFileContent = loadUncompressedLogFileInMemory( logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object") ); messageDigest.update(logFileContent); byte[] logFileHash = messageDigest.digest(); messageDigest.reset(); // Retrieve expected hash for the log file being processed byte[] expectedHash = Hex.decodeHex(logFileMetadata.getString("hashValue")); boolean signaturesMatch = Arrays.equals(expectedHash, logFileHash); if (!signaturesMatch) { System.err.println(String.format("Log file: %s/%s hash doesn't match.\tExpected: %s Actual: %s", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"), Hex.encodeHexString(expectedHash), Hex.encodeHexString(logFileHash))); } else { System.out.println(String.format("Log file: %s/%s hash match", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"))); } } } else { System.err.println("Digest signature failed validation."); } System.out.println("Digest file validation completed."); if (chainValidationIsEnabled()) { // This enables the digests' chain validation validateDigestFile( digestFile.getString("previousDigestS3Bucket"), digestFile.getString("previousDigestS3Object"), digestFile.getString("previousDigestSignature")); } } }}

Versão 1.0215

AWS CloudTrail Guia do usuárioUsar a CloudTrail Processing Library

Usar a CloudTrail Processing LibraryA CloudTrail Processing Library é uma biblioteca Java que fornece uma maneira simples de processar logsAWS CloudTrail. Forneça detalhes de configuração sobre a sua fila do SQS CloudTrail e escreva o códigopara processar eventos. A CloudTrail Processing Library cuida do resto. Ela consulta a sua fila AmazonSQS, lê e analisa as mensagens da fila, faz downloads de arquivos de log CloudTrail, analisa eventos nosarquivos de log e passa os eventos para o seu código como objetos Java.

A CloudTrail Processing Library é altamente dimensionável e tolerante a falhas. Ela lida comprocessamento paralelo de arquivos de log para que você possa processar quantos logs precisar. Ela lidacom falhas de rede relacionadas a limites de tempo da rede e recursos inacessíveis.

O tópico a seguir mostra como usar a CloudTrail Processing Library para processar logs do CloudTrail emseus projetos Java.

A biblioteca é fornecida como um projeto de código aberto licenciado para Apache, disponível no GitHub:

• https://github.com/aws/aws-cloudtrail-processing-library

O código-fonte da biblioteca inclui código de exemplo que você pode usar como base para os seuspróprios projetos.

Tópicos• Requisitos mínimos (p. 216)• Processamento de logs CloudTrail (p. 216)• Tópicos avançados (p. 220)• Recursos adicionais (p. 223)

Requisitos mínimosPara usar a CloudTrail Processing Library, é necessário ter o seguinte:

• AWS SDK for Java 1.10.27• Java 1.7

Processamento de logs CloudTrailPara processar logs CloudTrail no seu aplicativo Java:

1. Adicionando CloudTrail Processing Library ao seu projeto (p. 216)2. Configurar CloudTrail Processing Library (p. 218)3. Implementar o processador de eventos (p. 219)4. Instalar e executar o executor de processamento (p. 220)

Adicionando CloudTrail Processing Library ao seu projetoPara usar a CloudTrail Processing Library, adicione-a ao caminho de classe do seu projeto Java.

Versão 1.0216

https://github.com/aws/aws-cloudtrail-processing-library

https://github.com/aws/aws-sdk-java

http://docs.oracle.com/javase/7/docs/webnotes/install/

AWS CloudTrail Guia do usuárioProcessamento de logs CloudTrail

Sumário• Adicionar a biblioteca a um projeto Apache Ant (p. 217)• Adicionar a biblioteca a um projeto Apache Maven (p. 217)• Adicionar a biblioteca a um projeto Eclipse (p. 217)• Adicionar a biblioteca a um projeto IntelliJ (p. 218)

Adicionar a biblioteca a um projeto Apache Ant

Para adicionar a biblioteca a um projeto Apache Ant

1. Download or clone the CloudTrail Processing Library source code from GitHub:

• https://github.com/aws/aws-cloudtrail-processing-library2. Build the .jar file from source as described in the README:

mvn clean install -Dgpg.skip=true

3. Copie o arquivo .jar resultante para o seu projeto e adicione-o ao arquivo build.xml do projeto. Porexemplo:

<classpath> <pathelement path="${classpath}"/> <pathelement location="lib/aws-cloudtrail-processing-library-1.2.0.jar"/></classpath>

Adicionar a biblioteca a um projeto Apache Maven

CloudTrail Processing Library está disponível para Apache Maven. Você pode adicioná-la ao seu projetoescrevendo uma única dependência no arquivo pom.xml do seu projeto.

Para adicionar CloudTrail Processing Library a um projeto Maven

• Abra o arquivo pom.xml do seu projeto Maven e adicione a seguinte dependência:

<dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-cloudtrail-processing-library</artifactId> <version>1.2.0</version></dependency>

Adicionar a biblioteca a um projeto Eclipse

Para adicionar CloudTrail Processing Library a um projeto Eclipse




Versão 1.0217


https://github.com/aws/aws-cloudtrail-processing-library/blob/master/README.rst

http://maven.apache.org/




3. Copie aws-cloudtrail-processing-library-1.2.0.jar criado para um diretório do seu projeto (normalmente,lib).

4. Clique com o botão direito do mouse no nome do projeto no Project Explorer (Explorador de projetos)do Eclipse, escolha Build Path (Caminho do build) e escolha Configure (Configurar)

5. Na janela Java Build Path (Caminho de build Java), escolha a guia Libraries (Bibliotecas).6. Escolha Add JARs... e acesse o caminho no qual você copiou o aws-cloudtrail-processing-

library-1.2.0.jar.7. Escolha OK para concluir a adição do .jar ao seu projeto.

Adicionar a biblioteca a um projeto IntelliJ

Para adicionar CloudTrail Processing Library a um projeto IntelliJ




3. Em File, escolha Project Structure.4. Escolha Modules (Módulos) e escolha Dependencies (Dependências).5. Escolha + JARS or Directories (+ JARS ou diretórios) e acesse o caminho em que você criou o aws-

cloudtrail-processing-library-1.2.0.jar.6. Escolha Apply (Aplicar) e escolha OK para concluir a adição do .jar ao seu projeto.

Configurar CloudTrail Processing LibraryVocê pode configurar CloudTrail Processing Library ao criar um arquivo de propriedades de caminho declasse que é carregado no tempo de execução ou ao criar um objeto ClientConfiguration e definir asopções manualmente.

Fornecer um arquivo de propriedadesVocê pode criar um arquivo de propriedades classpath que fornece opções de configuração ao seuaplicativo. O seguinte exemplo de arquivo mostra as opções que você pode definir:

# AWS access key. (Required)accessKey = your_access_key

# AWS secret key. (Required)secretKey = your_secret_key

# The SQS URL used to pull CloudTrail notification from. (Required)sqsUrl = your_sqs_queue_url

# The SQS end point specific to a region.sqsRegion = us-east-1

# A period of time during which Amazon SQS prevents other consuming components# from receiving and processing that message.visibilityTimeout = 60

# The S3 region to use.s3Region = us-east-1

Versão 1.0218




# Number of threads used to download S3 files in parallel. Callbacks can be# invoked from any thread.threadCount = 1

# The time allowed, in seconds, for threads to shut down after# AWSCloudTrailEventProcessingExecutor.stop() is called. If they are still# running beyond this time, they will be forcibly terminated.threadTerminationDelaySeconds = 60

# The maximum number of AWSCloudTrailClientEvents sent to a single invocation# of processEvents().maxEventsPerEmit = 10

# Whether to include raw event information in CloudTrailDeliveryInfo.enableRawEventInfo = false

# Whether to delete SQS message when the CloudTrail Processing Library is unable to process the notification.deleteMessageUponFailure = false

Os seguintes parâmetros são obrigatórios:

• sqsUrl – Fornece o URL para obter as suas notificações CloudTrail. Se você não especificar essevalor, o AWSCloudTrailProcessingExecutor lança uma IllegalStateException.

• accessKey – Um identificador exclusivo para a sua conta, como AKIAIOSFODNN7EXAMPLE.• secretKey – Um identificador exclusivo para a sua conta, como wJalrXUtnFEMI/K7MDENG/

bPxRfiCYEXAMPLEKEY.

Os parâmetros accessKey e secretKey fornecem as suas credenciais AWS para a biblioteca,permitindo que ela acesse AWS em seu nome.

O padrão para os outros parâmetros são definidos pela biblioteca. Para obter mais informações, consulte aReferência da biblioteca de processamento do AWS CloudTrail.

Criar uma ClientConfigurationEm vez de definir opções nas propriedades do classpath, você pode fornecer opções aoAWSCloudTrailProcessingExecutor inicializando e definindo opções em um objetoClientConfiguration, como mostra este exemplo:

ClientConfiguration basicConfig = new ClientConfiguration( "http://sqs.us-east-1.amazonaws.com/123456789012/queue2", new DefaultAWSCredentialsProviderChain());

basicConfig.setEnableRawEventInfo(true);basicConfig.setThreadCount(4);basicConfig.setnEventsPerEmit(20);

Implementar o processador de eventosPara processar logs CloudTrail, é necessário implementar um EventsProcessor que recebe os dadosde log CloudTrail. Este é um exemplo de nome de implementação:

public class SampleEventsProcessor implements EventsProcessor {

public void process(List<CloudTrailEvent> events) { int i = 0; for (CloudTrailEvent event : events) { System.out.println(String.format("Process event %d : %s", i++, event.getEventData()));

Versão 1.0219

https://docs.aws.amazon.com/awscloudtrail/latest/processinglib

AWS CloudTrail Guia do usuárioTópicos avançados

} }}

Ao implementar um EventsProcessor, você implementa o retorno de chamada process() queAWSCloudTrailProcessingExecutor usa para enviar eventos CloudTrail para você. Os eventos sãofornecidos em uma lista de objetos CloudTrailClientEvent.

O objeto CloudTrailClientEvent fornece CloudTrailEvent e CloudTrailEventMetadata quevocê pode usar para ler o evento CloudTrail e as informações de fornecimento.

Esse exemplo simples imprime as informações de cada evento transmitido aoSampleEventsProcessor. Em sua própria implementação, você pode processar logs de acordo coma sua necessidade. O AWSCloudTrailProcessingExecutor continua enviando eventos ao seuEventsProcessor, desde que tenha eventos para enviar e ainda esteja em execução.

Instalar e executar o executor de processamentoDepois de criar um EventsProcessor e definir os valores de configuração para CloudTrail ProcessingLibrary (em um arquivo de propriedades ou usando a classe ClientConfiguration), você poderá usaresses elementos para inicializar e usar AWSCloudTrailProcessingExecutor.

Para usar o AWSCloudTrailProcessingExecutor para processar eventos CloudTrail

1. Instanciar um objeto AWSCloudTrailProcessingExecutor.Builder. O construtor do Builderusa um objeto EventsProcessor e o nome de um arquivo de propriedades do caminho de classe.

2. Chame o método de fábrica build() do Builder para configurar e obter um objetoAWSCloudTrailProcessingExecutor.

3. Use os métodos do AWSCloudTrailProcessingExecutor start() e stop() para iniciar eencerrar o processamento de eventos CloudTrail.

public class SampleApp { public static void main(String[] args) throws InterruptedException { AWSCloudTrailProcessingExecutor executor = new AWSCloudTrailProcessingExecutor.Builder(new SampleEventsProcessor(), "/myproject/cloudtrailprocessing.properties").build();

executor.start(); Thread.sleep(24 * 60 * 60 * 1000); // let it run for a while (optional) executor.stop(); // optional }}

Tópicos avançadosTópicos

• Filtrar os eventos a serem processados (p. 220)• Informar o progresso (p. 222)• Tratamento de erros (p. 223)

Filtrar os eventos a serem processadosPor padrão, todos os logs no bucket do S3 da sua fila Amazon SQS e todos os eventos que eles contêmsão enviados para seu EventsProcessor. CloudTrail Processing Library fornece interfaces opcionais

Versão 1.0220


que você pode implementar para filtrar as origens usadas para obter os logs CloudTrail e para filtrar oseventos que você tem interesse em processar.

SourceFilter

Você pode implementar a interface SourceFilter para escolher se deseja processar os logsde uma origem fornecida. SourceFilter declara um único método de retorno de chamada,filterSource(), que recebe um objeto CloudTrailSource. Para impedir que os eventos de umaorigem sejam processados, retorne false de filterSource().

CloudTrail Processing Library chama o método filterSource() após a biblioteca consultar oslogs na fila Amazon SQS. Isso ocorre antes de a biblioteca começar a filtragem de eventos ou oprocessamento de logs.

Este é um exemplo de nome de implementação:

public class SampleSourceFilter implements SourceFilter{ private static final int MAX_RECEIVED_COUNT = 3;

private static List<String> accountIDs ; static { accountIDs = new ArrayList<>(); accountIDs.add("123456789012"); accountIDs.add("234567890123"); }

@Override public boolean filterSource(CloudTrailSource source) throws CallbackException { source = (SQSBasedSource) source; Map<String, String> sourceAttributes = source.getSourceAttributes();

String accountId = sourceAttributes.get( SourceAttributeKeys.ACCOUNT_ID.getAttributeKey());

String receivedCount = sourceAttributes.get( SourceAttributeKeys.APPROXIMATE_RECEIVE_COUNT.getAttributeKey());

int approximateReceivedCount = Integer.parseInt(receivedCount);

return approximateReceivedCount <= MAX_RECEIVED_COUNT && accountIDs.contains(accountId); }}

Se você não fornecer seu próprio SourceFilter, DefaultSourceFilter será usado, o quepermite que todas as origens sejam processadas (o valor retornado é sempre true).

EventFilter

Você pode implementar a interface EventFilter para escolher se um evento CloudTrail éenviado para o seu EventsProcessor. EventFilter declara um único método de retorno dechamadafilterEvent(), que recebe um objeto CloudTrailEvent. Para impedir que o eventoseja processado, retorne false de filterEvent().

A CloudTrail Processing Library chama o método filterEvent() após a biblioteca consultar os logsna fila Amazon SQS e após a filtragem. Isso ocorre antes de a biblioteca começar o processamento deeventos para os logs.

Veja este exemplo de implementação:

public class SampleEventFilter implements EventFilter{

Versão 1.0221


private static final String EC2_EVENTS = "ec2.amazonaws.com";

@Override public boolean filterEvent(CloudTrailClientEvent clientEvent) throws CallbackException { CloudTrailEvent event = clientEvent.getEvent();

String eventSource = event.getEventSource(); String eventName = event.getEventName();

return eventSource.equals(EC2_EVENTS) && eventName.startsWith("Delete"); }}

Se você não fornecer seu próprio EventFilter, DefaultEventFilter será usado, o que permiteque todos os eventos sejam processados (o valor retornado é sempre true).

Informar o progressoImplemente a interface ProgressReporter para personalizar os relatórios de progresso CloudTrailProcessing Library. ProgressReporter declara dois métodos: reportStart() e reportEnd(), quesão chamados no início e no fim das seguintes operações:

• Consultar mensagens de Amazon SQS• Analisar mensagens de Amazon SQS• Processar uma origem Amazon SQS para logs CloudTrail• Excluir mensagens de Amazon SQS• Fazer download de um arquivo de log CloudTrail• Processar um arquivo de log CloudTrail

Os dois métodos recebem um objeto ProgressStatus que contém informações sobre a operaçãoexecutada. O membro progressState contém um membro da enumeração ProgressState queidentifica a operação atual. Esse membro pode conter informações adicionais no membro progressInfo.Além disso, qualquer objeto que você retornar de reportStart() será transmitido para reportEnd(), afim de que você possa fornecer informações contextuais, como o horário em que o evento começou a serprocessado.

Veja a seguir um exemplo de implementação que fornece informações sobre quanto tempo uma operaçãolevou para ser concluída:

public class SampleProgressReporter implements ProgressReporter { private static final Log logger = LogFactory.getLog(DefaultProgressReporter.class);

@Override public Object reportStart(ProgressStatus status) { return new Date(); }

@Override public void reportEnd(ProgressStatus status, Object startDate) { System.out.println(status.getProgressState().toString() + " is " + status.getProgressInfo().isSuccess() + " , and latency is " + Math.abs(((Date) startDate).getTime()-new Date().getTime()) + " milliseconds."); }}

Versão 1.0222

AWS CloudTrail Guia do usuárioRecursos adicionais

Se você não implementar seu próprio ProgressReporter, DefaultExceptionHandler, que imprimeo nome do estado que está em execução, será usado.

Tratamento de errosA interface ExceptionHandler permite que você dê um tratamento especial quando ocorre uma exceçãodurante o processamento de log. ExceptionHandler declara um único método de retorno de chamada,handleException(), que recebe um objeto ProcessingLibraryException com contexto sobre aexceção que ocorreu.

Você pode usar o método de ProcessingLibraryException, getStatus(), transferido paradescobrir qual operação foi executada quando a exceção ocorreu e obter informações adicionais sobre ostatus da operação. ProcessingLibraryException deriva-se da classe padrão Exception de Java,portanto, você também pode recuperar informações sobre a exceção chamando qualquer um dos métodosde exceção.

Veja este exemplo de implementação:

public class SampleExceptionHandler implements ExceptionHandler{ private static final Log logger = LogFactory.getLog(DefaultProgressReporter.class);

@Override public void handleException(ProcessingLibraryException exception) { ProgressStatus status = exception.getStatus(); ProgressState state = status.getProgressState(); ProgressInfo info = status.getProgressInfo();

System.err.println(String.format( "Exception. Progress State: %s. Progress Information: %s.", state, info)); }}

Se você não fornecer seu próprio ExceptionHandler, DefaultExceptionHandler, que imprime umamensagem de erro padrão, será usado.

Note

Se o parâmetro deleteMessageUponFailure for true, CloudTrail Processing Library nãodistinguirá exceções gerais de erros de processamento, e poderá excluir as mensagens da fila.

1. Por exemplo, você usa o SourceFilter para filtrar mensagens por data e hora.2. No entanto, você não tem as permissões necessárias para acessar o bucket do S3 que

recebe os arquivos de log CloudTrail. Como você não tem as permissões necessárias, umaAmazonServiceException é lançada. CloudTrail Processing Library encapsula isso emCallBackException.

3. O DefaultExceptionHandler registra isso como um erro, mas não identifica a causa-raiz, que é o fato de você não ter as permissões necessárias. CloudTrail Processing Libraryconsidera isso um erro de processamento e exclui a mensagem, mesmo que ela inclua umarquivo de log CloudTrail válido.

Se você quiser filtrar mensagens com SourceFilter, verifique se o seu ExceptionHandlerpode diferenciar exceções de serviço de erros de processamento.

Recursos adicionaisPara obter mais informações sobre CloudTrail Processing Library, consulte o seguinte:

Versão 1.0223

AWS CloudTrail Guia do usuárioRecursos adicionais

• O projeto CloudTrail Processing Library do GitHub, que inclui o código de exemplo que demonstra comoimplementar um aplicativo da CloudTrail Processing Library.

• Documentação do pacote Java daCloudTrail Processing Library.

Versão 1.0224


https://github.com/aws/aws-cloudtrail-processing-library/tree/master/src/sample

https://docs.aws.amazon.com/awscloudtrail/latest/processinglib

AWS CloudTrail Guia do usuárioProteção de dados

Segurança no AWS CloudTrailA segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com asmaiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve isto como segurança da nuvem e segurança na nuvem:

• Segurança da nuvem – A AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança.Auditores terceirizados testam e verificam regularmente a eficácia da nossa segurança como parte dosprogramas de conformidade da AWS. Para saber mais sobre os programas de conformidade que seaplicam ao AWS CloudTrail, consulte Serviços da AWS no escopo pelo programa de conformidade.

• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos dasua empresa e as leis e regulamentos aplicáveis.

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhadaao usar o CloudTrail. Os tópicos a seguir mostram como configurar o CloudTrail para atender aos seusobjetivos de segurança e conformidade. Você também aprende como usar outros serviços da AWS queajudam a monitorar e proteger os recursos do CloudTrail.

Tópicos• Proteção de dados no AWS CloudTrail (p. 225)• Identity and Access Management para AWS CloudTrail (p. 226)• Validação de conformidade do AWS CloudTrail (p. 254)• Resiliência no AWS CloudTrail (p. 255)• Segurança da infraestrutura no AWS CloudTrail (p. 255)• Melhores práticas de segurança do AWS CloudTrail (p. 256)• Criptografar os arquivos de log do CloudTrail com chaves gerenciadas do AWS KMS (SSE-

KMS) (p. 259)

Proteção de dados no AWS CloudTrailO AWS CloudTrail está em conformidade com o modelo de responsabilidade compartilhada da AWS, queinclui regulamentos e diretrizes de proteção de dados. A AWS é responsável por proteger a infraestruturaglobal que executa todos os serviços da AWS. A AWS mantém controle dos dados hospedados nessainfraestrutura, incluindo os controles de configuração de segurança para lidar com o conteúdo e com osdados pessoais do cliente. Os clientes da AWS e os parceiros do APN, atuando como controladores ouprocessadores de dados, são responsáveis por todos os dados pessoais que colocam na Nuvem AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da sua conta da AWSe configure contas de usuário individuais com o AWS Identity and Access Management (IAM), de modoque cada usuário receba somente as permissões necessárias para cumprir suas funções. Recomendamostambém que você proteja seus dados das seguintes formas:

• Use uma autenticação multifator (MFA) com cada conta.

Versão 1.0225

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


AWS CloudTrail Guia do usuárioIdentity and Access Management

• Use SSL/TLS para se comunicar com os recursos da AWS.

• Crie uma trilha para registrar a API e a atividade do usuário com o AWS CloudTrail.• Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos

serviços da AWS.• Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e

proteger dados pessoais que são armazenados no Amazon S3.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, comonúmeros de conta dos seus clientes, em campos de formato livre, como um campo Name (Nome). Issoinclui quando você trabalhar com o CloudTrail ou outros serviços da AWS usando o console, a API, a AWSCLI ou os AWS SDKs. Todos os dados inseridos por você no CloudTrail ou em outros serviços podem serseparados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidor externo, não incluainformações de credenciais no URL para validar a solicitação a esse servidor.

Para obter mais informações sobre proteção de dados, consulte a publicação AWS Shared ResponsibilityModel and GDPR (Modelo de responsabilidade compartilhada da &AWS;) no Blog de segurança da AWS.

Por padrão, os arquivos de log de evento CloudTrail são criptografados com criptografia no lado doservidor (SSE) Amazon S3. Também é possível optar por criptografar seus arquivos de log com uma chaveAWS Key Management Service (AWS KMS). Você pode armazenar seus arquivos de log no seu bucketpelo tempo que quiser. Você também pode definir as regras de ciclo de vida Amazon S3 para arquivarou excluir os arquivos de log automaticamente. Se você deseja receber notificações sobre a entrega e avalidação dos arquivos de log, configure as notificações de Amazon SNS.

As melhores práticas de segurança a seguir também abordam a proteção de dados no CloudTrail:

• Criptografar os arquivos de log do CloudTrail com chaves gerenciadas do AWS KMS (SSE-KMS) (p. 259)

• Amazon S3 Política de bucket para o CloudTrail (p. 244)• Validar a integridade dos arquivos de log CloudTrail (p. 195)• Compartilhar arquivos de log CloudTrail entre contas da AWS (p. 186)

Como os arquivos de log do CloudTrail são armazenados em buckets no Amazon S3, você também deverevisar as informações na proteção de dados no Guia do desenvolvedor do Amazon Simple StorageService. Para obter mais informações, consulte Proteção de dados no Amazon S3.

Identity and Access Management para AWSCloudTrail

O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda um administrador acontrolar com segurança o acesso aos recursos da AWS. Os administradores do IAM controlam quempode ser autenticado (conectado) e autorizado (ter permissões) para usar os recursos do CloudTrail. OIAM é um serviço da AWS que pode ser usado sem custo adicional.

Tópicos• Público (p. 227)• Autenticação com identidades (p. 227)• Gerenciamento do acesso usando políticas (p. 229)• Como o AWS CloudTrail funciona com o IAM (p. 231)

Versão 1.0226

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://docs.aws.amazon.com/AmazonS3/latest/dev/DataDurability.html

AWS CloudTrail Guia do usuárioPúblico

• Exemplos de políticas baseadas em identidade do AWS CloudTrail (p. 234)• Amazon S3 Política de bucket para o CloudTrail (p. 244)• Política de tópicos do Amazon SNS para o CloudTrail (p. 248)• Solução de problemas de identidade e acesso do AWS CloudTrail (p. 251)• Usar funções vinculadas ao serviço do AWS CloudTrail (p. 252)

PúblicoO uso do AWS Identity and Access Management (IAM) varia, dependendo do trabalho que você realiza noCloudTrail.

Usuário do serviço – se você usar o CloudTrail para fazer sua tarefa, o administrador fornecerá ascredenciais e as permissões de que você precisa. À medida que usar mais recursos do CloudTrailpara fazer seu trabalho, você poderá precisar de permissões adicionais. Entender como o acesso égerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se não for possívelacessar um recurso no CloudTrail, consulte Solução de problemas de identidade e acesso do AWSCloudTrail (p. 251).

Administrador do serviço – se você for o responsável pelos recursos do CloudTrail em sua empresa, vocêprovavelmente terá acesso total ao CloudTrail. Seu trabalho é determinar quais recursos do CloudTrailseus funcionários devem acessar. Assim, é necessário enviar solicitações ao administrador do IAM paraalterar as permissões dos usuários de seu serviço. Revise as informações nesta página para entender osconceitos básicos do IAM. Para saber mais sobre como sua empresa pode usar o IAM com o CloudTrail,consulte Como o AWS CloudTrail funciona com o IAM (p. 231).

Administrador do IAM – se você é um administrador do IAM, talvez queira saber detalhes sobre como podeescrever políticas para gerenciar o acesso ao CloudTrail. Para visualizar exemplos de políticas baseadasem identidade do CloudTrail que podem ser usadas no IAM, consulte Exemplos de políticas baseadas emidentidade do AWS CloudTrail (p. 234).

Autenticação com identidadesA autenticação é a forma como você faz login na AWS usando suas credenciais de identidade. Para obtermais informações sobre como fazer login usando o Console de gerenciamento da AWS, consulte A páginade login e do console do IAM no Guia do usuário do IAM.

Você deve ser autenticado (fazer login na AWS) como o Usuário raiz da conta da AWS, um usuário doIAM, ou assumindo uma função do IAM. Também é possível usar a autenticação de logon único da suaempresa, ou até mesmo fazer login usando o Google ou o Facebook. Nesses casos, seu administradorconfigurou anteriormente a federação de identidades usando funções do IAM. Ao acessar a AWS usandocredenciais de outra empresa, você estará assumindo uma função indiretamente.

Para fazer login diretamente no Console de gerenciamento da AWS, use sua senha com o e-mail dousuário raiz ou seu nome de usuário do IAM. É possível acessar a AWS de maneira programática usandoseu usuário raiz ou as chaves de acesso do usuário do IAM. A AWS fornece ferramentas do SDK ou dalinha de comando para assinar sua solicitação de forma criptográfica usando suas credenciais. Se vocênão utilizar ferramentas da AWS, cadastre a solicitação você mesmo. Faça isso usando o Signature versão4, um protocolo para autenticação de solicitações de API de entrada. Para obter mais informações sobre aautenticação de solicitações, consulte Processo de cadastramento do Signature versão 4 na AWS GeneralReference.

Independentemente do método de autenticação usado, também pode ser exigido que você forneçainformações adicionais de segurança. Por exemplo, a AWS recomenda o uso da autenticação multifator(MFA) para aumentar a segurança de sua conta. Para saber mais, consulte Usar a autenticação multifator(MFA) na AWS no Guia do usuário do IAM.

Versão 1.0227

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


AWS CloudTrail Guia do usuárioAutenticação com identidades

Usuário raiz da conta da AWSAo criar uma conta da AWS, você começa com uma única identidade de login que tenha acesso total atodos os recursos e serviços da AWS na conta. Essa identidade é chamada de AWS da conta da usuárioraiz e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas.Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuáriodo IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenasalgumas tarefas de gerenciamento de contas e de serviços.

Grupos e usuários do IAMUm usuário do IAM é uma identidade em sua conta da AWS que tem permissões específicas para umaúnica pessoa ou um único aplicativo. Um usuário do IAM pode ter credenciais de longo prazo, como umnome de usuário e uma senha ou um conjunto de chaves de acesso. Para saber como gerar chaves deacesso, consulte Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM. Ao gerarchaves de acesso para um usuário do IAM, visualize e salve o par de chaves de maneira segura. Não serápossível recuperar a chave de acesso secreta futuramente. Em vez disso, você deverá gerar outro par dechaves de acesso.

Um grupo do IAM é uma identidade que especifica uma coleção de usuários do IAM. Não é possívelfazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários deuma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Porexemplo, você pode ter um grupo chamado Administradores do IAM e atribuir a esse grupo permissõespara administrar recursos do IAM.

Usuários são diferentes de funções. Um usuário é exclusivamente associado a uma pessoa ou a umaplicativo, mas uma função pode ser assumida por qualquer pessoa que precisar dela. Os usuários têmcredenciais permanentes de longo prazo, mas as funções fornecem credenciais temporárias. Para sabermais, consulte Quando criar um usuário do IAM (em vez de uma função) no Guia do usuário do IAM.

Funções do IAMUma função do IAM é uma identidade dentro de sua conta da AWS que tem permissões específicas.Ela é semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. É possívelassumir temporariamente uma função do IAM no Console de gerenciamento da AWS alternando funções.É possível assumir uma função chamando uma operação de API da AWS CLI ou da AWS, ou usando umURL personalizado. Para obter mais informações sobre os métodos para o uso de funções, consulte Usarfunções do IAM no Guia do usuário do IAM.

As funções do IAM com credenciais temporária são úteis nas seguintes situações:

• Permissões temporárias para usuários do IAM – um usuário do IAM pode assumir uma função do IAMpara obter temporariamente permissões diferentes para uma tarefa específica.

• Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidadesexistentes do AWS Directory Service, do diretório de usuário da sua empresa ou de um provedor deidentidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função a umusuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter maisinformações sobre usuários federados, consulte Usuários federados e funções no Guia do usuário doIAM.

• Acesso entre contas – é possível usar uma função do IAM para permitir que alguém (um principalconfiável) em outra conta acesse recursos em sua conta. As funções são a principal forma de concederacesso entre contas. No entanto, alguns serviços da AWS permitem que você anexe uma políticadiretamente a um recurso (em vez de usar uma função como proxy). Para saber a diferença entrefunções e políticas baseadas em recurso para acesso entre contas, consulte Como as funções do IAMdiferem das políticas baseadas em recurso no Guia do usuário do IAM.

Versão 1.0228

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html


AWS CloudTrail Guia do usuárioGerenciamento do acesso usando políticas

• Acesso a serviços da AWS – Uma função de serviço é uma função do IAM que um serviço assumepara realizar ações em seu nome na sua conta. Ao configurar alguns ambientes de serviço da AWS,você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todasas permissões necessárias para o serviço acessar os recursos da AWS de que precisa. As funções deserviço variam de acordo com o serviço, mas muitas permitem que você escolha as permissões, desdeque atenda aos requisitos documentados para esse serviço. As funções de serviço fornecem acessoapenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outrascontas. Você pode criar, modificar e excluir uma função de serviço no IAM. Por exemplo, você podecriar uma função que permita que Amazon Redshift acesse um bucket do Amazon S3 em seu nome ecarregue dados desse bucket em um cluster Amazon Redshift. Para obter mais informações, consulteCriar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

• Aplicativos em execução no Amazon EC2 –Você pode usar uma função do IAM para gerenciarcredenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e quefazem solicitações de API da AWS CLI ou AWS. É preferível fazer isso do que armazenar chaves deacesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para mais informações, consulte Uso de uma função do IAM paraconceder permissões aos aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuáriodo IAM.

Para saber se você deve usar funções do IAM, consulte Quando criar uma função do IAM (em vez de umusuário) no Guia do usuário do IAM.

Gerenciamento do acesso usando políticasVocê controla o acesso na AWS criando políticas e anexando-as às identidades do IAM ou aos recursosda AWS. Uma política é um objeto na AWS que, quando associado a uma identidade ou a um recurso,define suas permissões. A AWS avalia essas políticas quando uma entidade (usuário raiz, usuário doIAM ou função do IAM) faz uma solicitação. As permissões nas políticas determinam se a solicitação serápermitida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON. Paraobter mais informações sobre a estrutura e o conteúdo de documentos de políticas JSON, consulte Visãogeral de políticas JSON no Guia do usuário do IAM.

Um administrador do IAM pode usar políticas para especificar quem tem acesso aos recursos da AWS equais ações essas pessoas podem executar nesses recursos. Cada entidade do IAM (usuário ou função)começa sem permissões. Em outras palavras, por padrão, os usuários não podem fazer nada, nem mesmoalterar sua própria senha. Para dar permissão a um usuário para fazer algo, um administrador deve anexaruma política de permissões ao usuário. Ou o administrador pode adicionar o usuário a um grupo que tenhaas permissões pretendidas. Quando um administrador concede permissões a um grupo, todos os usuáriosdesse grupo recebem essas permissões.

As políticas do IAM definem permissões para uma ação, independentemente do método usadopara executar a operação. Por exemplo, suponha que você tenha uma política que permite a açãoiam:GetRole. Um usuário com essa política pode obter informações de funções do Console degerenciamento da AWS, da AWS CLI ou da API da AWS.

Políticas baseadas em identidadeAs políticas baseadas em identidade são documentos JSON de políticas de permissões que você podeanexar a uma entidade, como um usuário, função ou grupo do IAM. Essas políticas controlam quais açõescada identidade pode realizar, em quais recursos e em que condições. Para saber como criar uma políticabaseada em identidade, consulte Criar políticas do IAM no Guia do usuário do IAM.

As políticas baseadas em identidade podem ser categorizadas ainda mais como políticas em linha oupolíticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo ou

Versão 1.0229

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

AWS CloudTrail Guia do usuárioGerenciamento do acesso usando políticas

função. As políticas gerenciadas são políticas independentes que podem ser anexadas a vários usuários,grupos e funções em sua conta da AWS. As políticas gerenciadas incluem políticas gerenciadas pela AWSe políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou umapolítica em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário doIAM.

Políticas com base em recursoPolíticas baseadas em recursos são documentos de política JSON que você anexa a um recurso, comoum bucket do Amazon S3. Os administradores do serviço podem usar essas políticas para definir quaisações um principal especificado (função, usuário ou membro da conta) pode executar nesse recurso e sobquais condições. As políticas baseadas em recurso são políticas em linha. Não há políticas baseadas emrecurso gerenciadas.

Listas de controle de acesso (ACLs)As listas de controle de acesso (ACLs) são um tipo de política que controla quais principais (membros,usuários ou funções da conta) têm permissões para acessar um recurso. As ACLs são semelhantes àspolíticas baseadas em recurso, embora não usem o formato de documento de política JSON. O AmazonS3, o AWS WAF e a Amazon VPC são exemplos de serviços que oferecem suporte a ACLs. Para sabermais sobre as ACLs, consulte Visão geral da lista de controle de acesso (ACL) no Guia do desenvolvedordo Amazon Simple Storage Service.

Outros tipos de políticaA AWS oferece suporte a tipos de política menos comuns. Esses tipos de política podem definir o máximode permissões concedidas a você pelos tipos de política mais comuns.

• Limites de permissões – um limite de permissões é um recurso avançado no qual você define omáximo de permissões que uma política baseada em identidade pode conceder a uma entidade doIAM (usuário ou função do IAM). É possível definir um limite de permissões para uma entidade. Aspermissões resultantes são a interseção das políticas baseadas em identidade da entidade e seuslimites de permissões. As políticas baseadas em recurso que especificam o usuário ou a função nocampo Principal não são limitadas pelo limite de permissões. Uma negação explícita em qualqueruma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões,consulte Limites de permissões para entidades do IAM no Guia do usuário do IAM.

• Políticas de controle de serviço (SCPs – Service control policies) – SCPs são políticas JSON queespecificam o máximo de permissões para uma organização ou unidade organizacional (UO) noAWS Organizations. O AWS Organizations é um serviço para agrupamento e gerenciamento centraldas várias contas da AWS que sua empresa possui. Se você habilitar todos os recursos em umaorganização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas ascontas. O SCP limita as permissões para entidades em contas-membro, incluindo cada Usuário raizda conta da AWS. Para obter mais informações sobre Organizações e SCPs, consulte Como SCPsfuncionam no Guia do usuário do AWS Organizations.

• Políticas de sessão – as políticas de sessão são políticas avançadas que você transmite como umparâmetro quando cria de forma programática uma sessão temporária para uma função ou um usuáriofederado. As permissões da sessão resultante são a interseção das políticas baseadas em identidadedo usuário ou da função e das políticas de sessão. As permissões também podem ser provenientes deuma política baseada em recurso. Uma negação explícita em qualquer uma dessas políticas substitui apermissão. Para obter mais informações, consulte Políticas de sessão no Guia do usuário do IAM.

Vários tipos de políticaQuando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender aspermissões resultantes. Para saber como a AWS determina se deve permitir uma solicitação quando

Versão 1.0230

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

AWS CloudTrail Guia do usuárioComo o AWS CloudTrail funciona com o IAM

vários tipos de política estão envolvidos, consulte Lógica de avaliação de políticas no Guia do usuário doIAM.

Como o AWS CloudTrail funciona com o IAMAntes de usar o IAM para gerenciar o acesso ao CloudTrail, você deve entender quais recursos do IAMestão disponíveis para uso com o CloudTrail. Para obter uma visão de alto nível de como o CloudTrail eoutros serviços da AWS trabalham com o IAM, consulte AWS Serviços compatíveis com o IAM no Guia dousuário do IAM.

O CloudTrail trabalha com políticas baseadas em identidade do IAM, mas não funciona com as políticasbaseadas em recursos. Para obter mais informações sobre as diferenças entre as políticas baseadas emidentidade e as baseadas em recursos, consulte Políticas baseadas em identidade e em recursos no Guiado usuário do IAM.

Tópicos• Políticas baseadas em identidade do CloudTrail (p. 231)• Políticas baseadas em recursos do CloudTrail (p. 233)• Listas de controle de acesso (ACLs) (p. 233)• Autorização baseada em tags do CloudTrail (p. 233)• Funções do IAM do CloudTrail (p. 233)

Políticas baseadas em identidade do CloudTrailCom as políticas baseadas em identidade do IAM, é possível especificar as ações e os recursos quesão permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas.O CloudTrail oferece suporte a ações e recursos específicos. Não há chaves de condição específicasdo serviço do CloudTrail que podem ser usadas no elemento Condition das instruções da política.Para saber mais sobre todos os elementos que você usa em uma política JSON, consulte Referência deelementos de política JSON do IAM no Guia do usuário do IAM.

AçõesO elemento Action de uma política baseada em identidade do IAM descreve a ação ou ações específicasque serão permitidas ou negadas pela política. As ações de política geralmente têm o mesmo nome quea operação de API da AWS associada. A ação é usada em uma política para conceder permissões paraexecutar a operação associada.

As ações de políticas no CloudTrail usam o seguinte prefixo antes da ação: cloudtrail:. Por exemplo,para conceder a alguém permissão para listar tags de uma trilha com a operação da API ListTags,inclua a ação cloudtrail:ListTags na política da pessoa. As declarações de política devem incluir umelemento Action ou NotAction. O CloudTrail define seu próprio conjunto de ações que descrevem astarefas que podem ser executadas com esse serviço.

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme o seguinte:

"Action": [ "cloudtrail:AddTags", "cloudtrail:ListTags", "cloudtrail:RemoveTags

Você também pode especificar várias ações usando caracteres curinga (*). Por exemplo, para especificartodas as ações que começam com a palavra Get, inclua a seguinte ação.

"Action": "cloudtrail:Get*"

Versão 1.0231

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html


Para obter uma lista de ações do CloudTrail, consulte Actions Defined by AWS CloudTrail no Guia dousuário do IAM.

Recursos

O elemento Resource especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devemincluir um elemento Resource ou um elemento NotResource. Você especifica um recurso usando umARN ou usando o caractere curinga (*) para indicar que a instrução se aplica a todos os recursos.

No CloudTrail, o recurso principal é uma trilha. Cada recurso possui um nome de recurso da Amazon(ARN) exclusivo associado. Em uma política, você usa um ARN para identificar o recurso ao qual a políticase aplica. Atualmente, o CloudTrail não oferece suporte a outros tipos de recursos, que são chamados desub-recursos.

O recurso de trilha do CloudTrail tem o seguinte ARN:

arn:${Partition}:cloudtrail:${Region}:${Account}:trail/{TrailName}

Para obter mais informações sobre o formato de ARNs, consulte Nomes de recursos da Amazon (ARNs) enamespaces de serviços da AWS.

Por exemplo, para uma conta da AWS com o ID 123456789012, para especificar uma trilha My-Trailexistente na região Leste dos EUA (Ohio) em sua instrução, use o seguinte ARN:

"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-Trail"

Para especificar todas as trilhas que pertencem a uma conta específica nessa região da AWS, use ocaractere curinga (*):

"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/*"

Algumas ações do CloudTrail, como as ações para a criação de recursos, não podem ser executadas emum recurso específico. Nesses casos, você deve usar o caractere curinga (*).

"Resource": "*"

Muitas ações da API do CloudTrail envolvem vários recursos. Por exemplo, CreateTrail requerum bucket do Amazon S3 para armazenar os arquivos de log e, portanto, um usuário do IAM deve terpermissões para gravar no bucket. Para especificar vários recursos em uma única instrução, separe osARNs com vírgulas.

"Resource": [ "resource1", "resource2"

Para ver uma lista de tipos de recurso do CloudTrail e seus ARNs, consulte Resources Defined by AWSCloudTrail no Guia do usuário do IAM. Para saber com quais ações você pode especificar o ARN de cadarecurso, consulte Actions Defined by AWS CloudTrail.

Chaves de condição

O elemento Condition (ou bloco de Condition) permite que você especifique condições nas quaisuma instrução está em vigor. O elemento Condition é opcional. É possível criar expressões condicionais

Versão 1.0232

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions



https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-resources-for-iam-policies



que usam operadores de condição, como "igual a" ou "menor que", para fazer a condição da políticacorresponder aos valores na solicitação.

Se você especificar vários elementos Condition em uma instrução ou várias chaves em um únicoelemento Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar váriosvalores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica OR.Todas as condições devem ser atendidas para que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar as condições. Por exemplo, vocêpode conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcadocom seu nome de usuário do IAM. Para obter mais informações, consulte Elementos de política do IAM:variáveis e tags no Guia do usuário do IAM.

CloudTrail não define suas próprias chaves de condição, mas é compatível com o uso de algumas chavesde condição globais. Para consultar todas as chaves de condição global da AWS, consulte Chaves decontexto de condição global da AWS no Guia do usuário do IAM.

Para ver uma lista das chaves de condição compatíveis para o CloudTrail, consulte Condition Keys forAWS CloudTrail no Guia do usuário do IAM. Para saber com quais ações e recursos que você pode usaruma chave de condição, consulte Actions Defined by AWS CloudTrail.

Exemplos

Para visualizar exemplos de políticas baseadas em identidade do CloudTrail, consulte Exemplos depolíticas baseadas em identidade do AWS CloudTrail (p. 234).

Políticas baseadas em recursos do CloudTrailO CloudTrail não oferece suporte a políticas baseadas em recurso.

Listas de controle de acesso (ACLs)As listas de controle de acesso (ACLs) são listas de favorecidos que podem ser anexadas a recursos. Elasconcedem às contas permissões para acessar o recurso ao qual são anexadas. Embora o CloudTrail nãoofereça suporte a ACLs, o Amazon S3 faz isso. Por exemplo, você pode anexar as ACLs a um recursode bucket do Amazon S3 onde armazena os arquivos de log para uma ou mais trilhas. Para obter maisinformações sobre como anexar ACLs a buckets, consulte Gerenciar acesso com ACLs no Guia dodesenvolvedor do Amazon Simple Storage Service.

Autorização baseada em tags do CloudTrailEmbora você possa anexar tags a recursos do CloudTrail, o CloudTrail não oferece suporte para controlede acesso com base em tags.

Você pode anexar tags a recursos do CloudTrail ou passar tags em uma solicitação ao CloudTrail. Paraobter mais informações sobre a marcação de recursos do CloudTrail, consulte Criar uma trilha (p. 69) eCriar, atualizar e gerenciar trilhas com a AWS Command Line Interface (p. 76).

Funções do IAM do CloudTrailUma função do IAM é uma entidade dentro de sua conta da AWS que tem permissões específicas.

Usar credenciais temporárias com o CloudTrailVocê pode usar credenciais temporárias para fazer login com federação, assumir uma função do IAMou assumir uma função entre contas. As credenciais de segurança temporárias são obtidas chamandooperações da API do AWS STS, como AssumeRole ou GetFederationToken.

Versão 1.0233

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-policy-keys


https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html



https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

AWS CloudTrail Guia do usuárioExemplos de políticas baseadas em identidade

O CloudTrail oferece suporte ao uso de credenciais temporárias.

Funções vinculadas ao serviço

Funções vinculadas ao serviço permitem que os serviços da AWS acessem recursos em outros serviçospara concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua conta doIAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar aspermissões para funções vinculadas ao serviço.

CloudTrail oferece suporte a uma função vinculada ao serviço para integração com AWS Organizations.Essa função é necessária para a criação de uma trilha de organização, uma trilha que registra eventosde todas as contas da AWS em uma organização. Para obter detalhes sobre como criar ou gerenciarfunções vinculadas ao serviço do CloudTrail, consulte the section called “Usar funções vinculadas aserviço” (p. 252).

Funções de serviço

Esse recurso permite que um serviço assuma uma função de serviço em seu nome. A função permite queo serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviçoaparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador doIAM pode alterar as permissões para essa função. Porém, fazer isso pode alterar a funcionalidade doserviço.

O CloudTrail oferece suporte às funções de serviço.

Exemplos de políticas baseadas em identidade doAWS CloudTrailPor padrão, os usuários e funções do IAM não têm permissão para criar ou modificar recursos doCloudTrail. Eles também não podem executar tarefas usando o Console de gerenciamento da AWS, aAWS CLI ou uma API da AWS. Um administrador do IAM deve criar políticas do IAM que concedam aosusuários e funções permissão para executarem operações da API específicas nos recursos especificadosde que precisam. O administrador deve anexar essas políticas aos usuários, grupos ou funções do IAMque exigem essas permissões.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos dedocumentos de política JSON, consulte Criar políticas no guia JSON no Guia do usuário do IAM.

Tópicos• Melhores práticas de políticas (p. 234)• Exemplo: permitir e negar ações para uma trilha especificada (p. 235)• Exemplos: criação e aplicação de políticas para ações em trilhas específicas (p. 236)• Concessão de permissões para usar o console do CloudTrail (p. 238)• Permitir que os usuários visualizem suas próprias permissões (p. 239)• Conceder permissões personalizadas a usuários do CloudTrail (p. 240)

Melhores práticas de políticasAs políticas baseadas em identidade são muito eficientes. Elas determinam se alguém pode criar, acessarou excluir recursos do CloudTrail em sua conta. Essas ações podem incorrer em custos para sua conta daAWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

• Comece usando políticas gerenciadas pela AWS – para começar a usar o CloudTrail rapidamente, useas políticas gerenciadas pela AWS para conceder a seus funcionários as permissões de que precisam.

Versão 1.0234

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor


Essas políticas já estão disponíveis em sua conta e são mantidas e atualizadas pela AWS. Para obtermais informações, consulte Conceitos básicos do uso de permissões com políticas gerenciadas pelaAWS no Guia do usuário do IAM.

• Conceder privilégio mínimo – ao criar políticas personalizadas, conceda apenas as permissõesnecessárias para executar uma tarefa. Comece com um conjunto mínimo de permissões e concedapermissões adicionais conforme necessário. Fazer isso é mais seguro do que começar com permissõesque são muito lenientes e tentar restringi-las posteriormente. Para obter mais informações, consulteConceder privilégio mínimo, no Guia do usuário do IAM.

• Habilitar o MFA para operações confidenciais – para segurança adicional, exija que os usuários do IAMusem a autenticação multifator (MFA) para acessar recursos ou operações de API confidenciais. Paraobter mais informações, consulte Usar a autenticação multifator (MFA) na AWS no Guia do usuário doIAM.

• Usar condições de política para segurança adicional – na medida do possível, defina as condições sobas quais suas políticas baseadas em identidade permitem o acesso a um recurso. Por exemplo, vocêpode gravar condições para especificar um intervalo de endereços IP permitidos do qual a solicitaçãodeve partir. Você também pode escrever condições para permitir somente solicitações em uma dataespecificada ou período ou para exigir o uso de SSL ou MFA. Para obter mais informações, consulteElementos da política JSON do IAM: condição no Guia do usuário do IAM.

O CloudTrail não tem chaves de contexto específicas do serviço que podem ser usadas no elementoCondition das instruções de política.

Exemplo: permitir e negar ações para uma trilha especificadaO exemplo a seguir demonstra uma política que permite que os usuários com essa política visualizemo status e a configuração de uma trilha e iniciem e interrompam o registro de uma trilha chamada My-First-Trail. Essa trilha foi criada na região Leste dos EUA (Ohio) (a região inicial) na conta da AWScom o ID 123456789012.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ]}

O exemplo a seguir demonstra uma política que nega explicitamente as ações do CloudTrail para qualquertrilha diferente de My-First-Trail.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*"

Versão 1.0235

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ]}

Exemplos: criação e aplicação de políticas para ações em trilhasespecíficasVocê pode usar permissões e políticas para controlar a capacidade do usuário de realizar açõesespecíficas em trilhas do CloudTrail.

Por exemplo, você não deseja que os usuários do grupo de desenvolvedores da sua empresa iniciemou interrompam o registro em log em uma trilha específica, mas deseja conceder a eles permissão pararealizar as ações DescribeTrails e GetTrailStatus na trilha. Você deseja que os usuários do grupode desenvolvedores realizem as ações StartLogging ou StopLogging nas trilhas que gerenciam.

Você pode criar duas declarações de política e anexá-las ao grupo de desenvolvedores criado no IAM.Para obter mais informações sobre grupos no IAM, consulte Grupos do IAM no Guia do usuário do IAM.

Na primeira política, negue as ações StartLogging e StopLogging para o nome de região da Amazon(ARN) da trilha que você especificar. No exemplo a seguir, o Nome de região da Amazon (ARN) da trilha éarn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ]}

Na segunda política, as ações DescribeTrails e GetTrailStatus são permitidas em todos osrecursos do CloudTrail:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ]

Versão 1.0236

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html


} ]}

Se um usuário do grupo de desenvolvedores tentar iniciar ou interromper o registro na trilha que vocêespecificou na primeira política, ele receberá uma exceção de acesso negado. Os usuários do grupo dedesenvolvedores podem iniciar e interromper o registro nas trilhas que criam e gerenciam.

Os seguintes exemplos de CLI mostram que o grupo de desenvolvedores foi configurado em um perfilde AWS CLI chamado devgroup. Primeiro, um usuário de devgroup executa o comando describe-trails.

$ aws --profile devgroup cloudtrail describe-trails

O comando é concluído com êxito:

{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "myS3bucket ", "HomeRegion": "us-east-2" } ]}

O usuário executa o comando get-trail-status na trilha que você especificou na primeira política.

$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail

O comando é concluído com êxito:

{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z"}

Um usuário de devgroup executa o comando stop-logging na mesma trilha.

$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail

O comando retorna uma exceção de acesso negado:

A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown

Versão 1.0237


O usuário executa o comando start-logging na mesma trilha.

$ aws --profile devgroup cloudtrail start-logging --name Example-Trail

O comando retorna uma exceção de acesso negado:

A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown

Concessão de permissões para usar o console do CloudTrailConceder permissões para administração do CloudTrail

Para permitir que os usuários administrem uma trilha do CloudTrail, você precisa conceder permissõesexplícitas a usuários do IAM para realizar as ações associadas às tarefas do CloudTrail. Para a maioriados cenários, você pode fazer isso usando uma política gerenciada da AWS que contém permissõespredefinidas.

Note

As permissões concedidas aos usuários para realizar tarefas de administração do CloudTrailnão são iguais às permissões que o próprio CloudTrail requer para fornecer arquivos de logaos buckets do Amazon S3 ou enviar notificações aos tópicos do Amazon SNS. Para obtermais informações sobre essas permissões, consulte Amazon S3 Política de bucket para oCloudTrail (p. 244).Se você configurar a integração com o Amazon CloudWatch Logs, o CloudTrail tambémexigirá uma função que possa assumir para fornecer eventos a um grupo de logs do AmazonCloudWatch Logs. Isso exigirá permissões adicionais para criar a função, bem como a funçãoem si. Para obter mais informações, consulte Conceder permissão para visualizar e configurarinformações do Amazon CloudWatch Logs no console do CloudTrail (p. 243) e Enviar eventosao CloudWatch Logs (p. 131).

Uma abordagem típica é criar um grupo do IAM que tem as permissões apropriadas e adicionar usuáriosindividuais do IAM a esse grupo. Por exemplo, você pode criar um grupo do IAM para usuários que devemter acesso completo a ações do CloudTrail e um grupo separado para usuários que devem visualizarinformações das trilhas, mas não criá-las ou alterá-las.

Para criar um grupo do IAM e usuários para acessar o CloudTrail

1. Abra o console do IAM em https://console.aws.amazon.com/iam.2. No painel, escolha Groups (Grupos) no painel de navegação e escolha Create New Group (Criar novo

grupo).3. Digite um nome e escolha Next Step (Próxima etapa).4. Na página Attach Policy (Anexar política), encontre e selecione uma das seguintes políticas do

CloudTrail:

• AWSCloudTrailFullAccess. Esta política oferece aos usuários no grupo acesso total às ações doCloudTrail. Esses usuários têm permissões para gerenciar o bucket do Amazon S3, o grupo de logsdo CloudWatch Logs e um tópico do Amazon SNS de uma trilha.

Note

A política AWSCloudTrailFullAccess não é destinada a ser compartilhada globalmenteem sua conta da AWS. Os usuários com essa função têm a capacidade de desabilitar oureconfigurar as funções de auditoria mais confidenciais e importantes em suas contas da

Versão 1.0238

https://console.aws.amazon.com/iam


AWS. Por esse motivo, essa política deve ser aplicada somente aos administradores daconta e o uso dessa política deve ser cuidadosamente controlado e monitorado.

• AWSCloudTrailReadOnlyAccess. Esta política permite aos usuários no grupo visualizar o consoledo CloudTrail, incluindo eventos recentes e o histórico de eventos. Esses usuários também podemvisualizar as trilhas existentes e seus buckets. Os usuários podem fazer download de um arquivo dohistórico de eventos, mas não podem criar ou atualizar as trilhas.

Note

Você também pode criar uma política personalizada que concede permissões para açõesindividuais. Para obter mais informações, consulte Conceder permissões personalizadas ausuários do CloudTrail (p. 240).

5. Escolha Next Step (Próxima etapa).6. Revise as informações do grupo que você está prestes a criar.

Note

Você pode editar o nome do grupo, mas precisará escolher a política novamente.7. Escolha Create Group (Criar grupo). O grupo que você criou aparece na lista de grupos.8. Escolha o nome do grupo que você criou, escolha Group Actions (Ações de grupo) e escolha Add

Users to Group (Adicionar usuários ao grupo).9. Na página Add Users to Group (Adicionar usuários ao grupo), escolha os usuários do IAM existentes

e escolha Add Users (Adicionar usuários). Se você ainda não tem usuários do IAM, selecione CreateNew Users (Criar novos usuários), insira nomes de usuários e depois escolha Create (Criar).

10. Se você criou usuários, escolha Users no painel de navegação e siga as seguintes etapas para cadausuário:

a. Escolha o usuário.b. Se o usuário usará o console para gerenciar o CloudTrail, na guia Security Credentials

(Credenciais de segurança), escolha Manage Password (Gerenciar senha) e crie uma senha parao usuário.

c. Se o usuário usará a CLI ou a API para gerenciar o CloudTrail e se você ainda não criou chavesde ativação de acesso, na guia Security Credentials (Credenciais de segurança), escolha ManageAccess Keys (Gerenciar chaves de acesso) e crie chaves de acesso. Armazene as chaves em umlugar seguro.

d. Atribua a cada usuário suas credenciais (chaves de acesso ou senha).

Recursos adicionais

Para saber mais sobre como criar grupos, políticas, permissões e usuários do IAM, consulte Criação de umgrupo de administradores usando o console e Permissões e políticas em Guia do usuário do IAM.

Não é necessário conceder permissões mínimas do console para usuários que fazem chamadas somenteda AWS CLI ou da API da AWS. Em vez disso, permita o acesso somente às ações que correspondem àoperação da API que você está tentando executar.

Permitir que os usuários visualizem suas próprias permissõesEste exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizemas políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissõespara concluir essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS.

{ "Version": "2012-10-17",

Versão 1.0239

https://docs.aws.amazon.com/IAM/latest/UserGuide/GSGHowToCreateAdminsGroup.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html


"Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

Conceder permissões personalizadas a usuários do CloudTrailAs políticas do CloudTrail concedem permissões a usuários que trabalham com o CloudTrail. Se vocêprecisar conceder permissões diferentes aos usuários, anexe uma política do CloudTrail a um grupo doIAM ou a um usuário. Você pode editar a política para incluir ou excluir permissões específicas. Vocêtambém pode criar a sua própria política personalizada. As políticas são documentos JSON que definemas ações que um usuário tem permissão para realizar e os recursos nos quais ele tem permissão pararealizar essas ações. Para obter exemplos específicos, consulte Exemplo: permitir e negar ações parauma trilha especificada (p. 235) e Exemplos: criação e aplicação de políticas para ações em trilhasespecíficas (p. 236).

Sumário• Acesso somente leitura (p. 240)• Acesso total (p. 241)• Conceder permissão para visualizar informações do AWS Config no console do CloudTrail (p. 243)• Conceder permissão para visualizar e configurar informações do Amazon CloudWatch Logs no

console do CloudTrail (p. 243)• Informações adicionais (p. 244)

Acesso somente leitura

O exemplo a seguir mostra uma política que concede acesso somente leitura a trilhas do CloudTrail.Isso é equivalente à política gerenciada AWSCloudTrailReadOnlyAccess. Ela concede aos usuáriospermissão para ver informações das trilhas, mas não para criá-las ou atualizá-las. A política tambémconcede permissão para ler objetos em buckets do Amazon S3, mas não para criá-los ou excluí-los.

{

Versão 1.0240


"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents", "cloudtrail:ListPublicKeys", "cloudtrail:ListTags", "s3:ListAllMyBuckets", "kms:ListAliases", "lambda:ListFunctions" ], "Resource": "*" } ]}

Nas declarações da política, o elemento Effect especifica se as ações são permitidas ou negadas.O elemento Action lista as ações específicas que o usuário tem permissão para realizar. O elementoResource lista os recursos da AWS nos quais o usuário tem permissão para realizar essas ações. Parapolíticas que controlam o acesso às ações do CloudTrail, o elemento Resource é geralmente definidocomo *, um caractere curinga que significa "todos os recursos".

Os valores no elemento Action correspondem às APIs às quais os serviços oferecem suporte. As açõessão precedidas por cloudtrail: para indicar que se referem a ações do CloudTrail. Você pode usar ocaractere curinga * no elemento Action, como nos exemplos a seguir:

• "Action": ["cloudtrail:*Logging"]

Isso permite todas as ações do CloudTrail que terminam com "Registro em log" (StartLogging,StopLogging).

• "Action": ["cloudtrail:*"]

Isso permite todas as ações do CloudTrail, mas não as ações de outros serviços da AWS.• "Action": ["*"]

Isso permite todas as ações da AWS. Essa permissão é adequada a um usuário que atua como umadministrador da AWS na sua conta.

A política somente leitura não concede permissão de usuário às ações CreateTrail, UpdateTrail,StartLogging e StopLogging. Os usuários com essa política não têm permissão para criar e atualizartrilhas ou para ativar e desativar o registro. Para obter a lista completa de ações do CloudTrail, consulte oAWS CloudTrail API Reference.

Acesso total

O exemplo a seguir mostra uma política que concede acesso total ao CloudTrail. Isso é equivalente àpolítica gerenciada AWSCloudTrailFullAccess. Ela concede aos usuários a permissão para realizar todasas ações do CloudTrail. Ela também permite que os usuários registrem eventos de dados no Amazon S3

Versão 1.0241



e no AWS Lambda, gerenciem arquivos em buckets do Amazon S3, como o CloudWatch Logs monitoraeventos de log do CloudTrail e os tópicos do Amazon SNS na conta à qual o usuário está associado.

Important

A política AWSCloudTrailFullAccess ou permissões equivalentes não devem ser compartilhadosglobalmente em sua conta da AWS. Os usuários com essa função ou acesso equivalentetêm a capacidade de desabilitar ou reconfigurar as funções de auditoria mais confidenciais eimportantes em suas contas da AWS. Por esse motivo, essa política deve ser aplicada somenteaos administradores da conta e o uso dessa política deve ser cuidadosamente controlado emonitorado.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:ListTopics", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:ListAllMyBuckets", "s3:PutBucketPolicy", "s3:ListBucket", "s3:GetObject", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [

Versão 1.0242


"iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" } ]}

Conceder permissão para visualizar informações do AWS Config no console doCloudTrailVocê pode visualizar informações do evento no console do CloudTrail, incluindo os recursos relacionadosa ele. Para esses recursos, você pode escolher o ícone do AWS Config para visualizar o cronograma delesno console do AWS Config. Anexe essa política aos seus usuários para conceder a eles acesso AWSConfig somente leitura. A política não concede a eles permissão para alterar as configurações em AWSConfig.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }]}

Para obter mais informações, consulte Visualizar recursos referenciados com AWS Config (p. 48).

Conceder permissão para visualizar e configurar informações do AmazonCloudWatch Logs no console do CloudTrailVocê pode visualizar e configurar a entrega de eventos para o CloudWatch Logs no console do CloudTrailse tiver permissões suficientes. Essas são as permissões que podem ser além das concedidas paraadministradores do CloudTrail. Anexe essa política a administradores que vão configurar e gerenciar aintegração do CloudTrail com CloudWatch Logs. A política não concede permissões a eles no CloudTrailou no CloudWatch Logs diretamente, mas, em vez disso, concede as permissões necessárias para criar econfigurar a função que o CloudTrail irá assumir para fornecer eventos com êxito ao grupo do CloudWatchLogs.

Versão 1.0243

AWS CloudTrail Guia do usuárioAmazon S3 Política de bucket para o CloudTrail

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole" "iam:PutRolePolicy" "iam:ListRoles" "iam:GetRolePolicy" "iam:GetUser" ], "Resource": "*" }]}

Para mais informações, consulte Monitorar arquivos de log CloudTrail com Amazon CloudWatchLogs (p. 131).

Informações adicionais

Para saber mais sobre a criação de usuários, grupos, políticas e permissões do IAM, consulte Criação doprimeiro usuário do IAM e do grupo de administradores e Gerenciamento de acesso em Guia do usuário doIAM.

Amazon S3 Política de bucket para o CloudTrailPor padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a contada AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recursopode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.

Se você deseja criar ou modificar um bucket do Amazon S3 para receber os arquivos de log para umatrilha de organização, modifique a política do bucket. Para mais informações, consulte Criar uma trilha parauma organização com o AWS Command Line Interface (p. 99).

Para fornecer arquivos de log a um bucket do S3, o CloudTrail deve ter as permissões necessárias,e não pode ser configurado como um bucket de Pagamentos pelo solicitante. O CloudTrail anexaautomaticamente as permissões necessárias a um bucket quando você cria um bucket do Amazon S3como parte da criação ou da atualização de uma trilha no console do CloudTrail.

O CloudTrail adiciona os seguintes campos à política para você:

• Os SIDs permitidos.• O nome do bucket.• O nome principal do serviço do CloudTrail.• O nome da pasta em que os arquivos de log são armazenados, incluindo o nome do bucket, um prefixo

(se você o especificou) e o ID da sua conta da AWS.

A política a seguir permite que o CloudTrail grave arquivos de log no bucket das regiões com suporte. Paraobter mais informações, consulte CloudTrail Regiões compatíveis (p. 12).

Política de bucket do S3

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319",

Versão 1.0244



https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/RequesterPaysBuckets.html


"Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/AWSLogs/myAccountID/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} } ]}

Sumário• Especificar um bucket existente para entrega de logs do CloudTrail (p. 245)• Receber arquivos de log de outras contas (p. 246)• Criar ou atualizar um bucket do Amazon S3 a ser usado para armazenar os arquivos de log de uma

trilha da organização (p. 246)• Solução de problemas da política de bucket do S3 (p. 247)

• Erros comuns de configuração da política do S3 (p. 247)• Alterar um prefixo de um bucket existente (p. 247)

• Recursos adicionais (p. 248)

Especificar um bucket existente para entrega de logs doCloudTrailSe você tiver especificado um bucket do S3 existente como o local de armazenamento da entregade arquivos de log, será necessário anexar uma política ao bucket que permite que o CloudTrail façagravações no bucket.

Note

Como melhor prática, use um bucket do S3 dedicado para os logs do CloudTrail.

Para adicionar a política obrigatória do CloudTrail a um bucket do Amazon S3

1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.2. Escolha o bucket no qual você deseja que o CloudTrail entregue seus arquivos de log e escolha

Properties (Propriedades).3. Escolha Permissions (Permissões).4. Escolha Edit Bucket Policy (Editar política de bucket).5. Copie a Política de bucket do S3 (p. 244) na janela Bucket Policy Editor. Substitua os marcadores

em itálico pelos nomes de seu bucket, prefixo e número da conta. Se você tiver especificado umprefixo quando você criou sua trilha, inclua-o aqui. O prefixo é uma opção adicional para a chave doobjeto do S3 que cria uma organização em formato de pasta no seu bucket.

Note

Se o bucket existente já tem uma ou mais políticas anexadas, adicione as declarações deacesso do CloudTrail a essa política ou a essas políticas. Avalie o conjunto resultante depermissões para ter certeza de que elas são apropriadas para os usuários que acessarão obucket.

Versão 1.0245



Receber arquivos de log de outras contasVocê pode configurar o CloudTrail para fornecer arquivos de log de várias contas da AWS a um únicobucket do S3. Para obter mais informações, consulte Recebimento de arquivos de log do CloudTrail devárias contas (p. 183).

Criar ou atualizar um bucket do Amazon S3 a ser usado paraarmazenar os arquivos de log de uma trilha da organizaçãoVocê deve especificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha deorganização. Esse bucket deve ter uma política que permite que o CloudTrail coloque os arquivos de logda organização no bucket.

Veja a seguir um exemplo de política para um bucket do Amazon S3 chamado my-organization-bucket. Esse bucket está em uma conta da AWS com o ID 111111111111, que é a conta mestrapara uma organização com o ID o-exampleorgid que permite o registro em log para uma trilha deorganização. Ela também permite o registro da conta 111111111111 caso a trilha seja alterada de umatrilha da organização para uma trilha somente dessa conta.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": {

Versão 1.0246


"s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Essa política de exemplo não permite que usuários de contas-membro acessem os arquivos de log criadospara a organização. Por padrão, os arquivos de log da organização poderão ser acessados somente pelaconta mestra. Para obter informações sobre como conceder acesso de leitura ao bucket do Amazon S3para usuários do IAM nas contas-membro, consulte Compartilhar arquivos de log CloudTrail entre contasda AWS (p. 186).

Solução de problemas da política de bucket do S3As seções a seguir descrevem como solucionar problemas da política de bucket do S3.

Erros comuns de configuração da política do S3Quando você cria um novo bucket como parte da criação ou da atualização de uma trilha, o CloudTrailanexa as permissões necessárias ao seu bucket. A política de bucket usa o nome principal do serviço,"cloudtrail.amazonaws.com", que permite que o CloudTrail forneça logs de todas as regiões.

Se o CloudTrail não estiver fornecendo logs para uma região, é possível que seu bucket tenha umapolítica mais antiga que especifica IDs de contas do CloudTrail para cada região. Essa política oferece aoCloudTrail permissão para fornecer logs somente para as regiões especificadas.

Como melhor prática, atualize a política para usar uma permissão com o principal do serviço do CloudTrail.Para fazer isso, substitua os Nomes de região da Amazon (ARN) do ID da conta pelo nome principal doserviço: "cloudtrail.amazonaws.com". Isso permite que o CloudTrail forneça os logs das regiõesatuais e novas. Veja a seguir um exemplo de uma configuração de política recomendada:

Example Exemplo de política de bucket com o nome principal do serviço

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-1" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-1/my-prefix/AWSLogs/123456789012/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} } ]}

Alterar um prefixo de um bucket existenteSe você tentar adicionar, modificar ou remover o prefixo de um arquivo de log para um bucket do S3 querecebe logs de uma trilha, poderá ver o erro: There is a problem with the bucket policy. Uma política debucket com um prefixo incorreto pode impedir que sua trilha forneça logs ao bucket. Para resolver esse

Versão 1.0247

AWS CloudTrail Guia do usuárioPolítica de tópicos do Amazon SNS para o CloudTrail

problema, use o console do Amazon S3 e atualize o prefixo na política de bucket e use o console doCloudTrail e especifique o mesmo prefixo para o bucket na trilha.

Para atualizar o prefixo do arquivo de log de um bucket do S3

1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.2. Escolha o bucket para o qual você deseja modificar o prefixo e escolha Properties (Propriedades).3. Escolha Permissions (Permissões).4. Escolha Edit Bucket Policy (Editar política de bucket).5. Na política de bucket, na ação s3:PutObject, edite a entrada Resource para adicionar, modificar

ou remover o prefixo do arquivo de log conforme necessário.

"Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*",

6. Escolha Save (Salvar).7. Abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.8. Escolha a trilha e, em Storage location, clique no ícone de lápis para editar as configurações do seu

bucket.9. Em S3 bucket, escolha o bucket com o prefixo que você está alterando.10. Em Log file prefix, atualize o prefixo de acordo com o prefixo informado na política do bucket.11. Escolha Save (Salvar).

Recursos adicionaisPara obter mais informações sobre as políticas e buckets do S3, consulte o Guia do desenvolvedor doAmazon Simple Storage Service.

Política de tópicos do Amazon SNS para o CloudTrailPara enviar notificações para um tópico do SNS, o CloudTrail deve ter as permissões necessárias. OCloudTrail anexa automaticamente as permissões necessárias ao tópico quando você cria um tópico doAmazon SNS como parte da criação ou da atualização de uma trilha no console do CloudTrail.

O CloudTrail adiciona a seguinte instrução à política para você com os seguintes campos:

• Os SIDs permitidos.• O nome principal do serviço do CloudTrail.• O tópico do SNS, incluindo a região, o ID da conta e o nome do tópico.

A política a seguir permite que o CloudTrail envie notificações sobre a entrega de arquivos de log deregiões com suporte. Para obter mais informações, consulte CloudTrail Regiões compatíveis (p. 12).

Política de tópico do SNS Política de tópico do SNS

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" },

Versão 1.0248



https://docs.aws.amazon.com/AmazonS3/latest/dev/

https://docs.aws.amazon.com/AmazonS3/latest/dev/


"Action": "SNS:Publish", "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName" } ]}

Se você quiser usar um tópico do Amazon SNS criptografado pelo AWS KMS para enviar notificações,também deverá habilitar a compatibilidade entre a fonte do evento (CloudTrail) e o tópico criptografado,adicionando a seguinte instrução à política da chave mestra do cliente (CMK).

Política do CMK

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" } ]}

Para obter mais informações, consulte Habilitar a compatibilidade entre as fontes de eventos de tópicoscriptografados e serviços da AWS.

Sumário• Especificar um tópico existente para o envio de notificações (p. 249)• Solução de problemas de política de tópicos do SNS (p. 250)

• Erros comuns de configuração da política do SNS (p. 250)• Recursos adicionais (p. 251)

Especificar um tópico existente para o envio de notificaçõesVocê pode adicionar manualmente as permissões para um tópico do Amazon SNS à política do tópico noconsole do Amazon SNS e especificar o tópico no console do CloudTrail.

Para atualizar manualmente uma política de tópicos do SNS

1. Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.2. Escolha Topics (Tópicos) e escolha o tópico.3. Escolha Other topic actions (Outras ações de tópico) e escolha Edit topic policy (Editar política de

tópico).4. Escolha Advanced view e adicione a instrução de (p. 248) com os valores apropriados para a

região, o ID da conta e o nome do tópico.5. Escolha Update policy (Atualizar política).6. Se o seu tópico é um tópico criptografado, é necessário permitir que o CloudTrail tenha permissões

kms:GenerateDataKey* e kms:Decrypt. Para obter mais informações, consulte Política de CMKtópico do SNS criptografado (p. 249).

Versão 1.0249

https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse

https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse

https://console.aws.amazon.com/sns/v3/home


7. Volte ao console do CloudTrail e especifique o tópico para a trilha.

Solução de problemas de política de tópicos do SNSAs seções a seguir descrevem como solucionar problemas da política de tópicos do SNS.

Erros comuns de configuração da política do SNS

Quando você cria um novo tópico como parte da criação ou da atualização de uma trilha, o CloudTrailanexa as permissões necessárias ao seu tópico. A política de tópicos usa o nome principal do serviço,"cloudtrail.amazonaws.com", que permite que o CloudTrail envie notificações a todas as regiões.

Se o CloudTrail não estiver enviando notificações a uma região, é possível que seu tópico tenha umapolítica mais antiga que especifica IDs de contas do CloudTrail para cada região. Essa política oferece aoCloudTrail permissão para enviar notificações somente para as regiões especificadas.

A política de tópicos a seguir permite que o CloudTrail envie notificações somente para as nove regiõesespecificadas:

Example política de tópicos com IDs de contas

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::903692715234:root", "arn:aws:iam::035351147821:root", "arn:aws:iam::859597730677:root", "arn:aws:iam::814480443879:root", "arn:aws:iam::216624486486:root", "arn:aws:iam::086441151436:root", "arn:aws:iam::388731089494:root", "arn:aws:iam::284668455005:root", "arn:aws:iam::113285607260:root" ]}, "Action": "SNS:Publish", "Resource": "aws:arn:sns:us-east-1:123456789012:myTopic" }]}

Essa política usa uma permissão com base em IDs de contas individuais do CloudTrail. Para fornecer logsde uma nova região, você precisa atualizar manualmente a política para incluir o ID da conta do CloudTrailpara essa região. Por exemplo, como o CloudTrail adicionou suporte para o Região do Leste dos EUA(Ohio), você deve atualizar a política para adicionar o Nome de região da Amazon (ARN) do ID da contadessa região: "arn:aws:iam::475085895292:root".

Como melhor prática, atualize a política para usar uma permissão com o principal do serviço do CloudTrail.Para fazer isso, substitua os Nomes de região da Amazon (ARN) do ID da conta pelo nome principal doserviço: "cloudtrail.amazonaws.com".

Desse modo, o CloudTrail tem permissão para enviar notificações a regiões atuais e novas. Veja a seguiruma versão atualizada da política anterior:

Example política de tópicos com o nome principal do serviço

{

Versão 1.0250

AWS CloudTrail Guia do usuárioSolução de problemas

"Version": "2012-10-17", "Statement": [{ "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": {Service": "cloudtrail.amazonaws.com"}, "Action": "SNS:Publish", "Resource": arn:aws:sns:us-west-2:123456789012:myTopic" }]}

Verifique se a política tem os valores corretos:

• No campo Resource, especifique o número da conta do proprietário do tópico. Para os tópicos quevocê criar, especifique o número da sua conta.

• Especifique os valores apropriados para a região e o nome do tópico do SNS.

Recursos adicionaisPara obter mais informações sobre tópicos do SNS e como se como assiná-los, consulte Guia dodesenvolvedor do Amazon Simple Notification Service.

Solução de problemas de identidade e acesso doAWS CloudTrailUse as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem serencontrados ao trabalhar com o CloudTrail e o IAM.

Tópicos• Não tenho autorização para executar uma ação no CloudTrail (p. 251)• Sou administrador e desejo conceder acesso ao CloudTrail para outros usuários. (p. 252)• Quero permitir que as pessoas fora da minha conta da AWS acessem meus recursos do

CloudTrail (p. 252)

Não tenho autorização para executar uma ação no CloudTrailSe o Console de gerenciamento da AWS informar que você não está autorizado a executar uma ação,você deverá entrar em contato com o administrador para obter assistência. O administrador é a pessoaque forneceu a você o seu nome de usuário e senha.

O exemplo de erro a seguir ocorre quando o usuário do IAM mateojackson tenta usar o consolepara visualizar detalhes sobre uma trilha, mas não tem a política gerenciada do CloudTrail apropriada(AWSCloudTrailFullAccess ou AWSCloudTrailReadOnlyAccess) ou as permissões equivalentes aplicadasà sua conta.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail

Nesse caso, Mateo pede ao administrador para atualizar suas políticas para permitir que ele acesse asinformações das trilhas e o status no console.

Se você estiver conectado com um usuário ou uma função do IAM que tem a política gerenciadaAWSCloudTrailFullAccess ou permissões equivalentes e não puder configurar a integração do AWSConfig ou Amazon CloudWatch Logs com uma trilha, talvez não tenha as permissões necessárias para

Versão 1.0251



AWS CloudTrail Guia do usuárioUsar funções vinculadas a serviço

integração com esses serviços. Para obter mais informações, consulte Conceder permissão para visualizarinformações do AWS Config no console do CloudTrail (p. 243) e Conceder permissão para visualizar econfigurar informações do Amazon CloudWatch Logs no console do CloudTrail (p. 243).

Sou administrador e desejo conceder acesso ao CloudTrail paraoutros usuários.Para permitir que outros usuários acessem o CloudTrail, é necessário criar uma entidade do IAM (usuário,grupo ou função) para a pessoa ou o aplicativo que precisa do acesso. Eles usarão as credenciaisdessa entidade para acessar a AWS. Você deve anexar uma política à entidade que concede a elesas permissões corretas no CloudTrail. Para obter exemplos de como fazer isso, consulte Concederpermissões personalizadas a usuários do CloudTrail (p. 240) e Conceder permissões para administraçãodo CloudTrail (p. 238).

Quero permitir que as pessoas fora da minha conta da AWSacessem meus recursos do CloudTrailVocê pode criar uma função e compartilhar informações do CloudTrail entre várias contas do AWS. Paraobter mais informações, consulte Compartilhar arquivos de log CloudTrail entre contas da AWS (p. 186).

Você pode criar uma função que os usuários de outras contas ou pessoas fora da sua organização podemusar para acessar seus recursos. Você pode especificar quem é confiável para assumir a função. Paraserviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs),você pode usar essas políticas para conceder às pessoas acesso a seus recursos.

Para saber mais, consulte o seguinte:

• Para saber se o CloudTrail oferece suporte a esses recursos, consulte Como o AWS CloudTrail funcionacom o IAM (p. 231).

• Para saber como conceder acesso aos seus recursos em todas as contas da AWS pertencentes a você,consulte Conceder acesso a um usuário do IAM em outra conta da AWS pertencente a você no Guia dousuário do IAM.

• Para saber como conceder acesso aos seus recursos para contas da AWS de terceiros, consulteConceder acesso a contas da AWS pertencentes a terceiros no Guia do usuário do IAM.

• Para saber como fornecer acesso por meio de federação de identidades, consulte Fornecer acesso ausuários autenticados externamente (federação de identidades) no Guia do usuário do IAM.

• Para saber a diferença entre usar funções e políticas baseadas em recurso para acesso entre contas,consulte Como as funções do IAM diferem de políticas baseadas em recursos no Guia do usuário doIAM.

Usar funções vinculadas ao serviço do AWSCloudTrailO AWS CloudTrail usa funções do AWS Identity and Access Management (IAM) vinculadas ao serviço. Afunção vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao CloudTrail.As funções vinculadas a serviços são predefinidas pelo CloudTrail e incluem todas as permissões que oserviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do CloudTrail porque você não precisa adicionaras permissões necessárias manualmente. CloudTrail define as permissões de suas funções vinculadasao serviço e, a menos que definido em contrário, somente CloudTrail pode assumir suas funções. Aspermissões definidas incluem a política de confiança e a política de permissões, e essa política não podeser anexada a nenhuma outra entidade do IAM.

Versão 1.0252

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

AWS CloudTrail Guia do usuárioUsar funções vinculadas a serviço

Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas a serviço,consulte Serviços da AWS compatíveis com o IAM e procure os serviços que apresentam Sim na colunaFunção vinculada a serviços. Escolha um Sim com um link para exibir a documentação da funçãovinculada a serviço desse serviço.

Permissões da função vinculada ao serviço do CloudTrailO CloudTrail usa a função vinculada ao serviço chamada AWSServiceRoleForCloudTrail – This servicelinked role is used for supporting the organization trail feature.

A função vinculada ao serviço AWSServiceRoleForCloudTrail confia nos seguintes serviços para assumir afunção:

• cloudtrail.amazonaws.com

Essa função é usada para oferecer suporte a criação e gerenciamento de trilhas de organização noCloudTrail. Para mais informações, consulte Criar uma trilha para uma organização (p. 90).

A política de permissões da função permite que o CloudTrail conclua as seguintes ações nos recursosespecificados:

• Ação: All em todos os recursos da CloudTrail.• Ação: organizations:DescribeAccount em todos os recursos da Organizações.• Ação: organizations:DescribeOrganizations em todos os recursos da Organizações.• Ação: organizations:ListAccounts em todos os recursos da Organizações.• Ação: organizations:ListAWSServiceAccessForOrganization em todos os recursos da

Organizações.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo oufunção) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consultePermissões da função vinculada ao serviço no Guia do usuário do IAM.

Criação de uma função vinculada a um serviço do CloudTrailVocê não precisa criar manualmente uma função vinculada a serviço. Quando você cria uma trilha deorganização no Console de gerenciamento da AWS, na AWS CLI ou na API da AWS, o CloudTrail cria afunção vinculada ao serviço para você.

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmoprocesso para recriar a função em sua conta. Quando você cria uma trilha de organização, o CloudTrailcria a função vinculada ao serviço para você novamente.

Edição de uma função vinculada ao serviço do CloudTrailO CloudTrail não permite editar a função vinculada ao serviço AWSServiceRoleForCloudTrail. Depois quecriar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidadespodem fazer referência a ela. No entanto, você poderá editar a descrição da função usando o IAM. Paraobter mais informações, consulte Edição de uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço do CloudTrailVocê não precisa excluir manualmente a função AWSServiceRoleForCloudTrail. Quando você alterauma trilha de uma trilha de organização para uma trilha para uma única conta da AWS no Console degerenciamento da AWS, na AWS CLI ou na API da AWS, o CloudTrail limpa os recursos e exclui a função

Versão 1.0253

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

AWS CloudTrail Guia do usuárioValidação de conformidade

vinculada ao serviço para você. Da mesma forma, se uma conta da AWS for removida de uma organizaçãodo Organizações, a função AWSServiceRoleForCloudTrailserá removida automaticamente dessa conta daAWS.

Também é possível usar o console do IAM, a AWS CLI ou a API da AWS para excluir manualmente afunção vinculada a serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua funçãovinculada a serviço e depois excluí-la manualmente.

Note

Se o serviço CloudTrail estiver usando a função quando você tenta excluir os recursos, a exclusãopoderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para remover um recurso usado pela função AWSServiceRoleForCloudTrail, você pode executar uma dasseguintes ações:

• Remova a conta da AWS da organização no Organizações.• Atualize a trilha para que não seja mais uma trilha de organização.• Exclua a trilha.

Para obter mais informações, consulte Criar uma trilha para uma organização (p. 90), Atualizar umatrilha (p. 74) e Excluir uma trilha (p. 75).

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviçoAWSServiceRoleForCloudTrail. Para obter mais informações, consulte Exclusão de uma função vinculadaao serviço no Guia do usuário do IAM.

Regiões com suporte para funções vinculadas ao serviçoCloudTrailO CloudTrail oferece suporte a funções vinculadas a serviços em todas as regiões em que o CloudTrail e oOrganizações estão disponíveis. Para mais informações, consulte AWS Regions and Endpoints.

Validação de conformidade do AWS CloudTrailAuditores de terceiros avaliam a segurança e a conformidade do AWS CloudTrail como parte de váriosprogramas de conformidade da AWS. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.

Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulteServiços da AWS no escopo pelo programa de conformidade. Para obter informações gerais, consulteProgramas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter maisinformações, consulte Download de relatórios no AWS Artifact.

Sua responsabilidade de conformidade ao usar o CloudTrail é determinada pela confidencialidade dosseus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. AAWS fornece os seguintes recursos para ajudar com a conformidade:

• Guias Quick Start de segurança e conformidade – esses guias de implantação abordam asconsiderações de arquitetura e fornecem etapas para implantação de ambientes de linha de basefocados em conformidade e segurança na AWS.

Versão 1.0254

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role


http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

AWS CloudTrail Guia do usuárioResiliência

• Whitepaper Arquitetura para segurança e conformidade com HIPAA – esse whitepaper descreve comoas empresas podem usar a AWS para criar aplicativos em conformidade com a HIPAA.

• Recursos de conformidade da AWS – esta coleção de manuais e guias pode ser aplicada ao seu setor eao seu local.

• AWS Config – esse serviço da AWS avalia até que ponto suas configurações de recursos estão emconformidade com práticas internas e diretrizes e regulamentações do setor.

• AWS Security Hub – esse serviço da AWS fornece uma visão abrangente do estado da segurança naAWS que ajuda você a verificar sua conformidade com padrões e melhores práticas de segurança dosetor.

• O inventário do Amazon S3 pode ajudar você a auditar e gerar relatórios sobre o status da replicaçãoe criptografia de buckets do Amazon S3 usados para armazenar arquivos de log e seus objetos paranecessidades de negócios, conformidade e regulamentares.

Resiliência no AWS CloudTrailA infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. Asregiões da AWS fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que sãoconectadas com baixa latência, altas taxas de transferência e redes altamente redundantes. Com as zonasde disponibilidade, você pode projetar e operar aplicativos e bancos de dados que executam o failoverautomaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são maisaltamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data centertradicionais. Se você precisa especificamente replicar seus arquivos de log do CloudTrail em grandesdistâncias geográficas, pode usar a replicação entre regiões para os buckets do Amazon S3 da trilha, oque permite a cópia automática e assíncrona de objetos pelos buckets em diferentes regiões da AWS.

Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.

Além da infraestrutura global da AWS, o CloudTrail oferece vários recursos para ajudar a oferecer suporteàs suas necessidades de resiliência de dados e backup.

Trilhas que registram eventos em todas as regiões da AWS

Quando você aplica uma trilha a todas as regiões da AWS, o CloudTrail cria trilhas de configuraçõesidênticas em todas as outras regiões da AWS na conta. Quando a AWS adiciona uma nova região, essaconfiguração da trilha é criada automaticamente na nova região.

Versionamento, configuração do ciclo de vida e proteção de bloqueio de para dados de log do CloudTrail

Como o CloudTrail usa buckets do Amazon S3 para armazenar arquivos de log, você também podeusar os recursos fornecidos pelo Amazon S3 para ajudar a atender às suas necessidades de backup eresiliência. Para obter mais informações, consulte Resiliência no Amazon S3.

Segurança da infraestrutura no AWS CloudTrailComo serviço gerenciado, o AWS CloudTrail é protegido pelos procedimentos de segurança da redeglobal da AWS que estão descritos no whitepaper Amazon Web Services: visão geral dos processos desegurança.

Você usa chamadas de API publicadas pela AWS para acessar o CloudTrail por meio da rede. Os clientesdevem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ouposterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento

Versão 1.0255

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

https://docs.aws.amazon.com/AmazonS3/latest/dev/disaster-recovery-resiliency.html

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

AWS CloudTrail Guia do usuárioPráticas recomendadas de segurança

perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE).A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

As melhores práticas de segurança a seguir também abordam a segurança de infraestrutura no CloudTrail:

• Considere os VPC endpoints da Amazon para acesso de trilha. (p. 110)• Considere os endpoints do Amazon VPC para acesso ao bucket do Amazon S3. Para obter mais

informações, consulte Exemplos de políticas de buckets para VPC endpoints do Amazon S3.• Identifique e audite todos os buckets do Amazon S3 que contêm arquivos de log do CloudTrail.

Considere o uso de tags para ajudar a identificar suas trilhas do CloudTrail e bucket do Amazon S3que contêm arquivos de log do CloudTrail. Em seguida, você pode usar grupos de recursos para seusrecursos do CloudTrail. Para mais informações, consulte AWS Resource Groups.

Melhores práticas de segurança do AWS CloudTrailO AWS CloudTrail fornece uma série de recursos de segurança a serem considerados no desenvolvimentoe na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizesgerais e não representam uma solução completa de segurança. Como essas práticas recomendadaspodem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez derequisitos.

Tópicos• Melhores práticas de segurança preventiva do CloudTrail (p. 256)• Melhores práticas de segurança preventiva do CloudTrail (p. 257)

Melhores práticas de segurança preventiva doCloudTrailCriar uma trilha

Para obter um registro contínuo de eventos em sua conta da AWS, crie uma trilha. Embora o CloudTrailforneça 90 dias de informações de histórico de eventos para eventos de gerenciamento no console doCloudTrail sem criar uma trilha, ele não é um registro permanente e não fornece informações sobre todosos possíveis tipos de evento. Para um registro contínuo e para um registro que contém todos os tipos deevento especificados, você deve criar uma trilha, que fornece arquivos de log a um bucket do Amazon S3especificado.

Para ajudar a gerenciar seus dados do CloudTrail, considere a criação de uma trilha que registra eventosde gerenciamento em todas as regiões da AWS e, em seguida, a criação de trilhas adicionais queregistram tipos de evento específicos para recursos, como a atividade do bucket do Amazon S3 ou funçõesdo AWS Lambda.

Você pode seguir algumas das etapas abaixo:

• Criar uma trilha para a sua conta da AWS (p. 70)• Criar uma trilha para uma organização (p. 90)

Aplique as trilhas a todas as regiões da AWS

Versão 1.0256

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html

AWS CloudTrail Guia do usuárioMelhores práticas de segurança preventiva do CloudTrail

Para obter um registro completo de eventos realizados por um usuário, função ou serviço em sua conta daAWS, cada trilha deve ser configurada para registrar eventos em todas as regiões da AWS. Ao registrareventos em todas as regiões da AWS, você garante que todos os eventos que ocorrem em sua contada AWS sejam registrados, independentemente da região da AWS em que ocorreu. Isso inclui o registrode eventos de serviço globais (p. 11), que são registrados em uma região da AWS específica para esseserviço. Quando você cria uma trilha que se aplica a todas as regiões, CloudTrail registra os eventosem cada região e fornece os arquivos de log de eventos CloudTrail a um bucket do S3 especificado porvocê. Se for adicionada alguma região da AWS depois que você criar uma trilha que se aplica a todas asregiões, essa nova região será incluída automaticamente, e os eventos nessa região serão registrados.Essa é a opção padrão quando você cria uma trilha no console CloudTrail.


• Criar uma trilha para a sua conta da AWS (p. 70)• Atualizar uma trilha existente (p. 74)para registrar eventos em todas as regiões da AWS• Implemente controles de detecção contínua para ajudar a garantir que todas as trilhas criadas registrem

eventos em todas as regiões da AWS usando a regra multi-region-cloud-trail-enabled no AWS Config.

Ativar a integridade dos arquivos de log do CloudTrail

Os arquivos de log validados são valiosos especialmente para segurança e investigações forenses. Porexemplo, um arquivo de log validado permite que você declare positivamente que o arquivo de log não foialterado ou que determinadas credenciais de usuário realizaram atividades específicas de API. O processode validação da integridade dos arquivos de log do CloudTrail também permite que você saiba se umarquivo de log foi excluído ou alterado ou declare positivamente que nenhum arquivo de log foi fornecido àsua conta durante um determinado período. A validação da integridade dos arquivos de log do CloudTrailusa algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais.Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrailsem detecção. Para mais informações, consulte Ativar a validação e validar arquivos (p. 196).

Integrar ao Amazon CloudWatch Logs

O CloudWatch Logs permite que você monitore e receba alertas para eventos específicos capturadospelo CloudTrail. Os eventos enviados para o CloudWatch Logs são aqueles configurados para seremregistrados por sua trilha, portanto, certifique-se de que você tenha configurado a trilha ou as trilhas pararegistrar os tipos de evento (eventos de gerenciamento e/ou eventos de dados) que deseja monitorar.

Por exemplo, você pode monitorar eventos de gerenciamento relacionados a rede e segurança de chave,como eventos de login do console da AWS com falha (p. 165)e alterações em instâncias do AmazonEC2 (p. 159) como iniciar, excluir e reiniciar instâncias.


• Analise as integrações de exemplo do CloudWatch Logs para o CloudTrail (p. 147).• Configure a trilha para enviar eventos para o CloudWatch Logs (p. 131).• Considere implementar controles de detecção contínua para ajudar a garantir que todas as trilhas

enviem eventos ao CloudWatch Logs para monitoramento usando a regra cloud-trail-cloud-watch-logs-enabled no AWS Config.

Melhores práticas de segurança preventiva doCloudTrailAs seguintes práticas recomendadas do CloudTrail podem ajudar a evitar incidentes de segurança.

Registrar em um bucket do Amazon S3 centralizado e dedicado

Versão 1.0257

https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloud-trail-enabled.html

https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html

https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html

AWS CloudTrail Guia do usuárioMelhores práticas de segurança preventiva do CloudTrail

Os arquivos de log do CloudTrail são um log de auditoria de ações executadas por um usuário, umafunção ou um serviço da AWS. A integridade, integridade e disponibilidade desses logs é essencial parafins de auditoria e forenses. Ao fazer login em um bucket do Amazon S3 centralizado e dedicado, vocêpode impor rigorosos controles de segurança, acesso e separação de tarefas.


• Crie uma conta separada da AWS como uma conta de arquivo de log. Se você usar o AWSOrganizations, inscreva essa conta na organização e considere a criação de uma trilha daorganização (p. 90) para registrar os dados de todas as contas da AWS na sua organização.

• Se você não usar o Organizações, mas quiser registrar dados para várias contas da AWS, crie umatrilha (p. 70) para registrar atividades nessa conta de arquivo de log. Restrinja o acesso a essa contaapenas a usuários administrativos confiáveis que devem ter acesso aos dados de conta e auditoria.

• Como parte da criação de uma trilha, seja uma trilha da organização ou uma trilha para uma única contada AWS, crie um bucket do Amazon S3 dedicado para armazenar arquivos de log para essa trilha.

• Se você deseja registrar atividades para mais de uma conta da AWS, modifique a política debucket (p. 183) para permitir o registro e o armazenamento de arquivos de log para todas as contas daAWS que você deseja registrar a atividade da conta da AWS.

• Se você não estiver usando uma trilha de organização, crie trilhas em todas as suas contas da AWS,especificando o bucket do Amazon S3 na conta do arquivo de log.

Usar criptografia do lado do servidor com chaves gerenciadas pelo AWS KMS

Por padrão, os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pelacriptografia do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).Para fornecer uma layer de segurança diretamente gerenciável, você pode usar a criptografia do servidorcom chaves gerenciadas do AWS KMS (SSE-KMS) para os arquivos de log do CloudTrail. Para usar oSSE-KMS com o CloudTrail, crie e gerencie uma chave do KMS, também conhecida como chave mestrado cliente (CMK).

Note

Se você usar o SSE-KMS e a validação do arquivo de log e tiver modificado a política de bucketdo Amazon S3 para permitir apenas arquivos criptografados pelo SSE-KMS, não será possívelcriar trilhas que utilizam esse bucket, a menos que você modifique a política de bucket parapermitir a criptografia AES256 especificamente, como mostrado no seguinte exemplo de linha depolítica.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }


• Analise as vantagens de criptografar seus arquivos de log com SSE-KMS (p. 259).• Crie uma CMK a ser usada para criptografar arquivos de log (p. 261).• Configure a criptografia de arquivos de log das suas trilhas. (p. 268)• Considere a implementação de controles de detecção contínua para ajudar a garantir que as trilhas

criptografem os arquivos de log com SSE-KMS usando a regra cloud-trail-encryption-enabled no AWSConfig.

Implementar o acesso com privilégio mínimo em buckets do Amazon S3 onde você armazena os arquivosde log

As trilhas do CloudTrail registram eventos em um bucket do Amazon S3 que você especifica. Essesarquivos de log contêm um log de auditoria de ações executadas por usuários, funções e serviços daAWS. A integridade e a integridade desses arquivos de log de auditoria são essenciais para fins forenses.

Versão 1.0258






https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html

AWS CloudTrail Guia do usuárioCriptografar os arquivos de log do CloudTrail com

chaves gerenciadas do AWS KMS (SSE-KMS)

Para ajudar a garantir essa integridade, você deve aderir ao princípio do privilégio mínimo ao criar oumodificar o acesso a qualquer bucket do Amazon S3 usado para o armazenamento de arquivos de log doCloudTrail.


• Revise a política de bucket do Amazon S3 (p. 244) para qualquer bucket em que você armazenaarquivos de log e ajuste-o, se necessário, para remover o acesso desnecessário. Essa política de bucketserá gerada se você criar uma trilha usando o console do CloudTrail, mas também pode ser criada egerenciada manualmente.

• Se você estiver usando o mesmo bucket do Amazon S3 para armazenar os arquivos de log de váriascontas da AWS, siga as orientações para receber arquivos de log de várias contas (p. 183).

• Se você estiver usando uma trilha de organização, siga a orientação para trilhas de organização (p. 90)e revise a política de exemplo para um bucket do Amazon S3 para uma trilha de organização em Criaruma trilha para uma organização com o AWS Command Line Interface (p. 99).

• Revise a documentação de segurança do Amazon S3 e a demonstração de exemplo para proteger umbucket.

Habilitar a exclusão de MFA no bucket do Amazon S3 onde você armazena os arquivos de log

Configurar a autenticação multifator (MFA) garante que qualquer tentativa de alterar o estado deversionamento do seu bucket ou excluir permanentemente uma versão do objeto exija uma autenticaçãoadicional. Isso ajuda a evitar qualquer operação que possa comprometer a integridade de seus arquivosde log, mesmo que um usuário adquira a senha de um usuário do IAM que tem permissões para excluirpermanentemente objetos do Amazon S3.


• Revise as orientações de exclusão de MFA.• Adicione uma política de bucket do Amazon S3 para exigir MFA.

Configurar o gerenciamento de ciclo de vida de objetos no bucket do Amazon S3 onde você armazena osarquivos de log

O padrão de trilha do CloudTrail é armazenar os arquivos de log indefinidamente no bucket do AmazonS3 configurado para a trilha. Você pode usar as regras de gerenciamento de ciclo de vida de objetosdo Amazon S3 para definir sua própria política de retenção para melhor atender às suas necessidadesde negócios e auditoria. Por exemplo, você pode arquivar arquivos de log que têm mais de um ano noAmazon Glacier ou excluir os arquivos de log depois de um determinado período.

Limitar o acesso à política AWSCloudTrailFullAccess

Os usuários com a política AWSCloudTrailFullAccess (p. 241) têm a capacidade de desativar oureconfigurar as funções de auditoria mais sensíveis e importantes nas contas da AWS. Essa política nãodeve ser compartilhada ou aplicada globalmente para usuários e funções na sua conta da AWS. Limite aaplicação dessa política ao menor número de indivíduos possível, aqueles que você espera que atuemcomo administradores de conta da AWS.

Criptografar os arquivos de log do CloudTrail comchaves gerenciadas do AWS KMS (SSE-KMS)

Por padrão, os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pelacriptografia do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Versão 1.0259

https://docs.aws.amazon.com/AmazonS3/latest/dev/security.html



https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html#MultiFactorAutenticationDelete

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html#example-bucket-policies-use-case-7

https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html


AWS CloudTrail Guia do usuárioAtivar a criptografia de arquivos de log

Para fornecer uma layer de segurança diretamente gerenciável, você pode usar a criptografia do servidorcom chaves gerenciadas do AWS KMS (SSE-KMS) para os arquivos de log do CloudTrail.

Note

A ativação da criptografia no servidor criptografa os arquivos de log com o SSE-KMS, masnão os arquivos de compilação. Os arquivos de compilação são criptografados com chaves decriptografia gerenciadas do Amazon S3 (SSE-S3).

Para usar o SSE-KMS com o CloudTrail, crie e gerencie uma chave do KMS, também conhecida comochave mestra do cliente (CMK). Você anexa uma política à chave que determina quais usuários podemusar as chaves para criptografar e descriptografar os arquivos de log do CloudTrail. A descriptografiaé facilitada pelo S3. Quando os usuários autorizados da chave leem arquivos de log do CloudTrail,o S3 gerencia a descriptografia, e os usuários autorizados podem ler arquivos de log de modo nãocriptografado.

Essa abordagem tem as seguintes vantagens:

• Você pode criar e gerenciar as chaves de criptografia CMK.• Você pode usar uma única CMK para criptografar e descriptografar os arquivos de log de várias contas

em todas as regiões.• Você tem controle sobre quem pode usar sua chave para criptografar e descriptografar arquivos de log

do CloudTrail. Você pode atribuir permissões para a chave aos usuários na sua organização de acordocom os seus requisitos.

• Você tem segurança aprimorada. Com esse recurso, para ler arquivos de log, as seguintes permissõessão necessárias:• Um usuário deve ter permissões de leitura do S3 para o bucket que contém os arquivos de log.• Um usuário também deve ter uma política ou função aplicada que permite as permissões de

descriptografia da política da CMK.• Como o S3 descriptografa automaticamente os arquivos de log de solicitações de usuários autorizados

a usar a CMK, a criptografia SSE-KMS dos arquivos de log do CloudTrail é compatível com aplicativosexistentes que leem dados de log do CloudTrail.

Note

A CMK que você escolhe precisa estar na mesma região da AWS que o bucket do Amazon S3que recebe seus arquivos de log. Por exemplo, se os arquivos de log serão armazenados em umbucket na região Leste dos EUA (Ohio), você deverá criar ou escolher uma CMK que foi criadanessa região. Para verificar a região de um bucket doAmazon S3, inspecione as respectivaspropriedades no console do Amazon S3.

Ativar a criptografia de arquivos de logNote

Se você criar uma CMK no console do CloudTrail, o CloudTrail ele adicionará as seçõesnecessárias da política de CMK. Siga esses procedimentos se você criou uma chave na IAM ouno console do AWS CLI e precisa adicionar manualmente as seções necessárias da política.

Para habilitar a criptografia SSE-KMS para os arquivos de log do CloudTrail, siga estas etapas de altonível:

1. Crie uma CMK.

• Para obter informações sobre como criar uma CMK com o Console de gerenciamento da AWS,consulteComo criar chaves no AWS Key Management Service Developer Guide.

Versão 1.0260






https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

AWS CloudTrail Guia do usuárioConceder permissões para criar uma CMK

• Para obter informações sobre como criar uma CMK com o AWS CLI, consulte create-key.

Note

A CMK que você escolhe precisa estar na mesma região que o bucket do S3 que recebeseus arquivos de log. Para verificar a região de um bucket do S3, inspecione as propriedadesdo bucket no console do S3.

2. Adicione seções da política à chave que permite que o CloudTrail criptografe e os usuáriosdescriptografem os arquivos de log.

• Para obter informações sobre o que incluir na política, consulte Configurar políticas de chave doAWS KMS para o CloudTrail (p. 261).

Warning

Inclua permissões de descriptografia na política de todos os usuários que precisam lerarquivos de log. Se não executar essa etapa antes de adicionar a chave à configuraçãoda trilha, os usuários que não tiverem permissão de descriptografia não conseguirão lerarquivos criptografados até que essas permissões sejam concedidas para eles.

• Para obter informações sobre como editar uma política com o console do IAM, consulte Comomodificar uma política de chaves em AWS Key Management Service Developer Guide.

• Para obter informações sobre como anexar uma política a uma CMK com a AWS CLI, consulte put-key-policy.

3. Atualize a trilha para usar a CMK cuja política você modificou para o CloudTrail.

• Para atualizar a configuração da trilha usando o console do CloudTrail, consulte Atualizar uma trilhapara usar sua CMK (p. 268).

• Para atualizar a configuração da trilha usando a AWS CLI, consulte Habilitar e desabilitar acriptografia de arquivos de log do CloudTrail com a AWS CLI (p. 269).

A próxima seção descreve as seções que sua política de CMK exige para utilização com o CloudTrail.

Conceder permissões para criar uma CMKVocê pode conceder aos usuários permissão para criar uma chave mestra do cliente (CMK) com a políticaAWSKeyManagementServicePowerUser.

Para conceder permissão para criar uma CMK

1. Abra o console do IAM em https://console.aws.amazon.com/iam.2. Escolha o grupo ou usuário ao qual você deseja conceder permissão.3. Escolha Permissions (Permissões) e escolha Attach Policy (Anexar política).4. Pesquise por AWSKeyManagementServicePowerUser, escolha a política e escolha Attach policy

(Anexar política).

Agora, o usuário tem permissão para criar uma CMK. Se você deseja criar políticas personalizadaspara os seus usuários, consulte Criar políticas gerenciadas pelo cliente no Guia do usuário do IAM.

Configurar políticas de chave do AWS KMS para oCloudTrailVocê pode criar uma chave mestra do cliente (CMK) de três maneiras:

Versão 1.0261

https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing


https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html


https://console.aws.amazon.com/iam

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console

AWS CloudTrail Guia do usuárioConfigurar políticas de chave

do AWS KMS para o CloudTrail

• O console do CloudTrail• O console do IAM• O AWS CLI

Note

Se você criar uma CMK no console do CloudTrail, o CloudTrail adicionará a política de CMKobrigatória. Você não precisa adicionar manualmente as declarações de política. Consulte Políticade chaves padrão criada no console do CloudTrail (p. 267).

Se você criar uma CMK no console do IAM ou na AWS CLI, precisará adicionar seções de política àchave para poder usá-la com o CloudTrail. A política precisa permitir que o CloudTrail use a chave paracriptografar seus arquivos de log e que os usuários especificados leiam arquivos de log de modo nãocriptografado.

Consulte os recursos a seguir:

• Para criar uma CMK com a AWS CLI, consulte create-key.• Para editar uma política de CMK do CloudTrail, consulte Editar uma política de chaves no AWS Key

Management Service Developer Guide.• Para obter detalhes técnicos sobre como o CloudTrail usa AWS KMS, consulte Como o AWS CloudTrail

usa o AWS KMS em AWS Key Management Service Developer Guide.

Seções de política de CMK obrigatórias para utilização com oCloudTrailSe você criar uma CMK com o console do IAM ou com a AWS CLI, será necessário adicionar, no mínimo,três declarações à política de CMK para que ela funcione como CloudTrail. Você não precisa adicionarmanualmente as declarações de uma CMK que é criada usando o console do CloudTrail.

1. Habilite as permissões de criptografia de log do CloudTrail. Consulte Conceder permissões decriptografia (p. 262).

2. Habilite as permissões de descriptografia de log do CloudTrail. Consulte Conceder permissões dedescriptografia (p. 264).

3. Habilite a descrição das propriedades da CMK no CloudTrail. Consulte Habilite a descrição daspropriedades da CMK no CloudTrail (p. 266).

Note

Quando você adicionar as novas seções à política de CMK, não altere as seções existentes napolítica.Warning

Se a criptografia for habilitada em uma trilha e a CMK for desativada ou a política de CMK nãoestiver configurada corretamente para o CloudTrail, o CloudTrail só fornecerá logs depois que oproblema na CMK for corrigido.

Conceder permissões de criptografiaExample Permitir que o CloudTrail criptografe logs em nome de contas específicas

O CloudTrail precisa de permissão explícita para usar a CMK para criptografar logs em nome de contasespecíficas. Para especificar uma conta, adicione a seguinte declaração necessária à sua política de

Versão 1.0262



https://docs.aws.amazon.com/kms/latest/developerguide/services-cloudtrail.html

https://docs.aws.amazon.com/kms/latest/developerguide/services-cloudtrail.html



CMK, modificando aws-account-id conforme necessário. Você pode adicionar outros IDs de conta àseção EncryptionContext para permitir que essas contas utilizem o CloudTrail para usar sua CMK nacriptografia de arquivos de log.

{ "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:aws-account-id:trail/*" ] } }}

Example

O exemplo de declaração de política a seguir ilustra como outra conta pode usar sua CMK paracriptografar os logs do CloudTrail.

Cenário

• Sua CMK está na conta 111111111111.• Tanto você quanto a conta 222222222222 criptografarão logs.

Na política, você adiciona uma ou mais contas que criptografarão com a sua chave para oEncryptionContext do CloudTrail. Desse modo, o CloudTrail só usará sua chave para criptografar logs paraas contas que você especificar. Ao conceder à raiz da conta 222222222222 permissão para criptografarlogs, você delega o administrador dessa conta para alocar permissões de criptografia conforme necessárioa outros usuários da conta 222222222222 ao alterar as políticas de usuários do IAM deles.

Declaração de política de CMK:

{ "Sid": "Enable CloudTrail Encrypt Permissions", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:111111111111:trail/*", "arn:aws:cloudtrail:*:222222222222:trail/*" ] } }}

Para ver as etapas para editar uma política de CMK para uso com o CloudTrail, consulte Editar umapolítica de chaves no AWS Key Management Service Developer Guide.

Versão 1.0263





Conceder permissões de descriptografiaAntes de adicionar a CMK à configuração do CloudTrail, é importante conceder permissões dedescriptografia a todos os usuários que precisam delas. Os usuários que têm permissões de criptografia,mas não têm permissões de descriptografia não conseguirão ler os logs criptografados.

Habilite as permissões de descriptografia de log do CloudTrail

Os usuários da sua chave devem receber permissões explícitas para ler os arquivos de log que oCloudTrail criptografou. Para permitir que os usuários leiam logs criptografados, adicione a seguintedeclaração necessária à sua política de CMK, modificando a seção Principal de modo a adicionar umalinha para cada função ou usuário principal que você deseja descriptografar usando sua CMK.

{ "Sid": "Enable CloudTrail log decrypt permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::aws-account-id:user/username" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Permitir que os usuários da sua conta descriptografem com a sua CMKExemplo

Esta declaração da política ilustra como permitir que um usuário ou função do IAM na sua conta use suachave para ler os logs criptografados no bucket do S3 da sua conta.

Example Cenário

• Sua CMK, o bucket do S3 e Bob, o usuário do IAM, estão na conta 111111111111.• Você concede a Bob, o usuário do IAM, permissão para descriptografar os logs do CloudTrail no bucket

do S3.

Na política de chaves, você habilita as permissões de descriptografia de log do CloudTrail para Bob, ousuário do IAM.


{ "Sid": "Enable CloudTrail log decrypt permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:user/Bob" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Versão 1.0264



Permitir que os usuários de outras contas descriptografem com sua CMK

Você pode permitir que os usuários de outras contas usem sua CMK para descriptografar logs. Asalterações necessárias à sua política de chaves dependem de onde o bucket do S3 está, na sua conta ouem outra.

Permitir que os usuários de um bucket de outra conta descriptografem os logs

Exemplo

Esta declaração da política ilustra como permitir que um usuário ou função do IAM em outra conta use suachave para ler os logs criptografados a partir de um bucket do S3 na outra conta.

Cenário

• Sua CMK está na conta 111111111111.• A usuária do IAM Alice e o bucket do S3 estão na conta 222222222222.

Nesse caso, você concede ao CloudTrail permissão para descriptografar os logs na conta 222222222222e ao usuário do IAM de Alice permissão de política para usar sua chave KeyA, que está na conta111111111111.


{ "Sid": "Enable encrypted CloudTrail log read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:root" ] }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Declaração da política de usuários do IAM de Alice:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111111111111:key/keyA" } ]}

Permitir que os usuários de outra conta descriptografem os logs do seu bucket

Example

Esta política ilustra como outra conta pode usar sua chave para ler os logs criptografados do bucket do S3.

Versão 1.0265



Example Cenário

• Sua CMK e o bucket do S3 estão na conta 111111111111.• O usuário que lerá os logs do seu bucket está na conta 222222222222.

Para ativar esse cenário, você ativa as permissões de descriptografia para a função do IAMCloudTrailReadRole em sua conta e atribui à outra conta permissão para assumir essa função.


{ "Sid": "Enable encrypted CloudTrail log read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::11111111111:role/CloudTrailReadRole" ] }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Declaração de política da entidade de confiança do CloudTrailReadRole:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::222222222222:root" }, "Action": "sts:AssumeRole" } ] }

Para ver as etapas para editar uma política de CMK para uso com o CloudTrail, consulte Editar umapolítica de chaves no AWS Key Management Service Developer Guide.

Habilite a descrição das propriedades da CMK no CloudTrailO CloudTrail necessita da capacidade de descrever as propriedades da CMK. Para ativar essafuncionalidade, adicione a seguinte declaração obrigatória como está à sua política de CMK. Essadeclaração não concede ao CloudTrail permissões além das outras permissões que você especificar.

{ "Sid": "Allow CloudTrail access", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:DescribeKey",

Versão 1.0266





"Resource": "*"}

Para obter mais informações sobre a edição de políticas de CMK, consulte Editar uma política de chavesno AWS Key Management Service Developer Guide.

Política de chaves padrão criada no console do CloudTrailSe você criar uma chave mestra do cliente (CMK) no console do CloudTrail, a política a seguir será criadaautomaticamente. A política permite estas permissões:

• Concede permissões à conta da AWS (raiz) para a CMK.• Permite que o CloudTrail criptografe arquivos de log na CMK e a descreva.• Permite que todos os usuários das contas especificadas descriptografem os arquivos de log.• Permite que todos os usuários da conta especificada criem um alias do KMS para a CMK.• Habilita a descriptografia de log entre contas para o ID da conta que criou a trilha.

{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::aws-account-id:root", "arn:aws:iam::aws-account-id:user/username" ]}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"}} }, { "Sid": "Allow CloudTrail to describe key", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow principals in the account to decrypt log files", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"}

Versão 1.0267


AWS CloudTrail Guia do usuárioAtualizar uma trilha para usar sua CMK

} }, { "Sid": "Allow alias creation during setup", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": "kms:CreateAlias", "Resource": "*", "Condition": {"StringEquals": { "kms:ViaService": "ec2.region.amazonaws.com", "kms:CallerAccount": "aws-account-id" }} }, { "Sid": "Enable cross account log decryption", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } } ]}

Note

A declaração final da política permite que contas cruzadas descriptografem arquivos de log com aCMK.

Atualizar uma trilha para usar sua CMKPara atualizar uma trilha para usar a chave mestra de cliente (CMK) que você modificou para o CloudTrail,siga estas etapas no console do CloudTrail.

Note

A atuação de uma trilha com o procedimento a seguir criptografa os arquivos de log com o SSE-KMS, mas não os arquivos de compilação. Os arquivos de compilação são criptografados comchaves de criptografia gerenciadas do Amazon S3 (SSE-S3).

Para atualizar uma trilha usando a AWS CLI, consulte Habilitar e desabilitar a criptografia de arquivos delog do CloudTrail com a AWS CLI (p. 269).

Para atualizar uma trilha para usar seu CMK


2. Escolha Trails (Trilhas) e escolha uma trilha.3. Para Storage location (Local de armazenamento), selecione o ícone de lápis.4. Para Encrypt log files (Criptografar arquivos de log), selecione Yes (Sim) para que o CloudTrail

criptografe seus arquivos de log com a CMK.5. Em Create a new KMS key (Criar uma nova chave do KMS), escolha No (Não).

Versão 1.0268




AWS CloudTrail Guia do usuárioHabilitar e desabilitar a criptografia de

arquivos de log do CloudTrail com a AWS CLI

6. Em KMS key (Chave do KMS), escolha o alias da CMK cuja política você modificou para uso com oCloudTrail.

Note

Escolha uma CMK que esteja na mesma região que o bucket do S3 que recebe seusarquivos de log. Para verificar a região de um bucket do S3, examine as respectivaspropriedades no console do S3.

Você pode digitar o nome do alias, o Nome de região da Amazon (ARN) ou o ID de chave globalmenteexclusivo. Se a CMK pertence a outra conta, verifique se a política de chaves tem permissões quepossibilitam o seu uso. O valor pode ser um dos seguintes formatos:

• Nome do alias: alias/MyAliasName• Nome de região da Amazon (ARN) do alias:arn:aws:kms:region:123456789012:alias/MyAliasName

• Nome de região da Amazon (ARN) do alias da chave:arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

• ID de chave globalmente exclusivo: 12345678-1234-1234-1234-1234567890127. Escolha Save (Salvar).

Note

Se a CMK que você escolheu estiver desativada ou se a exclusão estiver pendente, você nãopoderá salvar a trilha com essa CMK. Você pode ativar a CMK ou escolher outra. Para obtermais informações, consulte Como o estado da chave afeta o uso de uma chave mestra decliente.

Habilitar e desabilitar a criptografia de arquivos de logdo CloudTrail com a AWS CLIEste tópico descreve como habilitar e desativar a criptografia de arquivos de log SSE-KMS do CloudTrailusando a AWS CLI. Para obter informações básicas, consulte Criptografar os arquivos de log do CloudTrailcom chaves gerenciadas do AWS KMS (SSE-KMS) (p. 259).

Habilitar a criptografia de arquivos de log do CloudTrail usando aAWS CLI1. Crie uma chave com a AWS CLI. A chave que você cria precisa estar na mesma região que o bucket

do S3 que recebe seus arquivos de log do CloudTrail. Nessa etapa, use o comando create-key doKMS.

2. Obtenha a política de chaves existente para que você possa modificá-la para utilização com oCloudTrail. Você pode recuperar a política de chaves com o comando get-key-policy do KMS.

3. Adicione as seções necessárias à política de chaves para que o CloudTrail possa criptografar e osusuários possam descriptografar seus arquivos de log. Verifique se todos os usuários que lerão osarquivos de log receberam permissões de descriptografia. Não modifique as seções existentes dapolítica. Para obter informações sobre as seções da política a serem incluídas, consulte Configurarpolíticas de chave do AWS KMS para o CloudTrail (p. 261).

4. Anexe o arquivo de política .json modificado à chave usando o comando put-key-policy do KMS.5. Execute o comando do CloudTrail create-trail ou update-trail com o parâmetro --kms-key-

id. Esse comando permitirá a criptografia do log.

aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

Versão 1.0269

https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html

https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html


https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html


AWS CloudTrail Guia do usuárioHabilitar e desabilitar a criptografia de

arquivos de log do CloudTrail com a AWS CLI

O parâmetro --kms-key-id especifica a chave cuja política você modificou para o CloudTrail. Elepode estar em qualquer um dos seguintes quatro formatos:

• Nome do alias. Exemplo: alias/MyAliasName• Nome de região da Amazon (ARN) do alias. Exemplo: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName

• Nome de região da Amazon (ARN) da chave. Exemplo: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

• ID de chave globalmente exclusivo. Exemplo: 12345678-1234-1234-1234-123456789012

A resposta terá esta aparência:

{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "my-bucket-name"}

A presença do elemento KmsKeyId indica que a criptografia do arquivo de log foi ativada. Os arquivosde log criptografados devem aparecer no seu bucket em cerca de 10 minutos.

Desativar a criptografia de arquivos de log do CloudTrail usandoa AWS CLIPara interromper a criptografia dos logs, chame update-trail e transmita uma string vazia ao parâmetrokms-key-id:

aws cloudtrail update-trail --name Default --kms-key-id ""

A resposta terá esta aparência:

{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name"}

A ausência do elemento KmsKeyId indica que a criptografia do arquivo de log não está mais ativada.

Versão 1.0270


Referência a eventos de log doCloudTrail

Um log do CloudTrail é um registro no formato JSON. O log contém informações sobre as solicitaçõesde recursos na sua conta, como quem fez a solicitação, os serviços usados, as ações realizadas e osparâmetros da ação. O dados do evento são incluídos em um conjunto Records.

O exemplo a seguir mostra um único registro de log de um evento em que um usuário do IAM chamadoMary_Major chamou a API CloudTrail StartLogging no console do CloudTrail para iniciar o processo deregistro.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-06-18T22:28:31Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2019-06-19T00:18:31Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.64", "userAgent": "signin.amazonaws.com", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" }, "responseElements": null, "requestID": "ddf5140f-EXAMPLE", "eventID": "7116c6a1-EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}, ... additional entries ...

O exemplo a seguir mostra um único registro em log de um evento do Insights que ocorreu quandoa API UpdateInstanceAssociationStatus do AWS Systems Manager foi chamada um númeroincomum de vezes. Há dois eventos em um registro de evento do Insights: um evento marcando o iníciodo insight (ou o início da atividade incomum) e um marcando o fim. Para eventos do Insights, o valor deeventCategory é Insight. Um bloco insightDetails identifica o estado, a origem, o nome, o tipo deInsights e o contexto do evento, incluindo as estatísticas.

{ "Records": [

Versão 1.0271


{ "eventVersion": "1.07", "eventTime": "2019-10-17T10:05:00Z", "awsRegion": "us-east-1", "eventID": "aab985f2-3a56-48cc-a8a5-e0af77606f5f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "12edc982-3348-4794-83d3-a3db26525049", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceAssociationStatus", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 1.7561507937 }, "insight": { "average": 50.1 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-17T10:13:00Z", "awsRegion": "us-east-1", "eventID": "ce7b8ac1-3f89-4dae-8d2a-6560e32f591a", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "12edc982-3348-4794-83d3-a3db26525049", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceAssociationStatus", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 1.7561507937 }, "insight": { "average": 50 }, "insightDuration": 8 } } }, "eventCategory": "Insight" } ]}

Os tópicos a seguir listam os campos de dados que o CloudTrail captura para cada evento de login echamada de API da AWS.

Tópicos• Conteúdo do registro do CloudTrail (p. 273)• Elemento userIdentity do CloudTrail (p. 280)• Eventos que não são da API capturados pelo CloudTrail (p. 286)

Versão 1.0272

AWS CloudTrail Guia do usuárioConteúdo do registro do CloudTrail

Conteúdo do registro do CloudTrailO corpo do registro contém campos que ajudam você a determinar a ação solicitada, bem como quando eonde a solicitação foi feita. Quando o valor de Opcional for True, o campo estará presente somente quandose aplicar ao serviço, à API ou ao tipo de evento.

eventTime

A data e a hora em que a solicitação foi feita em Tempo Universal Coordenado (UTC).

Desde: 1.0

Opcional: FalseeventVersion

A versão do formato do evento de log. A versão atual é 1.05.

Desde: 1.0

Opcional: FalseuserIdentity

Informações sobre o usuário que fez uma solicitação. Para obter mais informações, consulte ElementouserIdentity do CloudTrail (p. 280).

Desde: 1.0

Opcional: False

eventSource

O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome doserviço sem espaços, mais .amazonaws.com. Por exemplo:• AWS CloudFormation é cloudformation.amazonaws.com.• Amazon EC2 é ec2.amazonaws.com.• Amazon Simple Workflow Service é swf.amazonaws.com.

Essa convenção tem algumas exceções. Por exemplo, o eventSource para Amazon CloudWatch émonitoring.amazonaws.com.

Desde: 1.0

Opcional: False

eventName

A ação solicitada, que é uma das ações na API desse serviço.

Desde: 1.0

Opcional: False

awsRegion

A região da AWS para a qual a solicitação foi feita, como us-east-2. Consulte CloudTrail Regiõescompatíveis (p. 12).

Versão 1.0273


Desde: 1.0

Opcional: False

sourceIPAddress

O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereçoinformado é do recurso do cliente subjacente, e não do servidor web do console. Para serviços naAWS, apenas o nome de DNS é exibido.

Desde: 1.0

Opcional: False

userAgent

O agente por meio do qual a solicitação foi feita, como o Console de gerenciamento da AWS, umserviço da AWS, os SDKs da AWS ou a AWS CLI. Veja a seguir exemplos de valores:• signin.amazonaws.com – A solicitação foi feita por uma usuário do IAM com o Console de

gerenciamento da AWS.• console.amazonaws.com – A solicitação foi feita por um usuário raiz com o Console de

gerenciamento da AWS.• lambda.amazonaws.com – A solicitação foi feita com o AWS Lambda.• aws-sdk-java – A solicitação foi feita com o AWS SDK for Java.• aws-sdk-ruby – A solicitação foi feita com o AWS SDK para Ruby.• aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – A solicitação foi feita com a AWS

CLI instalada no Linux.

Note

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # éum número usado para finalidades internas.

Desde: 1.0

Opcional: False

errorCode

O erro do serviço da AWS se a solicitação retornar um erro.

Desde: 1.0

Opcional: True

errorMessage

Se a solicitação retornar um erro, a descrição do erro. Essa mensagem inclui mensagens de falhasde autorização. CloudTrail captura a mensagem registrada pelo serviço em seu controle de exceções.Para ver um exemplo, consulte Exemplos de código de erro e log de mensagens (p. 19).

Note

Alguns serviços do AWS fornecidos pelo errorCode e errorMessage como campos denível superior no evento. Outros serviços do AWS fornecem informações de erro como partedo responseElements.

Versão 1.0274


Desde: 1.0

Opcional: True

requestParameters

Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros são registradosna documentação de referência da API do serviço da AWS apropriado.

Desde: 1.0

Opcional: False

responseElements

O elemento de resposta das ações que fazem alterações (criar, atualizar ou excluir ações). Se umaação não altera o estado (por exemplo, uma solicitação para obter ou listar objetos), esse elementoé omitido. Essas ações são registradas na documentação de referência da API do serviço da AWSapropriado.

Desde: 1.0

Opcional: False

additionalEventData

Dados adicionais sobre o evento que não faziam parte da solicitação ou resposta.

O suporte a esse campo começa com eventVersion 1.00.

Desde: 1.0

Opcional: True

requestID

O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor.

O suporte a esse campo começa com eventVersion 1.01.

Desde: 1.01

Opcional: False

eventID

A GUID gerada pelo CloudTrail para identificar exclusivamente cada evento. Você pode usar essevalor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primáriapara recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.01

Opcional: False

eventType

Identifica o tipo de evento que gerou o registro de eventos. Pode ser um dos valores a seguir:

Versão 1.0275


• AwsApiCall – Uma API foi chamada.• AwsServiceEvent (p. 286) – O serviço gerou um evento relacionado à sua trilha. Por exemplo,

isso pode ocorrer quando outra conta fez uma chamada com um recurso seu.• AwsConsoleSignin (p. 286) – Um usuário na sua conta (raiz, IAM, federado, SAML ou

SwitchRole) conectado ao Console de gerenciamento da AWS.

Desde: 1.02

Opcional: False

apiVersion

Identifica a versão da API associada ao valor de AwsApiCall eventType.

Desde: 1.01

Opcional: True

managementEvent

Um valor booliano que identifica se o evento é um evento de gerenciamento. managementEvent serámostrado em um registro de evento se eventVersion for 1.06 ou superior e o tipo de evento for umdos seguintes:• AwsApiCall

• AwsConsoleAction

• AwsConsoleSignIn

• AwsServiceEvent

Desde: 1.06

Opcional: True

readOnly

Identifica se essa operação é somente leitura. Pode ter um dos valores a seguir:• true – A operação é somente leitura (por exemplo, DescribeTrails).• false – A operação é somente gravação (por exemplo, DeleteTrail).

Desde: 1.01

Opcional: True

resources

Uma lista de recursos acessados no evento. O campo pode conter as seguintes informações:• ARNs de recursos• ID da conta do proprietário do recurso• Identificador de tipo de recurso no formato: AWS::aws-service-name::data-type-name

Por exemplo, quando um evento AssumeRole é registrado, o campo resources pode ter estaaparência:• Nome de região da Amazon (ARN): arn:aws:iam::123456789012:role/myRole• ID da conta: 123456789012

Versão 1.0276


• Identificador de tipo de recurso: AWS::IAM::Role

Por exemplo, logs com o campo resources, consulte Evento da API do AWS STS no arquivo de logdo CloudTrail no Guia do usuário do IAM ou Registrar chamadas de API do AWS KMS no AWS KeyManagement Service Developer Guide.

Desde: 1.01

Opcional: True

recipientAccountId

Representa o ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente doElemento userIdentity do CloudTrail (p. 280) accountId. Isso pode ocorrer no acesso a recursosentre contas. Por exemplo, se uma chave KMS, também conhecida como chave mestra do cliente(CMK), foi usada por uma conta separada para chamar a API de criptografia, os valores accountIde recipientAccountID serão os mesmos para o evento fornecido à conta que fez a chamada, masos valores serão diferentes para o evento fornecido à conta que possui a CMK.

Desde: 1.02

Opcional: True

serviceEventDetails

Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. Para obter maisinformações, consulte Eventos de serviço da AWS (p. 286).

Desde: 1.05

Opcional: True

sharedEventID

GUID gerada pelo CloudTrail para identificar de maneira exclusiva eventos do CloudTrail da mesmaação da AWS que é enviada a várias contas da AWS.

Por exemplo, quando uma conta usa uma chave KMS, também conhecida como chave mestra docliente (CMK), que pertence a outra conta, a conta que usou a CMK e a que possui o CMK recebemeventos do CloudTrail separados para a mesma ação. Cada evento do CloudTrail fornecido paraessa ação da AWS compartilha o mesmo sharedEventID, mas também tem um eventID e umrecipientAccountID exclusivos.

Para obter mais informações, consulte Exemplo de sharedEventID (p. 279).Note

O campo sharedEventID está presente somente quando os eventos do CloudTrail sãofornecidos a várias contas. Se o chamador e o proprietário são a mesma conta da AWS, oCloudTrail envia apenas um evento, e o campo sharedEventID não aparece.

Desde: 1.03

Opcional: True

vpcEndpointId

Identifica o VPC endpoint em que as solicitações foram feitas a partir de uma VPC para outro serviçoda AWS, como o Amazon S3.

Versão 1.0277

https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample





https://docs.aws.amazon.com/kms/latest/developerguide/ct-encrypt.html



AWS CloudTrail Guia do usuárioCampos de registro de evento do Insights

Desde: 1.04

Opcional: True

Campos de registro de evento do InsightsVeja a seguir os atributos mostrados na estrutura JSON de um evento do Insights que difere daqueles emum evento de dados ou de gerenciamento.

eventCategory

Mostra a categoria de evento usada nas chamadas LookupEvents. Em Insights events, o valor éinsight.

Desde: 1.07

Opcional: FalsesharedEventId

Um sharedEventID para eventos do CloudTrail Insights difere do sharedEventID para os tiposde dados e de gerenciamento de eventos do CloudTrail. Em Insights events, um sharedEventIDé um GUID que é gerado pelo CloudTrail Insights para identificar exclusivamente um evento doInsights. O sharedEventID é comum entre os eventos do Insights de início e de término e ajuda aconectar ambos os eventos para identificar exclusivamente a atividade incomum. É possível pensar nosharedEventID como o ID de evento do Insights geral.

Desde: 1.07

Opcional: False

insightDetails

Somente eventos do Insights. Mostra informações sobre os gatilhos subjacentes de um evento doInsights, como a origem do evento, as estatísticas, o nome da API e se o evento é o início ou o fim doevento do Insights.

Desde: 1.07

Opcional: Falsestate

Somente eventos do Insights. Mostra se o evento representa o início ou o fim do insight (o início ou ofim da atividade incomum). Os valores são Start ou End.

Desde: 1.07

Opcional: FalseeventName

A API da AWS para a qual foi detectada atividade incomum.

Desde: 1.07

Opcional: FalseinsightType

O tipo de evento do Insights. O valor é ApiCallRateInsight.

Versão 1.0278

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html

AWS CloudTrail Guia do usuárioExemplo de sharedEventID

Desde: 1.07

Opcional: FalseinsightContext

Dados sobre a taxa de chamadas que acionou o evento do Insights em comparação com a taxanormal de chamadas à API de assunto por minuto.

Desde: 1.07

Opcional: Truestatistics

Um contêiner para dados sobre a taxa média típica de chamadas para a API de assunto por umaconta, a taxa de chamadas que acionou o evento do Insights e a duração, em minutos, do evento doInsights.

Desde: 1.07

Opcional: Truebaseline

Mostra a taxa média típica de chamadas para a API de assunto por minuto, conforme medida nasemana anterior, por uma conta em uma região da AWS específica.

Desde: 1.07

Opcional: Trueinsight

Mostra a taxa incomum de chamadas à API de assunto que aciona o registro em log de um eventodo Insights. A média do CloudTrail Insights para o evento de início é a taxa de chamadas por minutopara a API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividadeincomum. A média do Insights para o evento de início é a taxa de chamadas de API por minutos peladuração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.

Desde: 1.07

Opcional: TrueinsightDuration

A duração, em minutos, de um evento do Insights (o período do início ao fim da atividade incomum daAPI de assunto). O insightDuration somente ocorre no Insights events de término.

Desde: 1.07

Opcional: True

Exemplo de sharedEventIDVeja a seguir um exemplo que descreve como o CloudTrail fornece dois eventos para a mesma ação:

1. Alice tem uma conta da AWS (111111111111) e cria uma chave mestra do cliente (CMK). Ela é aproprietária dessa CMK.

2. Bob tem uma conta da AWS (222222222222). Alice concede a Bob permissão para usar a CMK.3. Cada conta tem uma trilha e um bucket separado.4. Bob usa a CMK para chamar a API de Encrypt.

Versão 1.0279

AWS CloudTrail Guia do usuárioElemento userIdentity do CloudTrail

5. O CloudTrail envia dois eventos separados.

• Um evento é enviado a Bob. O evento mostra que ele usou a CMK.• Um evento é enviado a Alice. O evento mostra que Bob usou a CMK.• Os eventos têm o mesmo sharedEventID, mas o eventID e o recipientAccountID são

exclusivos.

IDs de eventos compartilhados no CloudTrail InsightsUm sharedEventID para eventos do CloudTrail Insights difere do sharedEventID para os tipos dedados e de gerenciamento de eventos do CloudTrail. Em Insights events, um sharedEventID é um GUIDgerado pelo CloudTrail Insights para identificar exclusivamente um par de início e término de eventos doInsights. O sharedEventID é comum entre o evento do Insights de início e de término e ajuda a criaruma correlação entre ambos os eventos para identificar exclusivamente a atividade incomum.

É possível pensar no sharedEventID como o ID de evento do Insights geral.

Elemento userIdentity do CloudTrailO AWS Identity and Access Management (IAM) fornece diferentes tipos de identidades. O elementouserIdentity contém detalhes sobre o tipo de identidade IAM que fez a solicitação e quais credenciaisforam usadas. Se forem usadas credenciais temporárias, o elemento mostrará como elas foram obtidas.

Sumário

Versão 1.0280

AWS CloudTrail Guia do usuárioExemplos

• Exemplos (p. 281)• Campos (p. 281)• Valores para APIs do AWS STS com SAML e federação de identidades da web (p. 285)

ExemplosuserIdentity com credenciais de usuário do IAM

O exemplo a seguir mostra o elemento userIdentity de uma solicitação simples feita com ascredenciais da usuária do IAM chamada Alice.

"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice"}

userIdentity com credenciais de segurança temporárias

O exemplo a seguir mostra um elemento userIdentity de uma solicitação feita com credenciais desegurança temporárias obtidas com uma função IAM. O elemento contém detalhes adicionais sobre afunção que foi assumida para obter credenciais.

"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed" } }}

CamposOs campos a seguir podem aparecer em um elemento userIdentity.

type

O tipo da identidade. Os seguintes valores são possíveis:• Root – A solicitação foi feita com as credenciais da sua conta da AWS. Se o userIdentity tipo

for Root e você definir um alias para a sua conta, o campo userName conterá o alias da conta.Para obter mais informações, consulte O ID da sua conta da AWS e seu alias.

Versão 1.0281

https://docs.aws.amazon.com/IAM/latest/UserGuide/AccountAlias.html

AWS CloudTrail Guia do usuárioCampos

• IAMUser – A solicitação foi feita com as credenciais de um usuário do IAM.• AssumedRole – A solicitação foi feita com credenciais de segurança temporárias que foram obtidas

com uma função por meio de uma chamada para a API AWS Security Token Service (AWS STS)AssumeRole. Isso pode incluir funções do Amazon EC2 e acesso à API entre contas.

• FederatedUser – A solicitação foi feita com credenciais de segurança temporárias que foramobtidas por meio de uma chamada para a API AWS STS GetFederationToken. O elementosessionIssuer indica se a API foi chamada com raiz ou com credenciais de usuário do IAM.

Para obter mais informações sobre credenciais de segurança temporárias, consulte Credenciais desegurança temporárias em Guia do usuário do IAM.

• AWSAccount – A solicitação foi feita por outra conta da AWS• AWSService – A solicitação foi feita por uma conta da AWS que pertence a um serviço da AWS.

Por exemplo, AWS Elastic Beanstalk assume uma função IAM na sua conta para chamar outrosserviços da AWS em seu nome.

AWSAccount e AWSService aparecem para type em seus logs quando há acesso entre contasusando uma função IAM que você possui.

Exemplo: acesso entre contas iniciado por outra conta da AWS

1. Você possui uma função IAM na sua conta.2. Outra conta da AWS muda para essa função para assumi-la na sua conta.3. Como você é o proprietário da função IAM, recebe um log que mostra que a outra conta assumiu

a função. O type é AWSAccount. Para ver um exemplo de entrada de log, consulte Evento daAPI do AWS STS no arquivo de log do CloudTrail.

Exemplo: acesso entre contas iniciado por um serviço da AWS

1. Você possui uma função IAM na sua conta.2. Uma conta da AWS de propriedade de um serviço da AWS assume essa função.3. Como você é o proprietário da função IAM, recebe um log que mostra que o serviço da AWS

assumiu a função. O type é AWSService.

userName

O nome fácil da identidade que fez a chamada. O valor que aparece em userName se baseia no valorem type. A tabela a seguir mostra a relação entre type e userName:

type userName Descrição

Root (nenhum aliasdefinido)

Não estápresente

Se você não tiver configurado um alias para a suaconta do AWS, o campo userName não será exibido.Para obter mais informações sobre alias de contas,consulte O ID da sua conta da AWS e seu alias. Ocampo userName nunca conterá Root porque Rooté um tipo de identidade, não um nome do usuário.

Root (alias definido) O alias da conta Para obter mais informações sobre alias de contasdo AWS, consulte O ID da sua conta da AWS e seualias.

IAMUser O nome dousuário do IAM

Versão 1.0282


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/delegation-cross-acct-access.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html







type userName Descrição

AssumedRole Não estápresente

Para o tipo AssumedRole, você pode encontrar ocampo userName em sessionContext, comoparte do elemento sessionIssuer (p. 284).Para ver um exemplo de entrada, consulteExemplos (p. 281).

FederatedUser Não estápresente

A seção sessionContext e sessionIssuercontém informações sobre a identidade que emitiu asessão para o usuário federado.

AWSService Não estápresente

AWSAccount Não estápresente

Note

O campo userName contém a string HIDDEN_DUE_TO_SECURITY_REASONS quando oevento gravado é uma falha de login do console causada pela inserção incorreta de umnome de usuário. O CloudTrail não registra o conteúdo neste caso, pois o texto pode conterinformações sigilosas, como no exemplo a seguir:• Um usuário digita acidentalmente uma senha no campo de nome do usuário.• Um usuário clica no link da página de login de uma conta da AWS, mas digita o número de

outra conta.• Um usuário digita acidentalmente o nome de uma conta de e-mail pessoal, um identificador

de login de um banco ou algum outro ID privado.principalId

Um identificador exclusivo para a entidade que fez a chamada. Para solicitações feitas comcredenciais de segurança temporárias, esse valor inclui o nome da sessão que é transmitido àchamada da API AssumeRole, AssumeRoleWithWebIdentity ou GetFederationToken.

arn

O Nome de recurso da Amazon (ARN) do principal que fez a chamada. A última seção do ARNcontém o usuário ou a função que fez a chamada.

accountId

A conta proprietária da entidade que concedeu permissões para a solicitação. Se a solicitação foi feitacom credenciais de segurança temporárias, essa é a conta proprietária da função ou do usuário doIAM que foi usado para obter credenciais.

accessKeyId

O ID da chave de acesso que foi usado para assinar a solicitação. Se a solicitação foi feita comcredenciais de segurança temporárias, esse é o ID da chave de acesso delas.

sessionContext

Se a solicitação foi feita com credenciais de segurança temporárias, um elemento que forneceinformações sobre a sessão que foi criada para essas credenciais. As sessões são criadas quandoqualquer API é chamada e retorna credenciais temporárias. As sessões também são criadas quandoos usuários trabalham no console e fazem uma solicitação com APIs que incluem a autenticaçãomultifator. Os atributos desse elemento são:• creationDate – A data e a hora em que as credenciais de segurança temporárias foram emitidas.

Representadas em notação básica ISO 8601.

Versão 1.0283




• mfaAuthenticated – O valor será true se o usuário raiz ou IAM cujas credenciais foram usadaspara a solicitação também for autenticado com um dispositivo MFA. Caso contrário, false.

invokedBy

O nome do serviço da AWS que fez a solicitação, como Amazon EC2 Auto Scaling ou AWS ElasticBeanstalk.

sessionIssuer

Se a solicitação foi feita com credenciais de segurança temporárias, um elemento que forneceinformações sobre como elas foram obtidas. Por exemplo, se as credenciais de segurançatemporárias foram obtidas com uma função, esse elemento fornece informações sobre a funçãoassumida. Se as credenciais foram obtidas com credenciais de usuário raiz ou IAM para chamaro GetFederationToken do AWS STS, o elemento fornece informações sobre a conta raiz ou ousuário do IAM. Os atributos desse elemento são:• type – A origem das credenciais de segurança temporárias, como Root, IAMUser ou Role.• userName – O nome fácil do usuário ou da função que emitiu a sessão. O valor que aparece

depende da sessionIssuer identidade type. A tabela a seguir mostra a relação entresessionIssuer type e userName:

Tipo sessionIssuer userName Descrição

Root (nenhum aliasdefinido)

Não estápresente

Se você não tiver configurado um alias para a suaconta, o campo userName não será exibido. Paraobter mais informações sobre alias de contas doAWS, consulte O ID da sua conta da AWS e seualias. O campo userName nunca conterá Rootporque Root é um tipo de identidade, não um nomedo usuário.

Root (alias definido) O alias daconta

Para obter mais informações sobre alias de contasdo AWS, consulte O ID da sua conta da AWS e seualias.

IAMUser O nome dousuário do IAM

Isso também se aplica quando um usuário federadousa uma sessão emitida pelo IAMUser.

Role O nome dafunção

Uma função assumida por um usuário do IAM,um serviço da AWS ou um usuário federado deidentidade da web em uma sessão da função.

• principalId – O ID interno da entidade que foi usada para obter credenciais.• arn – O ARN da origem (conta, usuário ou função IAM) que foi usado para obter credenciais de

segurança temporárias.• accountId – A conta proprietária da entidade que foi usada para obter credenciais.

webIdFederationData

Se a solicitação foi feita com credenciais de segurança temporárias obtidas por federação deidentidades da web, um elemento que lista informações sobre o provedor de identidade. Os atributosdesse elemento são:• federatedProvider – O nome do principal do provedor de identidade (por exemplo,www.amazon.com para o Login with Amazon ou accounts.google.com no Google).

• attributes – O ID do aplicativo e o ID do usuário como informados pelo provedor (por exemplo,www.amazon.com:app_id e www.amazon.com:user_id para o Login with Amazon). Para obtermais informações, consulte Chaves disponíveis para federação de identidades da web no Guia dousuário do IAM.

Versão 1.0284





https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#condition-keys-wif

AWS CloudTrail Guia do usuárioValores para APIs do AWS STS com

SAML e federação de identidades da web

Valores para APIs do AWS STS com SAML efederação de identidades da webO AWS CloudTrail oferece suporte ao registro de chamadas de API do AWS Security Token Service (AWSSTS) feitas com Security Assertion Markup Language (SAML) e federação de identidades da web. Quandouma chamada é feita para as APIs AssumeRoleWithSAML e AssumeRoleWithWebIdentity, CloudTrailregistra a chamada e fornece o evento ao bucket do Amazon S3.

O elemento userIdentity para essas APIs contém os valores a seguir.

type

O tipo de identidade.• SAMLUser – A solicitação foi feita com declaração do SAML.• WebIdentityUser – A solicitação foi feita por um provedor de federação de identidades da web.

principalId

Um identificador exclusivo para a entidade que fez a chamada.• Para SAMLUser, é uma combinação das chaves saml:namequalifier e saml:sub.• Para WebIdentityUser, é uma combinação de emissor, ID do aplicativo e ID do usuário.

userName

O nome da identidade que fez a chamada.• Para SAMLUser, é a chave saml:sub. Consulte Chaves disponíveis para federação com base em

SAML.• Para WebIdentityUser, é o ID do usuário. Consulte Chaves disponíveis para federação de

identidades da web.

identityProvider

O nome do principal do provedor de identidade externo. Esse campo aparece somente para os tiposSAMLUser ou WebIdentityUser.• Para SAMLUser, é a chave saml:namequalifier da declaração do SAML.• Para WebIdentityUser, é o nome do emissor do provedor de federação de identidades da web.

Pode ser um provedor que você configurou, como:• cognito-identity.amazon.com para Amazon Cognito• www.amazon.com para o login na Amazon• accounts.google.com para o Google• graph.facebook.com para o Facebook

Veja a seguir um exemplo de elemento userIdentity para a ação AssumeRoleWithWebIdentity.

"userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id", "userName": "user-id", "identityProvider": "accounts.google.com" }

Para ver exemplos de logs de como o elemento userIdentity aparece para os tipos SAMLUser eWebIdentityUser, consulte Registro de eventos IAM com o AWS CloudTrail.

Versão 1.0285

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-saml

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-saml

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-wif

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-wif


AWS CloudTrail Guia do usuárioEventos que não são da API capturados pelo CloudTrail

Eventos que não são da API capturados peloCloudTrail

Além de efetuar o log de chamadas da API da AWS, o CloudTrail captura outros eventos relacionados quepodem causar impacto na segurança ou na conformidade da sua conta da AWS ou ajudá-lo a solucionarproblemas operacionais.

Tópicos• Eventos de serviço da AWS (p. 286)• Eventos de login no console da AWS (p. 286)

Eventos de serviço da AWSO CloudTrail oferece suporte ao registro de eventos de serviço que não são de API. Esses eventos sãocriados pelos serviços da AWS, mas não são acionados diretamente por uma solicitação para uma APIpública da AWS. Para esses eventos, o campo eventType é AwsServiceEvent.

Veja a seguir um exemplo de cenário de evento de serviço da AWS quando uma chave gerenciada pelocliente (CMK) é alterada automaticamente no AWS Key Management Service (AWS KMS). Para obtermais informações sobre a mudança de chaves, consulte Mudança de chaves mestras de cliente.

{ "eventVersion": "1.05", "userIdentity": { "accountId": "123456789012", "invokedBy": "AWS Internal" }, "eventTime": "2019-06-02T00:06:08Z", "eventSource": "kms.amazonaws.com", "eventName": "RotateKey", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "234f004b-EXAMPLE", "readOnly": false, "resources": [ { "ARN": "arn:aws:kms:us-east-2:123456789012:key/7944f0ec-EXAMPLE", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012", "serviceEventDetails": { "keyId": "7944f0ec-EXAMPLE" }}

Eventos de login no console da AWSO CloudTrail registra tentativas de login no Console de Gerenciamento da AWS, nos fóruns de discussãoda AWS e na Central de suporte da AWS. Todos os usuários e eventos de login de usuário raiz do

Versão 1.0286

https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

AWS CloudTrail Guia do usuárioEventos de login no console da AWS

IAM, bem como todos os eventos de login do usuário federado, geram registros em arquivos de log doCloudTrail.

Exemplo de registros de usuários do IAMO registro a seguir mostra que uma usuária do IAM chamada Alice fez login com êxito no Console degerenciamento da AWS sem usar a autenticação multifator.

{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/anaya", "accountId":"111122223333", "userName":"anaya" }, "eventTime":"2018-08-29T16:24:34Z", "eventSource":"signin.amazonaws.com", "eventName":"ConsoleLogin", "awsRegion":"us-east-2", "sourceIPAddress":"192.0.2.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters":null, "responseElements":{ "ConsoleLogin":"Success" }, "additionalEventData":{ "MobileVersion":"No", "LoginTo":"https://console.aws.amazon.com/sns", "MFAUsed":"No" }, "eventID":"3fcfb182-98f8-4744-bd45-10a395ab61cb", "eventType": "AwsConsoleSignin" } ]}

O registro a seguir mostra que uma usuária do IAM chamada Alice fez login no Console de gerenciamentoda AWS usando a autenticação multifator (MFA).

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/anaya", "accountId": "111122223333", "userName": "anaya" }, "eventTime": "2018-07-24T18:34:07Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success"

Versão 1.0287


}, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "fed06f42-cb12-4764-8c69-121063dc79b9", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

O registro a seguir mostra uma tentativa de login sem sucesso de um usuário IAM.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2018-07-24T18:32:11Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "d38ce1b3-4575-4cb8-a632-611b8243bfc3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

A tabela a seguir mostra que o processo de login verificou se a autenticação multifator (MFA) é necessáriapara um usuário do IAM durante o login.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2018-07-24T18:33:45Z", "eventSource": "signin.amazonaws.com", "eventName": "CheckMfa", "awsRegion": "us-east-1",

Versão 1.0288


"sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "CheckMfa": "Success" }, "additionalEventData": { "MfaType": "U2F MFA" }, "eventID": "f8ef8fc5-e3e8-4ee1-9d52-2f412ddf17e3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

Exemplo de registros de usuários raizA tabela a seguir mostra um evento de login bem-sucedido para um usuário raiz que não usa MFA.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2018-08-29T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "deb1e1f9-c99b-4612-8e9f-21f93b5d79c0", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

A tabela a seguir mostra um evento de login com falha para um usuário raiz que não usa MFA.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2018-08-25T18:10:29Z", "eventSource": "signin.amazonaws.com",

Versão 1.0289


"eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "a4fbbe77-91a0-4238-804a-64314184edb6", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

Versão 1.0290


Histórico do documentoA tabela a seguir descreve as mudanças importantes na documentação AWS CloudTrail. Para recebernotificações sobre atualizações dessa documentação, você pode se inscrever em um feed RSS.

• Versão da API: 01/11/2013• Última atualização da documentação: 28 de maio de 2020

update-history-change update-history-description update-history-date

Adição de suporte deserviço (p. 291)

Essa versão oferece suporteao Amazon Macie. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

May 19, 2020

Adição de suporte aoserviço (p. 291)

Essa versão oferece suporteao Amazon Kendra. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

May 13, 2020


Esta versão é compatívelcom o AWS IoT SiteWise.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

April 29, 2020

Adição de suporte porregião (p. 291)

Esta versão oferece suporte auma região adicional: Europa(Milão). Consulte Regiões comsuporte do AWS CloudTrail.

April 28, 2020

Adição de suporte a serviços eregiões (p. 291)

Esta versão oferece suporteao Amazon AppFlow. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.O suporte também foi adicionadopara a região Região da África(Cidade do Cabo). ConsulteRegiões com suporte do AWSCloudTrail.

April 22, 2020

Adição defuncionalidade (p. 291)

As ações de alto volume doAWS KMS, como Encrypt,Decrypt e GenerateDataKeyagora são registradas em logcomo eventos de Read (Leitura).Se você optar por registrarem log todos os eventos doAWS KMS na trilha e tambémpor registrar em log eventosde gerenciamento de Write(Gravação), a trilha registrará emlog ações relevantes do AWSKMS, como Disable, Delete eScheduleKey.

April 7, 2020

Versão 1.0291

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html






https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-supported-regions.html








Esta versão oferece suporte aoAmazon CodeGuru Reviewer.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

February 7, 2020


Esta versão oferece suporteao Amazon Managed ApacheCassandra Service. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

January 17, 2020


Esta versão oferece suporteao Amazon Connect. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

December 13, 2019

Documentaçãoatualizado (p. 291)

Essa atualização oferece suporteà seguinte versão de patch paraa Biblioteca de processamentodo CloudTrail: atualização dasreferências do arquivo .jar noguia do usuário para que sejausada versão mais recente,aws-cloudtrail-processing-library-1.2.0.jar. Para obter maisinformações, consulte Usar aCloudTrail Processing Library e aCloudTrail Processing Library noGitHub.

November 21, 2019


Esta versão oferece suporteao AWS CloudTrail Insightspara ajudar a detectar atividadeincomum na conta. ConsulteRegistro em log de Insightsevents para trilhas.

November 20, 2019


Esta versão adiciona uma opçãopara filtrar eventos do AWS KeyManagement Service fora deuma trilha. Consulta Criar umatrilha.

November 20, 2019


Esta versão oferece suporte aoAWS CodeStar Notifications.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

November 7, 2019


Esta versão oferece suporte àadição de tags quando você criauma trilha no CloudTrail, quervocê use o console ou a API doCloudTrail. Esta versão adicionaduas novas APIs, GetTrail eListTrails.

November 1, 2019

Versão 1.0292







https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-insights-events-with-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-insights-events-with-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html





Esta versão oferece suporteao AWS App Mesh. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

October 17, 2019


Esta versão oferece suporte aoAmazon Translate. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

October 17, 2019

Atualização dadocumentação (p. 291)

O tópico Serviços sem suportefoi restaurado e atualizadopara incluir apenas os serviçosda AWS que atualmente nãoregistram eventos no CloudTrail.Consulte Serviços do CloudTrailsem suporte.

October 7, 2019


A documentação foi atualizadacom alterações na política doAWSCloudTrailFullAccess.Um exemplo de políticaque mostra permissõesequivalentes paraAWSCloudTrailFullAccessfoi atualizado para restringir osrecursos nos quais a ação doiam:PassRole pode agir paraaqueles que correspondem àseguinte instrução de condição:"iam:PassedToService":"cloudtrail.amazonaws.com".Consulte Exemplos de políticasbaseadas em identidade do AWSCloudTrail.

September 24, 2019


A documentação foi atualizadacom um novo tópico, Gerenciarcustos do CloudTrail, paraajudá-lo a obter os dados delog necessários do CloudTrailenquanto permanece dentro deum orçamento.

September 3, 2019


Esta versão oferece suporteao AWS Control Tower.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

August 13, 2019


Esta versão oferece suporte auma região adicional: OrienteMédio (Bahrein). ConsulteRegiões com suporte do AWSCloudTrail.

July 29, 2019

Versão 1.0293





https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/security_iam_id-based-policy-examples.html#grant-custom-permissions-for-cloudtrail-users-full-access



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html







A documentação foi atualizadacom informações sobresegurança para o CloudTrail.Consulte Segurança no AWSCloudTrail.

July 3, 2019


Esta versão oferece suporteao AWS Ground Station.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

June 6, 2019


Esta versão oferece suporteao AWS IoT Things Graph.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

June 4, 2019


Esta versão oferece suporteao Amazon AppStream 2.0.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

April 25, 2019


Esta versão oferece suportea uma região adicional: Ásia-Pacífico (Hong Kong). ConsulteRegiões com suporte do AWSCloudTrail.

April 24, 2019


Esta versão oferece suporte aoAmazon Kinesis Data Analytics.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

March 22, 2019


Esta versão oferece suporte aoAWS Backup. Consulte Serviçoscompatíveis e integrações doAWS CloudTrail.

February 4, 2019


Esta versão oferece suporte aoAmazon WorkLink. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

January 23, 2019


Esta versão oferece suporte aoAWS Cloud9. Consulte Serviçoscompatíveis e integrações doAWS CloudTrail.

January 21, 2019


Esta versão oferece suporteao AWS Elemental MediaLive.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

January 19, 2019


Esta versão oferece suporteao Amazon Comprehend.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

January 18, 2019

Versão 1.0294

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/WhatIsCloudTrail-Security.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/WhatIsCloudTrail-Security.html

























Esta versão oferece suporte aoAWS Elemental MediaPackage.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

December 21, 2018


Esta versão oferece suportea uma região adicional: UE(Estocolmo). Consulte Regiõescom suporte do AWS CloudTrail.

December 11, 2018


A documentação foi atualizadacom informações sobre osserviços com e sem suporte.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

December 3, 2018


Esta versão oferece suporteao Resource Access Managerda AWS (AWS RAM). ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

November 20, 2018

Funcionalidadeatualizada (p. 291)

Esta versão oferece suporteà criação de uma trilha noCloudTrail que registra eventospara todas as contas da AWSem uma organização no AWSOrganizations. Consulte Criaruma trilha para uma organização.

November 19, 2018


Esta versão oferece suporteAPI de voz e SMS do AmazonPinpoint. Consulte Serviçoscompatíveis e integrações doAWS CloudTrail.

November 16, 2018


Esta versão oferece suporteao AWS IoT Greengrass.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

October 29, 2018

Documentaçãoatualizado (p. 291)

Essa atualização oferece suporteà seguinte versão de patch paraa Biblioteca de processamentodo CloudTrail: atualização dasreferências do arquivo .jar noguia do usuário para que sejausada versão mais recente,aws-cloudtrail-processing-library-1.1.3.jar. Para obter maisinformações, consulte Usar aCloudTrail Processing Library e aCloudTrail Processing Library noGitHub.

October 18, 2018

Versão 1.0295









https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html









AWS CloudTrail Guia do usuárioAtualizações anteriores


Essa versão oferece suporte aouso de filtros adicionais em Eventhistory (Histórico de eventos).Consulte Visualizar eventosdo CloudTrail no console doCloudTrail.

October 18, 2018


Esta versão oferece suporteao uso do Amazon VirtualPrivate Cloud (Amazon VPC)para estabelecer uma conexãoprivada entre a sua VPC e oAWS CloudTrail. Consulte Comousar o AWS CloudTrail com VPCendpoints de interface.

August 9, 2018


Esta versão oferece suporteaoGerenciador de ciclo devida de dados da Amazon.Consulte Serviços compatíveis eintegrações do AWS CloudTrail.

July 24, 2018


Esta versão oferece suporte aoAmazon MQ. Consulte Serviçoscompatíveis e integrações doAWS CloudTrail.

July 19, 2018

As notificações de históricode documentação de AWSCloudTrail estão disponíveis pormeio de feed RSS (p. 291)

Agora, você pode recebernotificações sobre asatualizações da documentaçãoAWS CloudTrail assinando umfeed RSS.

June 29, 2018


Esta versão oferece suporteao AWS Mobile CLI. ConsulteServiços compatíveis eintegrações do AWS CloudTrail.

June 29, 2018

Atualizações anterioresA tabela a seguir descreve o histórico de versões da documentação de AWS CloudTrail antes de 29 dejunho de 2018.

Alteração Descrição Data delançamento

Adição de suporte aoserviço

Esta versão oferece suporte ao Amazon RDS PerformanceInsights. Para obter mais informações, consulteIntegrações e serviços compatíveis com o CloudTrail.

21 de junhode 2018

Adição de funcionalidade Esta versão oferece suporte a registros do CloudTrailde todos os eventos de gerenciamento no histórico deeventos. Para obter mais informações, consulte Visualizareventos com o histórico de eventos CloudTrail (p. 44).

14 de junhode 2018

Versão 1.0296

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html














Esta versão oferece suporte ao AWS Billing and CostManagement. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

7 de junhode 2018


Esta versão oferece suporte ao Amazon Elastic ContainerService for Kubernetes (Amazon EKS). ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

5 de junhode 2018

Documentação atualizado Esta atualização oferece suporte a seguinte versão depatch da CloudTrail Biblioteca de processamento:

• Atualize as referências do arquivo. jar no guia dousuário para usar a versão mais recente, aws-cloudtrail-processing-library-1.1.2.jar.

Para obter mais informações, consulte Usar a CloudTrailProcessing Library (p. 216) e a CloudTrail ProcessingLibrary no GitHub.

16 de maiode 2018


Esta versão oferece suporte ao AWS Billing and CostManagement. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

7 de junhode 2018


Esta versão oferece suporte ao Amazon Elastic ContainerService for Kubernetes (Amazon EKS). ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

5 de junhode 2018

Documentação atualizado Esta atualização oferece suporte a seguinte versão depatch da CloudTrail Biblioteca de processamento:

• Atualize as referências do arquivo. jar no guia dousuário para usar a versão mais recente, aws-cloudtrail-processing-library-1.1.2.jar.


16 de maiode 2018


Esta versão oferece suporte ao AWS X-Ray. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

25 de abrilde 2018


Esta versão oferece suporte ao AWS IoT Analytics.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

23 de abrilde 2018


Esta versão oferece suporte ao Secrets Manager. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

10 de abrilde 2018


Esta versão oferece suporte ao Amazon Rekognition.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

6 de abril de2018


Esta versão oferece suporte à autoridade de certificaçãoprivada (PCA) da AWS. Consulte CloudTrail Serviçoscompatíveis e integrações (p. 20).

4 de abril de2018

Versão 1.0297







Adição de funcionalidade Esta versão oferece suporte para facilitar a pesquisade CloudTrail arquivos de log com Amazon Athena. Épossível criar tabelas para logs de consulta de formaautomática, diretamente no console do CloudTrail e usaressas tabelas para executar as consultas no Athena. Paraobter mais informações, consulte CloudTrail Serviçoscompatíveis e integrações (p. 20) e Criação de uma tabelapara logs do CloudTrail no console do CloudTrail.

15 de marçode 2018


Esta versão oferece suporte ao AWS AppSync. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

13 defevereiro de2018

Adição de suporte porregião

Esta versão oferece suporte a uma região adicional:Ásia-Pacífico (Osaka – Local) (ap-northeast-3). ConsulteCloudTrail Regiões compatíveis (p. 12).



Esta versão oferece suporte ao AWS Shield. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).



Esta versão oferece suporte ao Amazon SageMaker.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

11 de janeirode 2018


Esta versão oferece suporte ao AWS Batch. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).


Adição de funcionalidade Esta versão oferece suporte para ampliar a quantidadede atividade da conta que está disponível no histórico deeventos de 90 dias de CloudTrail. Você também podepersonalizar a exibição das colunas para aperfeiçoar avisualização dos seus eventos CloudTrail. Para obter maisinformações, consulte Visualizar eventos com o históricode eventos CloudTrail (p. 44).

12 dedezembro de2017


Esta versão oferece suporte ao Amazon WorkMail.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao Alexa for Business,ao AWS Elemental MediaConvert ao AWS ElementalMediaStore. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

1 dedezembro de2017

Adição de funcionalidade edocumentação

Esta versão oferece suporte ao registro de eventos dedados para funções AWS Lambda.

Para obter mais informações, consulte Registrar em logeventos de dados para trilhas (p. 119).

30 denovembro de2017


Esta versão oferece suporte ao registro de eventos dedados para funções AWS Lambda.

Para obter mais informações, consulte Registrar em logeventos de dados para trilhas (p. 119).


Versão 1.0298






Esta versão oferece suporte às seguintes atualizações dabiblioteca de processamento CloudTrail:

• Adicione suporte para a identificação booleana deeventos de gerenciamento.

• Atualize a versão de evento CloudTrail para a 1.06.




Esta versão oferece suporte ao AWS Glue. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

7 denovembro de2017

Nova documentação Esta versão adiciona um novo tópico, Limites em AWSCloudTrail (p. 32).

19 deoutubro de2017

Documentação atualizado Esta versão atualiza a documentação das APIs comsuporte no histórico de eventos CloudTrail para AmazonAthena, AWS CodeBuild, Amazon Elastic ContainerRegistry e AWS Migration Hub.

13 deoutubro de2017


Esta versão oferece suporte ao Amazon Chime. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

27 desetembro de2017


Esta versão oferece suporte a configuração de dados delog de eventos para todos os buckets Amazon S3 na suaconta AWS. Consulte Registrar em log eventos de dadospara trilhas (p. 119).



Esta versão oferece suporte ao Amazon Lex. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

15 de agostode 2017


Esta versão oferece suporte ao AWS MigrationHub. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

14 de agostode 2017


Esta versão dá suporte à ativação do CloudTrail porpadrão para todas as contas AWS. Os últimos sete diasde atividade da conta estão disponíveis no histórico deeventos CloudTrail e os eventos mais recentes aparecemno painel do console. O recurso conhecido anteriormentecomo API activity history (Histórico de atividades da API)foi substituído pelo Event history (Histórico de eventos).

Para obter mais informações, consulte Como CloudTrailfunciona (p. 1).

14 de agostode 2017

Versão 1.0299






Esta versão dá suporte ao download de eventos a partirdo console CloudTrail na página de histórico de atividadesda API. Você pode fazer download de eventos no formatoJSON ou CSV.

Para obter mais informações, consulte Download deeventos (p. 48).

27 de julhode 2017

Adição de funcionalidade Esta versão oferece suporte ao registro em log deoperações de API no nível de objeto do Amazon S3 emduas regiões adicionais, Europa (Londres) e Canadá(Central).

Para obter mais informações, consulte Como trabalharcom arquivos de log CloudTrail (p. 112).

19 de julhode 2017


Esta versão oferece suporte a pesquisas de APIs paraEventos do Amazon CloudWatch no recurso de históricode atividades de APIs CloudTrail.

27 de junhode 2017


Esta versão oferece suporte a APIs adicionais no recursode histórico de atividades de APIs CloudTrail para osseguintes serviços:

• AWS CloudHSM• Amazon Cognito• Amazon DynamoDB• Amazon EC2• Kinesis• AWS Storage Gateway

27 de junhode 2017


Esta versão oferece suporte ao AWS CodeStar. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

14 de junhode 2017

Versão 1.0300




Esta versão oferece suporte às seguintes atualizações dabiblioteca de processamento CloudTrail:

• Adicionar suporte a diferentes formatos de mensagensSQS da mesma fila SQS para identificar arquivos de logCloudTrail. Os seguintes formatos são compatíveis:• Notificações que CloudTrail envia para um tópico do

SNS• Notificações que Amazon S3 envia para um tópico do

SNS• Notificações que Amazon S3 envia diretamente para

uma fila do SQS• Adicionar suporte à propriedadedeleteMessageUponFailure, que você podeusar para excluir mensagens que não podem serprocessadas.


1 de junhode 2017


Esta versão oferece suporte ao Amazon Athena. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

19 de maiode 2017

Adição de funcionalidade Esta versão oferece suporte ao envio de eventos de dadospara Amazon CloudWatch Logs.

Para obter mais informações sobre como configurar atrilha para registrar eventos de dados, consulte Eventos dedados (p. 119).

Para obter mais informações sobre o envio de eventospara CloudWatch Logs, consulte Monitorar arquivos de logCloudTrail com Amazon CloudWatch Logs (p. 131).

9 de maio de2017


Esta versão oferece suporte ao serviço de mensuraçãoAWS Marketplace. Consulte CloudTrail Serviçoscompatíveis e integrações (p. 20).

2 de maio de2017


Esta versão oferece suporte ao Amazon QuickSight.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

28 de abrilde 2017


Esta versão oferece suporte a uma experiência de consoleatualizada para a criação de novas trilhas. Agora vocêpode configurar uma nova trilha para gerenciar eventosde gerenciamento e dados. Para obter mais informações,consulte Criar uma trilha (p. 69).

11 de abrilde 2017

Versão 1.0301





Adição de documentação Se CloudTrail não estiver fornecendo logs ao seu bucketdo S3 ou enviando notificações do SNS de algumasregiões na sua conta, poderá ser necessário atualizar aspolíticas.

Para saber mais sobre a atualização da sua política debuckets do S3, consulte Erros comuns de configuração dapolítica do S3 (p. 247).

Para saber mais sobre a atualização da sua política detópicos do SNS, consulte Erros comuns de configuraçãoda política do SNS (p. 250).

31 de marçode 2017


Esta versão oferece suporte ao AWS Organizations.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte a uma experiência doconsole atualizada para configurar as trilhas para registrareventos de gerenciamento e dados. Para obter maisinformações, consulte Como trabalhar com arquivos de logCloudTrail (p. 112).



Esta versão oferece suporte ao Amazon CloudDirectory. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte a pesquisas de APIs paraAWS CodeCommit, Amazon GameLift e AWS ManagedServices no histórico de atividades de APIs CloudTrail.


Adição de funcionalidade Esta versão oferece suporte à integração com AWSPersonal Health Dashboard.Você pode usar Personal Health Dashboard paraidentificar se as suas trilhas não conseguem fornecerlogs a um tópico do SNS ou a um bucket do S3. Issopode acontecer quando há um problema com a políticado bucket do S3 ou do tópico do SNS. Personal HealthDashboard lhe notifica sobre as trilhas afetadas erecomenda formas de corrigir a política.

Para obter mais informações, consulte Guia do usuário doAWS Health.



Esta versão oferece suporte à filtragem por origem doevento no console CloudTrail. A origem do evento mostrao serviço AWS para o qual a solicitação foi feita.

Para obter mais informações, consulte Visualizar eventosCloudTrail no console CloudTrail (p. 45).



Esta versão oferece suporte ao AWS CodeCommit.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).


Versão 1.0302

https://docs.aws.amazon.com/health/latest/ug/

https://docs.aws.amazon.com/health/latest/ug/




Esta versão oferece suporte ao Amazon Lightsail. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).



Esta versão oferece suporte aos AWS ManagedServices. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao Região Europa (Londres).Consulte CloudTrail Regiões compatíveis (p. 12).



Esta versão oferece suporte ao Região do Canadá(Central). Consulte CloudTrail Regiões compatíveis (p. 12).

8 dedezembro de2016


Esta versão oferece suporte ao AWS CodeBuild. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

Esta versão oferece suporte ao AWS Health. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

Esta versão oferece suporte ao AWS Step Functions.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

1 dedezembro de2016


Esta versão oferece suporte ao Amazon Polly. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).



Esta versão oferece suporte ao AWS OpsWorks for ChefAutomate. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte à configuração da sua trilhapara registrar eventos somente leitura, somente gravaçãoou todos os eventos.

CloudTrail oferece suporte ao registro de operações deAPI no nível do objeto Amazon S3 como GetObject,PutObject e DeleteObject. Você pode configurar suastrilhas para registrar operações de API no nível do objeto.

Para obter mais informações, consulte Como trabalharcom arquivos de log CloudTrail (p. 112).



Esta versão oferece suporte a valores adicionais do campotype no elemento userIdentity: AWSAccount eAWSService. Para obter mais informações, consulte osCampos (p. 281) de userIdentity.



Esta versão oferece suporte ao AWS Server MigrationService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).


Versão 1.0303




Esta versão oferece suporte ao Aplicativo AutoScaling. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

31 deoutubro de2016


Esta versão oferece suporte ao Região do Leste dos EUA(Ohio). Consulte CloudTrail Regiões compatíveis (p. 12).

17 deoutubro de2016


Esta versão oferece suporte ao registro de eventosde serviço AWS que não são de API. Para obtermais informações, consulte Eventos de serviço daAWS (p. 286).



Esta versão oferece suporte ao uso do console CloudTrailpara visualizar tipos de recursos que são suportadospor AWS Config. Para obter mais informações, consulteVisualizar recursos referenciados com AWS Config (p. 48).

7 de julho de2016


Esta versão oferece suporte ao AWS ServiceCatalog. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

6 de julho de2016


Esta versão oferece suporte a Amazon Elastic File System(Amazon EFS). Consulte CloudTrail Serviços compatíveise integrações (p. 20).

28 de junhode 2016


Esta versão oferece suporte a uma região adicional: ap-south-1 - Ásia-Pacífico (Mumbai). Consulte CloudTrailRegiões compatíveis (p. 12).

27 de junhode 2016


Esta versão oferece suporte ao AWS Application DiscoveryService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

12 de maiode 2016


Esta versão oferece suporte a CloudWatch Logs na regiãoAmérica do Sul (São Paulo). Para obter mais informações,consulte Monitorar arquivos de log CloudTrail com AmazonCloudWatch Logs (p. 131).

6 de maio de2016


Esta versão oferece suporte ao AWS WAF. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

28 de abrilde 2016


Esta versão oferece suporte ao AWS Support. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

21 de abrilde 2016


Esta versão oferece suporte ao Amazon Inspector.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

20 de abrilde 2016


Esta versão oferece suporte ao AWS IoT. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

11 de abrilde 2016

Versão 1.0304




Esta versão oferece suporte ao registro de chamadasde API do AWS Security Token Service (AWS STS)feitas com Security Assertion Markup Language (SAML)e federação de identidades da web. Para obter maisinformações, consulte Valores para APIs do AWS STScom SAML e federação de identidades da web (p. 285).

28 de marçode 2016


Esta versão oferece suporte ao AWS CertificateManager. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

25 de marçode 2016


Esta versão oferece suporte ao Amazon Kinesis DataFirehose. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

17 de marçode 2016


Esta versão oferece suporte ao Amazon CloudWatchLogs. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

10 de marçode 2016


Esta versão oferece suporte ao Amazon Cognito. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).



Esta versão oferece suporte ao AWS Database MigrationService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte a Amazon GameLift(GameLift). Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao Eventos do AmazonCloudWatch. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte a uma região adicional: ap-northeast-2 (Ásia-Pacífico (Seul)). Consulte CloudTrailRegiões compatíveis (p. 12).

6 de janeirode 2016


Esta versão oferece suporte a Amazon Elastic ContainerRegistry (Amazon ECR). Consulte CloudTrail Serviçoscompatíveis e integrações (p. 20).



Esta versão oferece suporte à ativação de CloudTrail emtodas as regiões e suporte a várias trilhas por região. Paraobter mais informações, consulte Como o CloudTrail secomporta nos âmbitos regional e global? (p. 10).



Esta versão oferece suporte ao Amazon MachineLearning. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).


Versão 1.0305




Esta versão oferece suporte para criptografia de arquivosde log, validação da integridade dos arquivos de loge uso de tags. Para obter mais informações, consulteCriptografar os arquivos de log do CloudTrail com chavesgerenciadas do AWS KMS (SSE-KMS) (p. 259), Validara integridade dos arquivos de log CloudTrail (p. 195) eAtualizar uma trilha (p. 74).

1 de outubrode 2015


Esta versão oferece suporte ao Amazon ElasticsearchService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

1 de outubrode 2015


Esta versão oferece suporte a eventos no nível do bucketdo Amazon S3. Consulte CloudTrail Serviços compatíveise integrações (p. 20).

1 desetembro de2015


Esta versão oferece suporte ao AWS DeviceFarm. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

13 de julhode 2015


Esta versão oferece suporte ao Amazon APIGateway. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

9 de julho de2015


Esta versão oferece suporte ao CodePipeline. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

9 de julho de2015


Esta versão oferece suporte ao Amazon DynamoDB.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

28 de maiode 2015


Esta versão oferece suporte a CloudWatch Logs na regiãoOeste dos EUA (Norte da Califórnia). Consulte as notas derelease do CloudTrail. Para obter mais informações sobreo suporte CloudTrail para o monitoramento CloudWatchLogs, consulte Monitorar arquivos de log CloudTrail comAmazon CloudWatch Logs (p. 131).

19 de maiode 2015


Esta versão oferece suporte ao AWS DirectoryService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

14 de maiode 2015


Esta versão oferece suporte a Amazon Simple EmailService (Amazon SES). Consulte CloudTrail Serviçoscompatíveis e integrações (p. 20).

7 de maio de2015


Esta versão oferece suporte ao Amazon Elastic ContainerService, consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

9 de abril de2015


Esta versão oferece suporte ao AWS Lambda. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

9 de abril de2015


Esta versão oferece suporte ao Amazon WorkSpaces.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

9 de abril de2015

Versão 1.0306

https://aws.amazon.com/releasenotes/AWS-CloudTrail/2111879456744216

https://aws.amazon.com/releasenotes/AWS-CloudTrail/2111879456744216



Esta versão oferece suporte à pesquisa de atividadesda AWS capturadas por CloudTrail (eventos CloudTrail).Você pode procurar e filtrar os eventos da sua contarelacionados à criação, à modificação ou à exclusão.Para procurar esses eventos, você pode usar o consoleCloudTrail, AWS Command Line Interface (AWS CLI)ou o SDK da AWS. Para obter mais informações,consulte Visualizar eventos com o histórico de eventosCloudTrail (p. 44).

12 de marçode 2015

Adição de suportede serviço e novadocumentação

Esta versão oferece suporte a Amazon CloudWatch Logsnas regiões Ásia-Pacífico (Cingapura), Ásia-Pacífico(Sydney), Ásia-Pacífico (Tóquio) e Europa (Frankfurt).Outros exemplos de alarmes do CloudWatch foramadicionados a Criar alarmes do CloudWatch para eventosdo CloudTrail, e uma nova página foi adicionada: Usarum modelo do AWS CloudFormation para criar alarmes doCloudWatch.

5 de marçode 2015

Adição de suporte à API Esta versão oferece suporte ao Amazon EC2 SystemsManager (SSM). SSM permite configurar, gerenciar eimplantar facilmente as configurações de instânciaspersonalizadas do Windows. Para obter mais informaçõessobre o SSM, consulte Gerenciar configurações deinstâncias do Windows. Para obter informações sobre aschamadas de API do SSM registradas pelo CloudTrail,consulte Registrar chamadas API do SSM usando o AWSCloudTrail.


Nova documentação Uma nova seção que descreve o suporte do CloudTrailpara endpoints regionais do AWS Security TokenService (AWS STS) foi adicionada à página Conceitos doCloudTrail.



Esta versão oferece suporte ao Amazon Route 53.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao AWS Config. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).



Esta versão oferece suporte ao AWS CloudHSM. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

8 de janeirode 2015


Esta versão oferece suporte ao AWS CodeDeploy.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao AWS StorageGateway. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).


Versão 1.0307

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html



https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-configuration-manage.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-configuration-manage.html



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html




Esta versão oferece suporte a uma região adicional:us-gov-west-1 (AWS GovCloud (US-West)). ConsulteCloudTrail Regiões compatíveis (p. 12).



Esta versão oferece suporte ao Amazon S3Glacier. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao AWS Data Pipeline.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

2 dedezembro de2014


Esta versão oferece suporte ao AWS Key ManagementService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).


Nova documentação Uma nova seção, Monitorar arquivos de log CloudTrailcom Amazon CloudWatch Logs (p. 131), foi adicionada aoguia. Ela descreve como usar Amazon CloudWatch Logspara monitorar eventos de log CloudTrail.


Nova documentação Uma nova seção, Usar a CloudTrail ProcessingLibrary (p. 216), foi adicionada ao guia. Ela forneceinformações sobre como escrever um processador de logCloudTrail em Java usando a biblioteca de processamentodo AWS CloudTrail.

5 denovembro de2014


Esta versão oferece suporte ao Amazon ElasticTranscoder. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

27 deoutubro de2014


Esta versão oferece suporte a uma região adicional: eu-central-1 (Europa (Frankfurt)). Consulte CloudTrail Regiõescompatíveis (p. 12).

23 deoutubro de2014


Esta versão oferece suporte ao Amazon CloudSearch.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

16 deoutubro de2014


Esta versão oferece suporte ao Amazon SimpleNotification Service. Consulte CloudTrail Serviçoscompatíveis e integrações (p. 20).

9 de outubrode 2014


Esta versão oferece suporte ao Amazon ElastiCache.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).



Esta versão oferece suporte ao Amazon WorkDocs.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

27 de agostode 2014

Adição de novo conteúdo Esta versão inclui um tópico que discute o registro deeventos de login. Consulte Eventos de login no console daAWS (p. 286).

24 de julhode 2014

Versão 1.0308



Adição de novo conteúdo O elemento eventVersion desta versão foi atualizado paraa versão 1.02, e três novos campos foram adicionados.Consulte Conteúdo do registro do CloudTrail (p. 273).

18 de julhode 2014


Esta versão oferece suporte ao Auto Scaling (consulteCloudTrail Serviços compatíveis e integrações (p. 20)).

17 de julhode 2014


Esta versão oferece suporte a três regiões adicionais: ap-southeast-1 (Ásia-Pacífico (Cingapura)), ap-northeast-1(Ásia-Pacífico (Tóquio)), sa-east-1 (América do Sul (SãoPaulo)). Consulte CloudTrail Regiões compatíveis (p. 12).

30 de junhode 2014

Suporte de serviço adicional Esta versão oferece suporte ao Amazon Redshift. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

10 de junhode 2014


Esta versão oferece suporte ao AWS OpsWorks. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

5 de junhode 2014


Esta versão oferece suporte ao Amazon CloudFront.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

28 de maiode 2014


Esta versão oferece suporte a três regiões adicionais:us-west-1 (Oeste dos EUA (Norte da Califórnia)),eu-west-1 (Europa (Irlanda)), ap-southeast-2 (Ásia-Pacífico (Sydney)). Consulte CloudTrail Regiõescompatíveis (p. 12).

13 de maiode 2014


Esta versão oferece suporte ao Amazon Simple WorkflowService. Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

9 de maio de2014

Adição de novo conteúdo Esta versão inclui tópicos que discutem ocompartilhamento de arquivos de log entre contas.Consulte Compartilhar arquivos de log CloudTrail entrecontas da AWS (p. 186).

2 de maio de2014


Esta versão oferece suporte ao Amazon CloudWatch.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

28 de abrilde 2014


Esta versão oferece suporte ao Amazon Kinesis. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

22 de abrilde 2014


Esta versão oferece suporte ao AWS Direct Connect.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

11 de abrilde 2014


Esta versão oferece suporte ao Amazon EMR. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

4 de abril de2014


Esta versão oferece suporte ao Elastic Beanstalk. ConsulteCloudTrail Serviços compatíveis e integrações (p. 20).

2 de abril de2014

Suporte de serviço adicional Esta versão oferece suporte ao AWS CloudFormation.Consulte CloudTrail Serviços compatíveis eintegrações (p. 20).

7 de marçode 2014

Versão 1.0309



Novo guia Esta versão apresenta AWS CloudTrail. 13 denovembro de2013

Versão 1.0310


AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

Versão 1.0311

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html

Documents

AWS CloudTrail - Guia do usuário...AWS CloudTrail Guia do usuário Como CloudTrail funciona Se for adicionada alguma região depois que você criar uma trilha que se aplica a todas