Domande frequenti su AWS CloudTrail

CloudTrail permette la verifica, la sicurezza, il monitoraggio di sicurezza e la risoluzione dei problemi operazionali tracciando l'attività degli utenti e l'utilizzo delle API. CloudTrail registra, monitora continuamente e conserva l’attività dell’account relativa alle azioni nella tua infrastruttura AWS, dandoti il controllo sull’archiviazione, l’analisi e le azioni di ripristino.

CloudTrail ti aiuta a dimostrare la conformità, a migliorare la posizione di sicurezza e a consolidare i registri delle attività in tutte le regioni e gli account. CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni eseguite sul tuo account. Cloudtrail registra le informazioni importanti su ciascuna operazione, tra cui l'autore della richiesta, i servizi utilizzati, le azioni intraprese, i parametri per le azioni e gli elementi di risposta restituiti dal servizio AWS. Queste informazioni consentono di monitorare le modifiche apportate alle tue risorse AWS e di risolvere i problemi operativi. CloudTrail rende più semplice garantire la conformità con policy interne e standard normativi. Per maggiori dettagli, consulta il whitepaper sulla conformità AWS Sicurezza su vasta scala: accesso in AWS . 

Utilizza CloudTrail se hai bisogno di verificare l’attività, monitorare la sicurezza o risolvere problemi operativi.

No, non è necessaria alcuna operazione per vedere l’attività del tuo account. È sufficiente accedere alla console di AWS CloudTrail o ad AWS CLI per visualizzare l’attività dell’account degli ultimi 90 giorni.

AWS CloudTrail mostra solo i risultati della cronologia degli eventi di CloudTrail per la regione corrente per gli ultimi 90 giorni e supporta esclusivamente una gamma di servizi AWS . Gli eventi inclusi sono solo gli eventi di gestione che creano, modificano ed eliminano chiamate API e attività dell'account. Per un registro completo dell’attività dell’account, inclusi tutti gli eventi di gestione, gli eventi sui dati e l’attività in sola lettura, è necessario configurare un percorso CloudTrail.

È possibile specificare l’intervallo di tempo e uno dei seguenti attributi: nome dell’evento, nome dell’utente, nome della risorsa, origine dell’evento, ID dell’evento e tipo di risorsa.

Sì, puoi accedere alla console di CloudTrail oppure utilizzare l’API o CLI di CloudTrail per consultare l’attività dell’account degli ultimi 90 giorni.

Configura un percorso CloudTrail per distribuire i tuoi eventi CloudTrail su Amazon Simple Storage Service (Amazon S3), File di log Amazon CloudWatch ed Eventi Amazon CloudWatch. Ciò consente di utilizzare le funzionalità per archiviare, analizzare ed eseguire azioni in risposta alle modifiche nelle risorse AWS.

Sì, CloudTrail si integra con AWS Identity and Access Management (IAM), che permette di controllare l’accesso a CloudTrail e ad altre risorse AWS necessarie per CloudTrail. Ciò include la possibilità di limitare le autorizzazioni per visualizzare e cercare l'attività dell'account. Rimuovi “cloudtrail:LookupEvents” dalla policy IAM degli utenti, impedendo così agli utenti IAM di visualizzare l’attività dell’account.

La visualizzazione o la ricerca all’interno delle attività di un account con lo storico eventi di CloudTrail non prevede alcun costo. 

Per qualsiasi traccia CloudTrail creata, è possibile interrompere la registrazione o eliminare le tracce. Questo fermerà inoltre la distribuzione dell'attività degli account al bucket Amazon S3 che hai designato come parte della configurazione delle tracce, così come la distribuzione a CloudWatch Logs se configurato. L’attività dell’account degli ultimi 90 giorni sarà comunque raccolta e consultabile all’interno della console di CloudTrail e tramite l’Interfaccia della linea di comando AWS (AWS CLI). 

Con la distribuzione diretta degli eventi CloudTrail a CloudWatch, ottieni diversi vantaggi importanti. Innanzitutto, è possibile gestire in modo centralizzato la raccolta degli eventi per l’intera organizzazione direttamente dalla console CloudWatch senza dover configurare singoli trail, riducendo così il sovraccarico operativo. In secondo luogo, i canali collegati al servizio in modo sicuro garantiscono una distribuzione affidabile a gruppi di log immutabili supportando funzionalità avanzate come l’arricchimento degli eventi e i controlli di sicurezza. In terzo luogo, è possibile sfruttare le potenti funzionalità di monitoraggio di CloudWatch, tra cui la raccolta di log in tempo reale e il rilevamento automatico delle anomalie. Infine, è possibile importare facilmente i dati storici di CloudTrail Lake in CloudWatch Logs per analizzare gli eventi passati insieme ai dati correnti. Questa integrazione elimina la complessità derivante dalla gestione di più configurazioni dei trail fornendo al contempo una visibilità coerente sulla sicurezza dell’intera organizzazione AWS.

CloudTrail registra l'attività di un account e gli eventi generati dalla maggior parte dei servizi AWS. Per un elenco dei servizi supportati, consulta Servizi CloudTrail supportati nella Guida per l’utente di CloudTrail.

Sì. CloudTrail registra le chiamate API effettuate da qualsiasi client. La Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e i servizi AWS di livello superiore chiamano le operazioni API AWS: pertanto, queste chiamate vengono registrate.

Le informazioni sull'attività per i servizi con endpoint regionali (come Amazon Elastic Compute Cloud [Amazon EC2] o Amazon Relational Database Service [Amazon RDS]) vengono acquisite ed elaborate nella stessa regione in cui viene eseguita l'azione. Vengono quindi consegnate alla regione associata al tuo bucket S3. Le informazioni sull'attività per i servizi con singoli endpoint come IAM e Servizio di token di sicurezza AWS (AWS STS) vengono acquisite nella regione in cui si trova l'endpoint. Vengono quindi elaborate nella regione in cui è configurato il trail CloudTrail e distribuite nella regione associata al bucket S3.

L'applicazione di un trail a tutte le regioni AWS implica la creazione di un percorso che registrerà l'attività di un account AWS in tutte le regioni in cui i tuoi dati sono archiviati. Questa impostazione si applica anche alle eventuali nuove regioni aggiunte. Per ulteriori dettagli su Regioni e partizioni, consulta la pagina Amazon Resource Names and AWS Service Namespaces.

Puoi creare e gestire un trail in tutte le regioni della partizione con una sola chiamata API o con qualche clic. Riceverai un registro dell'attività dell'account eseguita nel tuo account AWS in tutte le regioni in un bucket S3 in un gruppo di CloudWatch Logs. Quando AWS avvia una nuova regione, riceverai i file di log contenenti la cronologia degli eventi per la nuova regione senza dover eseguire alcuna operazione.

Nella console CloudTrail, seleziona Sì per applicare un trail a tutte le regioni nella pagina di configurazione del trail. Se utilizzi gli SDK o AWS CLI, imposta IsMultiRegionTrail su true. 

Quando applichi un trail a tutte le regioni, CloudTrail crea un nuovo trail replicandone la configurazione. CloudTrail quindi registra ed elabora i file di log in ogni regione distribuendo i file di log contenenti l'attività dell'account in tutte le regioni AWS in un singolo bucket S3 e in un singolo gruppo di log di CloudWatch Logs. Se hai specificato un argomento Amazon Simple Notification Service (Amazon SNS) facoltativo, CloudTrail distribuisce le notifiche SNS per tutti i file di log distribuiti a un singolo argomento SNS.

Sì. Sì, puoi applicare un trail esistente a tutte le regioni. Quando applichi un trail esistente a tutte le regioni, CloudTrail crea un nuovo trail per tutte le regioni. Se hai già creato trail in altre Regioni, puoi visualizzare, modificare ed eliminare questi trail dalla console di CloudTrail . 

Di solito per replicare la configurazione del trail in tutte le Regioni sono sufficienti meno di 30 secondi.

In una regione AWS puoi creare un massimo di cinque trail. Un trail che si applica a tutte le Regioni esiste in ogni Regione e viene contato come un trail in ogni Regione.

Con più percorsi, le varie parti interessate come gli amministratori della sicurezza, gli sviluppatori di software e i revisori IT possono creare e gestire i loro percorsi. Ad esempio, un amministratore della sicurezza può creare un percorso che si applica a tutte le regioni e configurare la crittografia utilizzando una sola chiave Amazon Key Management Service (Amazon KMS). Per risolvere problemi operativi uno sviluppatore può creare un percorso che si applica a una sola Regione.

Sì. Utilizzando le autorizzazioni a livello delle risorse puoi creare policy di controllo di accesso granulare per permettere o proibire l'accesso a utenti specifici per un particolare percorso. Per ulteriori dettagli, consulta la documentazione di CloudTrail. 

Per impostazione predefinita, i file di log di CloudTrail vengono crittografati utilizzando la crittografia lato server (SSE) S3, quindi vengono inseriti nel bucket S3. Puoi controllare l'accesso ai file di log con le policy IAM o il bucket S3. È possibile aggiungere un livello di protezione supplementare abilitando l’autenticazione a più fattori (MFA) Delete S3 sul proprio bucket S3. Per ulteriori dettagli sulla creazione e l’aggiornamento di un trail, consulta la documentazione di CloudTrail .

Puoi scaricare un esempio di policy di bucket S3 e di policy di argomento SNS dal bucket S3 di CloudTrail. Devi aggiornare gli esempi di policy con le tue informazioni prima di applicarle al tuo bucket S3 o al tuo argomento SNS.

La policy di conservazione dei file di log CloudTrail è personalizzabile. Per impostazione predefinita, i file di log vengono memorizzati per un periodo illimitato. Per definire una policy di conservazione, è possibile impiegare le regole di gestione del ciclo di vita degli oggetti S3. Per esempio, è possibile eliminare i vecchi file di log o archiviarli in Amazon Simple Storage Service Glacier (Amazon S3 Glacier).

Un evento contiene le informazioni importanti della relativa attività, tra cui l'autore della richiesta, i servizi impiegati, le operazioni eseguite, i parametri dell'azione e gli elementi di risposta restituiti dal servizio AWS. Per maggiori dettagli, consulta la sezione Riferimento agli eventi CloudTrail nella guida per l’utente. 

Di solito, CloudTrail distribuisce un evento entro 5 minuti dalla chiamata API. Ulteriori informazioni sul funzionamento di CloudTrail sono riportate qui .   

CloudTrail distribuisce i file di log nel bucket S3 circa ogni cinque minuti. CloudTrail non distribuisce file di log se non ci sono state chiamate API sul tuo account. 

Sì. Puoi attivare le notifiche Amazon SNS per eseguire un’operazione non appena ricevi nuovi file di log. 

Sebbene non sia comune, potresti ricevere file di log che contengono uno o più eventi duplicati. Gli eventi duplicati avranno lo stesso eventID. Per ulteriori informazioni sul campo eventID, consulta i contenuti dei record di CloudTrail . 

I file di log CloudTrail vengono distribuiti in conformità con le policy del bucket S3 da te definite. Se le policy di bucket non vengono configurate correttamente, CloudTrail potrebbe non essere in grado di inoltrare i file di log. 

CloudTrail è progettato per supportare almeno una consegna di eventi sottoscritti ai bucket S3 dei clienti. In alcune situazioni, è possibile che CloudTrail fornisca lo stesso evento più di una volta. Di conseguenza, i clienti potrebbero notare eventi duplicati. 

Gli eventi di dati forniscono informazioni dettagliate sulle operazioni delle risorse (piano dati) eseguite su o all’interno della risorsa stessa. Gli eventi di dati sono spesso attività a volume elevato e includono operazioni come API a livello di oggetto di S3 e API Invoke delle funzioni AWS Lambda. Quando si configura un trail, gli eventi di dati sono disabilitati per impostazione predefinita. Per registrare gli eventi di dati di CloudTrail, è necessario aggiungere esplicitamente le risorse o i tipi di risorse supportati su cui si desidera raccogliere attività. A differenza degli eventi di gestione, gli eventi sui dati prevedono costi aggiuntivi. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudTrail . 

Gli eventi di dati vengono registrati da CloudTrail e inoltrati in S3, in modo analogo agli eventi di gestione. Una volta abilitati, questi eventi sono disponibili anche in Amazon CloudWatch Events. 

Gli eventi di dati di S3 rappresentano l'attività dell'API sugli oggetti di S3. Per fare in modo che CloudTrail registri queste azioni, devi specificare un bucket S3 nella sezione degli eventi sui dati al momento della creazione di un nuovo itinerario oppure della modifica di uno esistente. Qualsiasi operazione API sugli oggetti all’interno del bucket S3 specificato vengono registrate da CloudTrail. 

Gli eventi di dati di Lambda registrano le attività di esecuzione delle funzioni Lambda. Con gli eventi di dati di Lambda, puoi ottenere dettagli sul runtime della funzione Lambda. Esempi di runtime della funzione Lambda includono quale utente o servizio IAM ha effettuato la chiamata API Invoke, quando è stata effettuata la chiamata e quale funzione è stata applicata. Tutti gli eventi di dati Lambda vengono forniti in un bucket S3 e in Eventi Amazon CloudWatch. È possibile attivare la registrazione per gli eventi di dati di Lambda utilizzando la CLI o la console CloudTrail e selezionare quali funzioni Lambda registrare creando un nuovo trail o modificandone uno esistente. 

Gli eventi di attività di rete registrano le azioni dell’API AWS eseguite utilizzando endpoint VPC da un VPC privato al servizio AWS e aiutano a soddisfare i casi d’uso delle indagini sulla sicurezza della rete. Includono le chiamate API AWS che hanno superato con successo la policy degli endpoint VPC e quelle a cui è stato negato l’accesso. Ad esempio, in qualità di proprietario dell’endpoint VPC, puoi visualizzare i log delle azioni che sono state negate a causa delle policy degli endpoint VPC o determinare se una persona al di fuori del tuo perimetro dei dati sta tentando di accedere ai dati nei tuoi bucket S3. A differenza degli eventi di gestione e dati che vengono consegnati sia al chiamante dell’API che al proprietario della risorsa, gli eventi di attività di rete vengono consegnati solo al proprietario dell’endpoint VPC.

Per registrare gli eventi di attività di rete, devi abilitarli esplicitamente durante la configurazione del tuo trail o dell’archivio di dati degli eventi e scegliere le fonti degli eventi dei servizi AWS su cui desideri raccogliere le attività. Puoi anche aggiungere ulteriori filtri come il filtraggio per ID dell’endpoint VPC o la registrazione dei soli errori di accesso negato. Gli eventi di attività di rete comportano costi aggiuntivi. Per ulteriori informazioni, consulta i prezzi di CloudTrail.

La caratteristica dei flussi di log ti consente di acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo VPC. I dati del flusso di log possono essere pubblicati nelle seguenti posizioni: Amazon CloudWatch Logs, Amazon S3 o Amazon Data Firehose. Gli eventi relativi alle attività di rete per gli endpoint VPC acquisiscono le azioni dell’API AWS eseguite utilizzando gli endpoint VPC da un VPC privato al servizio AWS. Ciò fornisce dettagli su chi accede alle risorse all’interno della rete, offrendoti una maggiore capacità di identificare e rispondere ad azioni indesiderate nel perimetro dei dati. È possibile visualizzare i log delle azioni negate a causa delle policy degli endpoint VPC o utilizzare questi eventi per convalidare l’impatto dell’aggiornamento delle policy esistenti. 

Sì, CloudTrail supporta ora l’aggiunta di un massimo di tre amministratori delegati per organizzazione.

L’account di gestione rimarrà il proprietario di tutti i trail dell’organizzazione o dei datastore di eventi creati a livello dell’organizzazione, indipendentemente dal fatto che sia stato creato da un account amministratore delegato o da un account di gestione.

Attualmente, il supporto con amministratore delegato per CloudTrail è disponibile in tutte le regioni in cui è disponibile AWS CloudTrail. Per ulteriori informazioni, consulta la tabella delle Regioni AWS.

Gli eventi di CloudTrail Insights consentono di identificare attività insolite all'interno dei loro account AWS, come picchi di attività nel provisioning delle risorse, aumenti improvvisi di operazioni di AWS Identity and Access Management (IAM) o divari nelle attività periodiche di manutenzione. CloudTrail Insights utilizza modelli di machine learning (ML) che monitorano costantemente gli eventi di gestione della scrittura di CloudTrail in cerca di attività insolite.

Quando viene rilevata un'attività insolita, gli eventi di CloudTrail Insights vengono mostrati nella console e inviati a Eventi CloudWatch, al bucket S3 e, se lo desideri, al gruppo di CloudWatch Logs. In tal modo è possibile creare gli avvisi e integrarli con i sistemi di gestione eventi e flussi di lavoro esistenti.

CloudTrail Insights rileva le attività insolite analizzando gli aventi di gestione della scrittura all'interno di una regione e un account AWS. Un evento insolito o atipico viene definito in base al volume di chiamate API AWS che differiscono dalle previsioni effettuate a partire da una linea di base o da un modello operativo stabilito prestabilito. CloudTrail Insights si adatta alle modifiche dei consueti modelli operativi prendendo in considerazione tendenze basate sul tempo nelle chiamate API e applicando le baseline come modifiche dei flussi di lavoro.

CloudTrail Insights può aiutarti a rilevare script o applicazioni che si comportano in modo diverso dal normale. A volte uno sviluppatore modifica uno script o un'applicazione che esegue operazioni ripetitive o effettua un gran numero di chiamate a risorse indesiderate come database, archivi di dati o altre funzioni. Spesso questo comportamento non viene notato se non al momento della fatturazione a fine mese, quando si rileva un aumento inatteso dei costi o si verifica un'interruzione effettiva. Gli eventi di CloudTrail Insights possono aiutarti a rilevare queste modifiche nell’account AWS, in modo da poter apportare azioni correttive in maniera rapida.

CloudTrail Insights identifica attività operative insolite negli account AWS che ti consentono di affrontare problemi operativi, riducendo l'impatto operativo e aziendale. Amazon GuardDuty serve ad aumentare la sicurezza dell'account e fornisce rilevamento delle minacce mediante il monitoraggio delle attività dell'account. Amazon Macie è progettato per aumentare la protezione dei dati nell'account tramite operazioni di rilevamento, classificazione e protezione dei dati sensibili. Questi servizi offrono protezione complementare contro diversi tipi di problematiche che possono emergere nell’account.

Sì. Gli eventi di CloudTrail Insights sono configurati in singoli trail, pertanto deve essercene almeno uno configurato. Quando attivi gli eventi di CloudTrail Insights per un trail, CloudTrail inizia a monitorare gli eventi di gestione della scrittura sul trail in cerca di modelli insoliti. Se CloudTrail Insights rileva un’attività insolita, un evento CloudTrail Insights viene caricato nella destinazione di distribuzione specificata nella definizione del percorso.

Approfondimenti su CloudTrail monitora le attività insolite per le operazioni API di gestione della scrittura.

Puoi abilitare gli eventi di CloudTrail Insights su singoli trail nell'account utilizzando la console, la CLI o l'SDK. Puoi anche abilitare gli eventi di CloudTrail Insights nella tua organizzazione utilizzando un trail organizzativo configurato nell'account di gestione di AWS Organizations. Puoi attivare gli eventi di CloudTrail Insights scegliendo il pulsante d’opzione nella definizione del trail. 

CloudTrail Lake aiuta a esaminare gli incidenti interrogando tutte le azioni registrate da CloudTrail e gli elementi di configurazione registrati da AWS Config, le prove da Gestione audit o gli eventi da origini non AWS. Semplifica la registrazione degli incidenti aiutandoti ad eliminare dipendenze operative, fornendo strumenti che ti permettono di essere meno dipendente da complesse pipeline di processi di dati che si estendono all’interno del team. CloudTrail Lake non richiede di spostare e importare registri di CloudTrail altrove, il che aiuta a mantenere la fedeltà dei dati e riduce il problema dei limiti di bassa velocità che "soffocano" i log. Inoltre, fornisce latenze in tempo reale, dal momento che è ottimizzato per log strutturati per volumi elevati, rendendoli disponibili per l’analisi degli incidenti. Fornisce un’esperienza familiare di query multi-attributo utilizzando SQL, con la possibilità di programmare e gestire più query simultanee. Per gli utenti che hanno meno esperienza con SQL, è disponibile la generazione di query in linguaggio naturale per facilitare la creazione di query SQL, semplificando l’analisi dei dati. La possibilità di riepilogare i risultati delle query utilizzando l’IA (in anteprima) migliora ulteriormente la capacità di ricavare approfondimenti significativi dai log delle attività e di indagare sugli incidenti in modo efficiente. Inoltre, le dashboard predefinire e personalizzate offrono modi intuitivi per visualizzare e analizzare i dati archiviati negli archivi dati degli eventi direttamente all’interno della console CloudTrail. Unendo queste funzionalità, CloudTrail Lake consente di indagare sugli incidenti in modo efficiente e ottenere approfondimenti più completi sul proprio ambiente AWS, semplificando al contempo i processi di gestione dei dati.

CloudTrail è la fonte canonica dei registri per l'attività utente e per l'utilizzo di API nei servizi AWS. Quando i log sono disponibili in CloudTrail, potrai utilizzare CloudTrail Lake per esaminare le attività nei servizi AWS. È possibile interrogare e analizzare l’attività degli utenti e le risorse coinvolte e utilizzare i dati per identificare utenti malintenzionati e stabilire una linea di base per le autorizzazioni.

È possibile cercare e aggiungere integrazioni dei partner per iniziare a ricevere eventi sulle attività da tali applicazioni in pochi passi utilizzando la console CloudTrail, senza la necessità di costruire e mantenere integrazioni personalizzate. Per origini diverse dalle integrazioni dei partner disponibili, puoi utilizzare le nuove API di Data Lake CloudTrail per impostare le tue integrazioni e inviare gli eventi al Data Lake CloudTrail. Per iniziare, consulta Lavorare con CloudTrail Lake nella Guida per l’utente di CloudTrail .

La query avanzata di AWS Config è consigliata per i clienti che desiderano aggregare ed eseguire query sugli elementi di configurazione (CI) di AWS Config allo stato corrente. Questo aiuta i clienti con la gestione dell'inventario, la sicurezza e l'intelligence operativa, l'ottimizzazione dei costi e i dati di conformità. La query avanzata di AWS Config è gratuita se sei un cliente AWS Config. 

CloudTrail Lake supporta la copertura delle query per gli elementi di configurazione di AWS Config, inclusa la configurazione delle risorse e la cronologia della conformità. L'analisi della cronologia di configurazione e conformità per le risorse con eventi CloudTrail correlati consente di dedurre chi, quando e cosa è cambiato in tali risorse. Questo aiuta con l'analisi della causa principale degli incidenti relativi all'esposizione alla sicurezza o alla non conformità. CloudTrail Lake è consigliato quando occorre aggregare ed eseguire query sui dati tra gli eventi CloudTrail e gli elementi della configurazione cronologica.  

CloudTrail Lake non inserirà gli elementi di configurazione di AWS Config generati prima della configurazione di CloudTrail Lake. Gli elementi di configurazione appena registrati da AWS Config, a livello di account o di organizzazione, verranno inviati all'archivio dati di eventi Data Lake CloudTrail specificato. Questi elementi di configurazione saranno disponibili per le query nel Lake per il periodo di conservazione specificato e possono essere utilizzati per l’analisi dei dati cronologici. 

Se vengono tentate più modifiche alla configurazione su una singola risorsa da parte di più utenti in rapida successione, è possibile creare un solo elemento di configurazione che verrebbe mappato alla configurazione dello stato finale della risorsa. In questo e in altri scenari simili, potrebbe non essere possibile fornire una correlazione del 100% su quale utente ha apportato determinate modifiche alla configurazione interrogando CloudTrail e gli elementi della configurazione per un intervallo di tempo e un ID risorsa specifici.

Sì. La funzionalità di importazione di Data Lake CloudTrail supporta la copia dei registri CloudTrail da un bucket S3 che archivia registri da più account (da un percorso di organizzazione) e più regioni AWS. È inoltre possibile importare registri da singoli account e percorsi a regione singola. La funzionalità di importazione consente anche di specificare un intervallo di date di importazione, così da poter importare soltanto il sottoinsieme di log necessari per l'archiviazione e l'analisi sul lungo termine in CloudTrail Lake. Una volta consolidati i log, è possibile sottoporli a query, dagli eventi più recenti raccolti dopo l’abilitazione di CloudTrail Lake agli eventi cronologici acquisiti dai trail.

La funzionalità di importazione copia le informazioni del log da S3 a CloudTrail Lake e lascia intatta la copia originale in S3.

È possibile iniziare a eseguire query sulle attività che si verificano dopo l’attivazione della funzionalità quasi immediatamente.

Tra i casi d’uso più comuni rientrano l’analisi degli incidenti di sicurezza, come accessi non autorizzati o compromissione delle credenziali utente, e il miglioramento della posizione di sicurezza attraverso verifiche per impostare le autorizzazioni utente di base. È possibile eseguire le verifiche necessarie per assicurarsi che il giusto set di utenti stia modificando le risorse, come gruppi di sicurezza, e tracciare ogni modifica non conforme alle best practice dell'organizzazione. Inoltre, è possibile tenere traccia delle operazioni compiute sulle proprie risorse e valutare le modifiche o le eliminazioni, ottenendo informazioni dettagliate sulle fatture dei propri servizi AWS, tra cui l’iscrizione degli utenti IAM ai servizi.

Se sei un cliente CloudTrail attuale o nuovo, puoi iniziare immediatamente a utilizzare la funzionalità CloudTrail Lake per eseguire query abilitando la funzione tramite l'API o la console CloudTrail.

Seleziona la scheda CloudTrail Lake nel pannello di sinistra della console CloudTrail e seleziona il pulsante Crea datastore di eventi. Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per il datastore. L’opzione di determinazione del prezzo determina il costo per l’inserimento degli eventi e il periodo di conservazione massimo e predefinito per il datastore di eventi. Quindi, seleziona le categorie di eventi che desideri registrare (gestione, dati ed eventi di attività di rete). Inoltre, è possibile sfruttare le funzionalità avanzate di filtraggio degli eventi per controllare quali eventi CloudTrail vengono inseriti nei propri datastore di eventi, aiutando ad aumentare l’efficienza e a ridurre i costi, mantenendo al contempo la visibilità sulle attività rilevanti. Una volta impostato il datastore di eventi, è possibile eseguire query relative a tutti i datastore di eventi di tua proprietà o che gestisci utilizzando query basate su SQL. Per gli utenti che hanno meno familiarità con SQL, è disponibile la generazione di query in linguaggio naturale per facilitare la creazione di query SQL.

Inoltre, i risultati delle query possono essere riepilogati (in anteprima) utilizzando l'IA generativa, migliorando ulteriormente la capacità di ricavare informazioni dai dati di CloudTrail. Per aiutarti a visualizzare i dati di CloudTrail Lake, puoi utilizzare dashboard predefinite disponibili direttamente nella console CloudTrail, che forniscono visibilità immediata e informazioni chiave dai tuoi dati di audit e sicurezza. Per un monitoraggio e un’analisi più mirati, esiste anche la possibilità di creare dashboard personalizzate su misura per le tue esigenze specifiche.

Sì. È possibile aggiornare l'opzione di prezzo da prezzi di conservazione per sette anni a prezzi di conservazione estendibili per un anno come parte della configurazione del datastore di eventi. I dati esistenti rimarranno disponibili nel datastore di eventi per il periodo di conservazione configurato. Questi dati non comporteranno costi di conservazione prolungati. Tuttavia, tutti i dati acquisiti di recente saranno soggetti ai costi di conservazione estendibili per un anno sia per l’importazione che per la conservazione estesa. 

No. Al momento non supportiamo la migrazione di un datastore di eventi da un prezzo di conservazione estendibile per un anno a un prezzo di conservazione per sette anni. Tuttavia, potrai disattivare la registrazione per il datastore di eventi corrente, creando al contempo un nuovo datastore con prezzi di conservazione a sette anni per i dati appena inseriti. Potrai comunque mantenere e analizzare i dati in entrambi i datastore di eventi secondo la rispettiva opzione di prezzo e il periodo di conservazione configurato.

CloudTrail Lake è un lake di audit che aiuta i clienti a soddisfare le esigenze dei loro casi d’uso in materia di conformità e controllo. In base ai mandati del programma di conformità, i clienti devono conservare i log di audit per una durata specifica a partire dal momento in cui sono stati generati, indipendentemente da quando sono stati inseriti in CloudTrail Lake.

No. Poiché in passato si trattava di un evento storico con un orario prestabilito, questo evento verrà mantenuto in CloudTrail Lake per un periodo di conservazione di 1 anno a partire dalla data dell’evento. Pertanto, la durata per la quale l’evento verrà archiviato in CloudTrail Lake sarà inferiore a 1 anno. 

Le dashboard predefinite di CloudTrail Lake supportano la visualizzazione della gestione, dei dati e degli eventi di Insights di CloudTrail. Inoltre, hai la flessibilità di creare dashboard personalizzate in grado di visualizzare qualsiasi tipo di dati memorizzati nei datastore di eventi, il che consente di personalizzare l’analisi in base alle esigenze specifiche.

Al momento le dashboard sono abilitate a livello di account.

Le dashboard di CloudTrail Lake sono basate sulle query di CloudTrail Lake. Quando abiliti le dashboard di CloudTrail Lake, ti verranno addebitati i dati scansionati. Consulta la pagina dei prezzi per ulteriori informazioni.

Sì, è possibile creare dashboard personalizzate nonché impostare pianificazioni per aggiornarle periodicamente.

CloudTrail Lake offre una suite di dashboard predefinite che soddisfano diversi casi d’uso relativi a sicurezza, conformità, operazioni e gestione delle risorse. Queste dashboard pronte all’uso sono personalizzate per scenari specifici e forniscono un valore immediato sotto vari aspetti della governance del cloud:

• Per il monitoraggio della sicurezza, dashboard come la “Security Monitoring Dashboard” consentono di rilevare gli eventi di sicurezza critici, inclusi gli eventi di accesso negato, i tentativi di accesso falliti e le azioni distruttive.
• Per supportare gli sforzi di conformità, la “IAM Activity Dashboard” fornisce visibilità sulle modifiche alle entità IAM e aiuta a identificare azioni IAM non intenzionali e potenziali problemi di conformità.
• I team che si occupano delle operazioni nel cloud possono utilizzare la “Error Analysis Dashboard” per identificare e risolvere gli errori di limitazione (della larghezza di banda della rete) del servizio e altri problemi operativi tra i diversi servizi.
• Per la gestione delle risorse, la “Resource Changes Dashboard” offre visibilità sulle tendenze nel provisioning, nell’eliminazione e nelle modifiche tra le risorse AWS, comprese le modifiche apportate tramite CloudFormation e manualmente.
• Le organizzazioni possono usufruire della “Organizations Activity Dashboard”, che fornisce informazioni sulla gestione degli account, sui modelli di accesso e sulle modifiche alle policy.
• Le dashboard specifiche dei servizi per EC2, Lambda, DynamoDB e S3 offrono una visibilità dettagliata delle attività di gestione e del piano dati per questi servizi.

È possibile arricchire gli eventi CloudTrail con tag di risorse su AWS Resources: integrando la strategia di tagging delle risorse della tua organizzazione nei tuoi eventi CloudTrail, è più semplice classificare e analizzare le attività di AWS nel contesto delle operazioni aziendali, dei progetti o dei reparti. Ad esempio, supponiamo che tu utilizzi i tag delle risorse per contrassegnare i bucket S3 di produzione che contengono dati critici. Ora è possibile visualizzare facilmente tutti gli eventi CloudTrail che corrispondono a questi tag specifici poiché queste informazioni sono incluse nell’evento stesso. Niente più confronti manuali incrociati tra più sistemi per individuare queste informazioni.
Le IAM Global Condition Keys forniscono un altro modo per aggiungere contesto agli eventi CloudTrail attraverso le chiavi, inclusi i tag principali. Se abilitato, CloudTrail includerà informazioni sulle di condizione AWS che sono state valutate durante il processo di autorizzazione. Ciò può fornire ulteriori dettagli sul principale che effettua la richiesta e sulle caratteristiche specifiche della richiesta stessa. Ad esempio, è possibile visualizzare aws:SourceAccount, per le chiamate API effettuate alla tua risorsa direttamente da un servizio AWS principale. È importante notare che una chiave di condizione apparirà nell’evento arricchito solo se è stata effettivamente valutata come parte della policy IAM durante il processo di autorizzazione.

È possibile arricchire gli eventi CloudTrail durante la configurazione dei datastore di eventi di CloudTrail Lake. Durante il processo di configurazione, avrai la possibilità di specificare quali informazioni aggiuntive desideri includere nella gestione di CloudTrail e negli eventi relativi ai dati. Questa flessibilità consente di personalizzare il livello di informazioni aggiuntive nei log per soddisfare al meglio le esigenze dell’organizzazione in termini di analisi, conformità e monitoraggio della sicurezza. Scopri di più su come arricchire gli eventi CloudTrail qui.

È possibile arricchire la gestione e gli eventi di dati con tag di risorse e chiavi di condizione globali IAM. La disponibilità di queste informazioni aggiuntive dipende da vari fattori, tra cui lo stato delle risorse, il momento in cui i tag vengono modificati e la valutazione delle policy IAM.

CloudTrail aggiorna le informazioni sui tag delle risorse AWS nel migliore dei modi. Nei casi in cui le informazioni sui tag non siano disponibili per CloudTrail nel momento in cui viene effettuata una chiamata API AWS sulla risorsa con tag, CloudTrail non includerà queste informazioni nell’evento CloudTrail corrispondente. CloudTrail utilizza l’API Resource Groups Tagging (RGTA) per recuperare le informazioni sui tag.
Esistono alcuni scenari in cui i tag delle risorse negli eventi CloudTrail non riportano i valori più aggiornati o non sono presenti.

• Un tag di risorsa viene aggiunto o aggiornato su una risorsa AWS dopo la sua creazione. Quando un tag viene modificato su una risorsa AWS, si verifica un breve ritardo prima che CloudTrail acquisisca e visualizzi il nuovo valore del tag nei relativi eventi. Questo ritardo si verifica perché CloudTrail utilizza un modello di calcolo distribuito chiamato consistenza finale.
• Gli eventi CloudTrail per l’eliminazione delle risorse potrebbero non includere informazioni sui tag. Ciò avviene perché la risorsa potrebbe essere eliminata prima che CloudTrail riesca a recuperare i tag associati.
• Gli eventi CloudTrail possono essere ritardati a causa di un problema del servizio. In questi casi, CloudTrail non includerà informazioni sui tag delle risorse. Gli eventi CloudTrail ritardati a causa di tali problemi includono un campo “addendum” che mostra le informazioni sul motivo del ritardo dell’evento.

CloudTrail aggiornerà le chiavi di condizione globali IAM, inclusi i tag principali, man mano che le azioni API vengono autorizzate e vengono generati eventi CloudTrail. Tuttavia, è fondamentale comprendere che CloudTrail includerà una chiave di condizione globale in un evento solo se tale chiave è stata valutata come parte della policy IAM durante il processo di autorizzazione. La semplice configurazione di CloudTrail per includere una chiave di condizione non ne garantisce la presenza in ogni evento. Se CloudTrail è configurato per includere una chiave di condizione globale specifica ma questa non è visibile all’interno di un evento, ciò indica che la chiave in questione non era rilevante per la valutazione della policy IAM per quell’azione, in altre parole, la policy IAM oggetto di valutazione non utilizzava quella chiave di condizione nella sua logica. 

Sì. Un bucket S3 può essere configurato come destinazione per più account. Per istruzioni dettagliate, consulta la sezione relativa all’aggregazione di file di log in un singolo bucket S3 della Guida per l’utente di CloudTrail.

Grazie all’integrazione con CloudWatch Logs, CloudTrail inoltra gli eventi di gestione e gli eventi sui dati che acquisisce in un flusso di log di CloudWatch Logs all’interno del gruppo di log di CloudWatch Logs specificato.

Questa integrazione consente di ricevere notifiche SNS dell'attività dell'account acquisite da CloudTrail. Ad esempio, è possibile creare allarmi di CloudWatch per monitorare le chiamate API che dispongono la creazione, la modifica o l’eliminazione di gruppi di sicurezza o di liste di controllo degli accessi di rete (ACL).

L'integrazione di CloudTrail con i CloudWatch Logs può essere attivata tramite la console CloudTrail specificando un gruppo di log di CloudWatch Logs e un ruolo IAM. È anche possibile utilizzare gli AWS SDK o l'AWS CLI per attivare questa integrazione.

Dopo avere attivato l'integrazione, CloudTrail inizia a distribuire in modo continuo l'attività dell'account in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato. Inoltre, CloudTrail continua a distribuire log nel tuo bucket S3 come prima.

L'integrazione è supportata in tutte le regioni in cui è disponibile CloudWatch Logs. Per ulteriori informazioni, consulta Regioni ed endpoint in Riferimenti generali AWS.

Per distribuire l'attività degli account a CloudWatch Logs, CloudTrail assume il ruolo IAM definito. Le autorizzazioni assegnate al ruolo IAM possono essere limitate in modo da consentire la distribuzione di eventi esclusivamente nel flusso di log di CloudWatch Logs. Per esaminare la policy dei ruoli IAM, consulta la Guida per l’utente nella documentazione di CloudTrail.

Dopo l'attivazione dell'integrazione di CloudTrail con CloudWatch Logs, ti vengono addebitati i costi standard di CloudWatch Logs e di CloudWatch. Per i dettagli, consulta la pagina dei prezzi di CloudWatch. 

La crittografia dei file di log CloudTrail con SSE-KMS permette di aggiungere un livello supplementare di protezione ai file di log di CloudTrail distribuiti a un bucket S3, crittografandoli con una chiave KMS. Per impostazione predefinita, CloudTrail crittografa tutti i file di log distribuiti al bucket S3 specificato utilizzando la crittografia lato server di S3.

Grazie all’opzione SSE-KMS, S3 decrittografa automaticamente i file di log, quindi non è necessario apportare modifiche alle applicazioni esistenti. Come di consueto, è importare accertarsi che l’applicazione disponga delle autorizzazioni necessarie per operare, ad esempio le autorizzazioni GetObject per S3 e Decrypt per AWS KMS.

Per configurare la crittografia dei file di log, puoi utilizzare la Console di gestione AWS, l'interfaccia a riga di comando di AWS o gli SDK AWS. Per istruzioni dettagliate, consulta la documentazione .

Per la crittografia con SSE-KMS, vengono applicate le tariffe standard di AWS KMS. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS KMS.

La convalida dell’integrità dei file di log di CloudTrail è una funzionalità che permette di determinare se un file di log di CloudTrail è rimasto invariato, se è stato eliminato o modificato dal momento in cui CloudTrail lo ha distribuito nel bucket S3 specificato.

È possibile utilizzare la convalida dell’integrità dei file di log come sussidio ai processi di sicurezza e audit IT.

È possibile abilitare la funzionalità di convalida dell’integrità dei file di log di CloudTrail tramite la Console di gestione AWS, AWS CLI o gli SDK AWS.

Quando la funzione di convalida dell'integrità dei file di log viene attivata, CloudTrail distribuisce i file digest ogni ora. I file digest contengono informazioni sui file di log che sono stati consegnati al bucket S3 e i valori hash per tali file di log. Contengono anche le firme digitali per il file digest precedente e la firma digitale per il file digest corrente nella sezione dei metadati S3. Per ulteriori informazioni sui file digest, sulle firme digitali e sui valori hash, consulta la documentazione di CloudTrail .

I file digest vengono distribuiti allo stesso bucket S3 in cui vengono distribuiti i file di log. Tuttavia vengono distribuiti in una cartella diversa in modo da poter applicare policy di controllo degli accessi granulari. Per ulteriori informazioni, consulta la sezione relativa alla struttura dei file digest nella documentazione di CloudTrail .

Puoi utilizzare AWS CLI per convalidare l'integrità di un file di log o di un file digest. Puoi anche costruire i tuoi strumenti per effettuare la convalida. Per ulteriori dettagli su come utilizzare AWS CLI per convalidare l’integrità di un file di log, consulta la documentazione di CloudTrail .

Sì. CloudTrail distribuirà i file digest in tutte le Regioni e in tutti i diversi account nello stesso bucket S3.

La libreria di elaborazione di CloudTrail è una libreria Java che facilita la creazione di applicazioni in grado di leggere ed elaborare i file di log di CloudTrail. È possibile scaricare la libreria di elaborazione di CloudTrail da GitHub .

La libreria di elaborazione di CloudTrail consente di gestire attività quali polling continuo di una coda SQS, lettura e analisi di messaggi Amazon Simple Queue Service (Amazon SQS), download di file di log archiviati in S3 e analisi e serializzazione di eventi di file di log con tolleranza agli errori. Per ulteriori informazioni, consulta la Guida per l’utente nella documentazione di CloudTrail. 

È necessario disporre di aws-java-sdk 1.9.3 e Java 1.7 o versione successiva.

CloudTrail ti permette di visualizzare, cercare e scaricare gratuitamente gli ultimi 90 giorni di eventi di gestione del tuo account. È possibile distribuire gratuitamente una copia degli eventi di gestione in corso su S3 creando un trail. Una volta configurato un trail CloudTrail, vengono applicati i costi di S3 in base all’uso.

È possibile distribuire copie aggiuntive di eventi, inclusi quelli relativi ai dati e alle attività di rete, usando i trail. Ti verranno addebitati gli eventi di dati, gli eventi sull’attività di rete e copie aggiuntive degli eventi di gestione. Scopri di più sulla pagina dei prezzi .

No. La prima copia degli eventi di gestione viene distribuita gratuitamente in ciascuna Regione.

Sì. Ti saranno addebitati solo i costi degli eventi di dati. La prima copia degli eventi di gestione viene inoltrata gratuitamente. 

Quando si utilizza CloudTrail Lake, l'importazione e l'archiviazione si pagano unitamente e la fatturazione si basa sulla quantità di dati non compressi importati e sulla quantità di dati compressi archiviati. Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per il datastore. L'opzione di determinazione del prezzo determina il costo per l'inserimento degli eventi e il periodo di conservazione massimo e predefinito per il datastore di eventi. I costi di interrogazione si basano sui dati compressi che scegli di analizzare. Scopri di più sulla pagina dei prezzi .

Sì. Ogni evento CloudTrail, in media, è di circa 1.500 byte. Utilizzando questa mappatura, sarai in grado di stimare l’importazione di CloudTrail Lake in base all’utilizzo di CloudTrail del mese precedente nei trail in base al numero di eventi.

È possibile abilitare la gestione di CloudTrail e gli eventi di dati su CloudWatch Logs senza creare un trail. Gli addebiti vengono applicati in base al volume di log, espresso in GB, inviati a CloudWatch Logs. Ciò comporta sia costi di consegna degli eventi CloudTrail pari a 0,25 USD/GB, sia costi di inserimento di CloudWatch Logs pari a 0,50 USD/GB, portando i costi end-to-end per l’invio dei dati CloudTrail a CloudWatch Logs a 0,75 USD/GB. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudTrail.

Vari partner offrono soluzioni integrate per analizzare i file di log di CloudTrail. Queste soluzioni includono caratteristiche come il rilevamento di modifiche, la risoluzione di problemi e l'analisi di sicurezza. Per ulteriori informazioni, consulta la sezione relativa ai partner di CloudTrail .

Per iniziare a utilizzare la tua integrazione, è possibile consultare la Guida all’onboarding per i partner . Coordinati con il team di sviluppo dei partner o i solutions architect del partner per contattare il team di CloudTrail Lake per approfondimenti o ulteriori domande.

No. L’attivazione di CloudTrail non incide sulle prestazioni delle risorse AWS o sulla latenza delle chiamate API.