Domande generali

D: Cos'è AWS CloudTrail?

AWS CloudTrail permette la verifica, la sicurezza, il monitoraggio di sicurezza e la risoluzione dei problemi operazionali tracciando l'attività degli utenti e l'utilizzo delle API. CloudTrail registra, monitora continuamente e conserva l'attività dell'account relativa alle azioni nella tua infrastruttura AWS, dandoti il controllo sull'archiviazione, l'analisi e le azioni di ripristino.

D: Quali sono i vantaggi derivanti dall'utilizzo di CloudTrail?

CloudTrail ti aiuta a dimostrare la conformità, a migliorare la posizione di sicurezza e a consolidare i registri delle attività in tutte le regioni e gli account. CloudTrail fornisce visibilità sull’attività degli utenti registrando le azioni eseguite sul tuo account. Cloudtrail registra le informazioni importanti su ciascuna operazione, tra cui l'autore della richiesta, i servizi utilizzati, le azioni intraprese, i parametri per le azioni e gli elementi di risposta restituiti dal servizio AWS. Queste informazioni consentono di monitorare le modifiche apportate alle tue risorse AWS e di risolvere i problemi operativi. CloudTrail rende più semplice garantire la conformità con policy interne e standard normativi. Per ulteriori dettagli, consulta il whitepaper sulla conformità AWS "Sicurezza su vasta scala: accesso in AWS".

D: A chi si rivolge CloudTrail?

Dovresti usare CloudTrail se hai bisogno di verificare l'attività, monitorare la sicurezza o risolvere problemi operativi.

Nozioni di base

D: Se sono un utente di AWS, nuovo o esistente, e non ho configurato CloudTrail, devo abilitare o configurare qualche impostazione per vedere l’attività del mio account?

No, non è necessaria alcuna operazione per vedere l’attività del tuo account. È sufficiente accedere alla console di AWS CloudTrail o ad AWS CLI per visualizzare l’attività dell’account degli ultimi 90 giorni.

D: La cronologia eventi di CloudTrail mostra tutta l’attività del mio account?

AWS CloudTrail mostra solo i risultati dello storico degli eventi di CloudTrail per la regione corrente per gli ultimi 90 giorni e supporta esclusivamente una gamma di servizi AWS. Gli eventi inclusi sono solo gli eventi di gestione con chiamate API di creazione, modifica ed eliminazione ed eventi correlati all’attività dell'account. Per un registro completo dell'attività dell’account, inclusi tutti gli eventi di gestione, gli eventi sui dati e l’attività in sola lettura, è necessario configurare un percorso CloudTrail.

D: Quali filtri di ricerca posso impiegare per visualizzare l’attività dell'account?

Puoi specificare l'intervallo di tempo e uno dei seguenti attributi: nome dell'evento, nome dell'utente, nome della risorsa, fonte dell'evento, ID dell'evento e tipo di risorsa.

D: Posso utilizzare il comando lookup-events della CLI anche se non ho configurato un percorso?

Sì, puoi accedere alla console di CloudTrail oppure utilizzare l’API o CLI di CloudTrail per consultare l’attività dell'account degli ultimi 90 giorni.

D: Quali caratteristiche aggiuntive di CloudTrail sono disponibili dopo la creazione di un percorso?

Configura un percorso CloudTrail per distribuire i tuoi eventi CloudTrail ad Amazon S3, Amazon CloudWatch Logs e Amazon CloudWatch Events. Potrai quindi sfruttare le caratteristiche di questi servizi per archiviare, analizzare ed eseguire azioni in risposta alle modifiche nelle risorse AWS.

D: Posso limitare l'accesso degli utenti alla visualizzazione della cronologia eventi CloudTrail?

Sì, CloudTrail si integra con AWS Identity and Access Management (IAM), che permette di controllare l’accesso a CloudTrail e ad altre risorse AWS necessarie per CloudTrail, consentendo quindi di limitare anche le autorizzazioni di visualizzazione e di esecuzione di ricerche nell’attività dell'account. Rimuovi "cloudtrail:LookupEvents" dalla policy IAM degli utenti, impedendo così agli utenti IAM di visualizzare l’attività dell'account.

D: Sono previsti costi per l'attivazione dello storico degli eventi di CloudTrail al momento della creazione di un account?

La visualizzazione o la ricerca all'interno dell’attività di un account con lo storico degli eventi di CloudTrail non prevede alcun costo.

D: Posso disattivare lo storico degli eventi di CloudTrail per il mio account?

Per qualsiasi traccia CloudTrail creata, è possibile interrompere la registrazione o eliminare le tracce. Questo fermerà inoltre la distribuizione dell'attività degli account al bucket S3 che hai designato come parte della configurazione delle tracce, così come la distribuzione a CloudWatch Logs se configurato. L’attività dell'account degli ultimi 90 giorni sarà comunque raccolta e consultabile all'interno della console di CloudTrail e tramite la AWS Command Line Interface (CLI).

Regioni e servizi supportati

D: Quali servizi supporta CloudTrail?

AWS CloudTrail registra l’attività di un account e gli eventi generati dalla maggior parte dei servizi AWS. Per un elenco dei servizi supportati, consulta la sezione relativa ai servizi CloudTrail supportati nella guida per l’utente di CloudTrail.

D: Le chiamate API effettuate dalla Console di gestione AWS vengono registrate?

Sì. CloudTrail registra le chiamate API effettuate da qualsiasi client. La Console di gestione AWS, i kit di sviluppo software di AWS (SDK), gli strumenti a riga di comando e i servizi AWS di livello superiore chiamano le API AWS: pertanto, queste chiamate vengono registrate.

D: Dove vengono archiviati ed elaborati i file di log prima che vengano distribuiti al bucket Amazon S3?

Le informazioni sull’attività per i servizi con endpoint regionali (EC2, RDS e così via) vengono acquisite ed elaborate nella stessa regione in cui viene eseguita l’operazione, quindi vengono distribuite nella regione associata al tuo bucket Amazon S3. Le informazioni sull'attività per i servizi con singoli endpoint come IAM e AWS Security Token Service (STS) vengono acquisite nella Regione in cui si trova l'endpoint, elaborate nella Regione in cui è configurato CloudTrail e distribuite nella Regione associata al tuo bucket Amazon S3.

Applicazione di un percorso a tutte le regioni

D: Cosa significa applicare un percorso a tutte le regioni?

L'applicazione di un percorso a tutte le Regioni AWS implica la creazione di un percorso che registrerà l’attività di un account AWS in tutte le Regioni in cui i tuoi dati sono archiviati. Questa impostazione si applica anche alle eventuali nuove regioni aggiunte. Per ulteriori dettagli su regioni e partizioni, consulta la pagina relativa ai nomi delle risorse di Amazon e agli spazi dei nomi di AWS Service.

D: Quali sono i vantaggi dell'applicazione di un percorso a tutte le regioni?

Puoi creare e gestire un percorso in tutte le regioni della partizione con una sola chiamata API o con qualche clic. Riceverai un registro dell’attività dell’account eseguita nel tuo account AWS in tutte le regioni in un bucket Amazon S3 in un gruppo di registri di CloudWatch. Quando AWS avvia una nuova regione, riceverai i file di log contenenti lo storico degli eventi per la nuova regione senza dover eseguire alcuna operazione.

D: Come si applica un percorso a tutte le Regioni?

Nella console CloudTrail, seleziona Yes (Sì) per applicare un percorso a tutte le Regioni nella pagina di configurazione del percorso. Se utilizzi gli SDK o AWS CLI, imposta IsMultiRegionTrail su ‘true’.

D: Cosa succede quando applico un percorso a tutte le regioni?

Quando applichi un percorso a tutte le regioni, CloudTrail crea un nuovo percorso replicandone la configurazione. CloudTrail quindi registra ed elabora i file di log in ogni regione distribuendo i file di log contenenti l’attività dell’account in tutte le Regioni AWS in un singolo bucket Amazon S3 e in un singolo gruppo di registri di CloudWatch Logs. Se hai specificato un argomento Amazon Simple Notification Service (SNS) opzionale, CloudTrail distribuisce le notifiche SNS per tutti i file di log distribuiti a un singolo argomento SNS.

D: Posso applicare un percorso esistente a tutte le Regioni?

Sì. Sì, puoi applicare un itinerario esistente a tutte le regioni. Quando applichi un percorso esistente a tutte le regioni, CloudTrail crea un nuovo percorso per tutte le regioni. Se hai già creato percorsi in altre regioni, puoi visualizzare, modificare ed eliminare questi percorsi dalla console CloudTrail.

D: Quanto tempo impiega CloudTrail a replicare la configurazione del percorso in tutte le regioni?

Di solito sono sufficienti meno di 30 secondi per replicare la configurazione del percorso in tutte le Regioni.

Percorsi multipli

D: Quanti itinerari posso creare in una regione AWS?

In una regione AWS puoi creare fino a cinque itinerari. Un percorso che si applica a tutte le Regioni esiste in ogni Regione e viene contato come un percorso in ogni Regione.

D: Qual è il vantaggio di creare più percorsi in una Regione AWS?

Con più percorsi le varie parti interessate come gli amministratori della sicurezza, gli sviluppatori di software e i revisori IT possono creare e gestire i loro percorsi. Ad esempio, un amministratore della sicurezza può creare un percorso che si applica a tutte le regioni e configurare la crittografia utilizzando una sola chiave Amazon Key Management Service (KMS). Uno sviluppatore può creare un percorso che si applica a una sola regione per risolvere problemi operativi.

D: CloudTrail supporta le autorizzazioni a livello delle risorse?

Sì. Utilizzando le autorizzazioni a livello delle risorse puoi creare policy di controllo di accesso granulare per permettere o proibire l'accesso a utenti specifici per un particolare percorso. Per ulteriori dettagli, consulta la documentazione di CloudTrail.

Sicurezza e scadenza

D: In che modo posso proteggere i miei file di log di CloudTrail?

Per default, i file di log di CloudTrail vengono crittografati utilizzando la crittografia lato server (Server Side Encryption, SSE) Amazon S3, quindi vengono inseriti nel bucket S3. Puoi controllare l’accesso ai file di log con le policy IAM o il bucket S3. Puoi aggiungere un livello di protezione supplementare abilitando la funzione di autenticazione a più fattori (Multi Factor Authentication, MFA) Delete S3 sul tuo bucket S3. Per ulteriori dettagli sulla creazione e l’aggiornamento di un percorso, consulta la documentazione di CloudTrail.

D: Dove posso scaricare un esempio di policy di bucket S3 e una policy di argomento SNS?

Puoi scaricare un esempio di policy di bucket S3 e di policy di argomento SNS dal bucket S3 di CloudTrail. Devi aggiornare gli esempi di policy con le tue informazioni prima di applicarle al tuo bucket S3 o al tuo argomento SNS.

D: Per quanto tempo posso archiviare i file di log delle mie attività?

La policy di retention dei file di log CloudTrail è personalizzabile. Per default, i file di log vengono memorizzati per un periodo illimitato. Per definire una policy di retention, puoi impiegare le regole di gestione del ciclo di vita degli oggetti Amazon S3 . Per esempio, puoi eliminare i vecchi file di log o archiviarli in Amazon Glacier.

Payload di eventi, tempistica e frequenza di distribuzione

D: Quali informazioni sono disponibili in un evento?

Un evento contiene le informazioni importanti della relativa attività, tra cui l'autore della richiesta, i servizi impiegati, le operazioni eseguite, i parametri dell’azione e gli elementi di risposta restituiti dal servizio AWS. Per ulteriori dettagli, consulta la sezione Referenza eventi CloudTrail della guida per l’utente.

D: Quanto tempo impiega CloudTrail per distribuire un evento di una chiamata API?

Di solito CloudTrail distribuisce un evento entro 15 minuti dalla chiamata API.

D: Con quale frequenza CloudTrail distribuisce i file di log in un bucket Amazon S3?

CloudTrail distribuisce i file di log al tuo bucket Amazon S3 circa ogni cinque minuti. CloudTrail non distribuisce file di log se non ci sono state chiamate API sul tuo account.

D: Posso ricevere notifiche quando vengono distribuiti nuovi file di log in un bucket Amazon S3?

Sì. Puoi attivare le notifiche Amazon SNS per eseguire un’operazione non appena ricevi nuovi file di log.

D: Cosa succede se CloudTrail è stato attivato sul mio account, ma il bucket Amazon S3 non è configurato con la policy corretta?

I file di log CloudTrail vengono distribuiti in conformità con le policy del bucket S3 da te definite. Se le policy del bucket non sono configurate correttamente, CloudTrail potrebbe non essere in grado di distribuire i file di log.

Eventi sui dati

D: Cosa si intende per eventi sui dati?

Gli eventi sui dati forniscono informazioni dettagliate sulle operazioni delle risorse ("piano dati") eseguite su o all'interno della risorsa stessa. Gli eventi sui dati sono spesso attività a volume elevato e includono operazioni relative alle API a livello oggetto di Amazon S3 e alle API di chiamata delle funzioni Lambda. Quando si configura un itinerario, gli eventi sui dati sono disabilitati per default. Per registrare gli eventi sui dati CloudTrail, è necessario aggiungere esplicitamente le risorse o i tipi di risorse supportati su cui si desidera raccogliere attività. A differenza degli eventi di gestione, gli eventi sui dati prevedono costi aggiuntivi. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudTrail.

D: In che modo posso utilizzare gli eventi sui dati?

Gli eventi sui dati vengono registrati da AWS CloudTrail e distribuiti ad Amazon S3, in modo analogo agli eventi di gestione. Una volta abilitati, questi eventi sono disponibili anche in Amazon CloudWatch Events.

D: Cosa sono gli eventi sui dati di Amazon S3? In che modo posso registrarli?

Gli eventi sui dati di Amazon S3 rappresentano l'attività API sugli oggetti di Amazon S3. Per fare in modo che CloudTrail registri queste azioni, devi specificare un bucket S3 nella sezione degli eventi sui dati al momento della creazione di un nuovo itinerario oppure della modifica di uno esistente. Qualsiasi operazione API sugli oggetti all'interno del bucket S3 specificato vengono registrate da CloudTrail.

D: Cosa sono gli eventi sui dati di AWS Lambda? In che modo posso registrarli?

Gli eventi sui dati AWS Lambda registrano le attività di esecuzione delle funzioni Lambda. Con gli eventi sui dati Lambda puoi ottenere i dettagli delle esecuzioni delle funzioni Lambda, come l'utente IAM o il servizio che effettua la chiamata API di chiamata, quando è avvenuta la chiamata e quale funzione è stata eseguita. Tutti gli eventi sui dati Lambda vengono forniti in un bucket Amazon S3 e in Amazon CloudWatch Events. Puoi attivare la registrazione per gli eventi sui dati AWS Lambda utilizzando AWS CLI o la console di AWS CloudTrail e selezionare quali funzioni Lambda registrare creando un nuovo percorso o modificandone uno esistente.

Amministratore delegato

D: Posso aggiungere un amministratore delegato alla mia organizzazione?

Sì, CloudTrail supporta ora l'aggiunta di un massimo di tre amministratori delegati per organizzazione.

D: Chi è il titolare di un trail dell'organizzazione o di un archivio dati di eventi a livello di organizzazione creato da un amministratore delegato?

L'account di gestione rimarrà il titolare di tutti i trail dell'organizzazione o degli archivi di dati eventi creati a livello dell’organizzazione, indipendentemente dal fatto che sia stato creato da un account amministratore delegato o da un account di gestione.

D: In quali regioni è disponibile il supporto per gli amministratori delegati?

Attualmente, il supporto con amministratore delegato per CloudTrail è disponibile in tutte le regioni in cui è disponibile AWS CloudTrail, ad eccezione delle regioni in Cina.

CloudTrail Insights

D: Cosa sono gli eventi di CloudTrail Insights?

Gli eventi di AWS CloudTrail Insights aiutano i clienti a identificare attività insolite all'interno dei loro account AWS, come picchi di attività nel provisioning delle risorse, aumenti improvvisi di operazioni di AWS Identity and Access Management (IAM) o intervalli nelle attività periodiche di manutenzione. CloudTrail Insights utilizza modelli di machine learning (ML) che monitorano costantemente gli eventi di gestione della scrittura di CloudTrail in cerca di attività insolite.

Quando viene rilevata un'attività insolita, gli eventi di CloudTrail Insights vengono mostrati nella console e inviati ad Amazon CloudWatch Events, al bucket Amazon S3 e, se lo desideri, al gruppo di Amazon CloudWatch Logs. In tal modo puoi creare gli avvisi e integrarli con i sistemi di gestione eventi e flussi di lavoro esistenti.

D: Quali tipi di attività vengono identificati da AWS CloudTrail Insights?

CloudTrail Insights rileva le attività insolite analizzando gli aventi di gestione della scrittura all'interno di una regione e un account AWS. Un evento insolito o atipico viene definito in base al volume di chiamate API AWS che differiscono dalle previsioni effettuate a partire da una linea di base o da un modello operativo stabilito prestabilito. CloudTrail Insights si adatta alle modifiche dei consueti modelli operativi prendendo in considerazione trend basati sul tempo nelle chiamate API e applicando le linee di base sulle modifiche dei flussi di lavoro.

CloudTrail Insights può aiutarti a rilevare script o applicazioni che si comportano in modo diverso dal normale. Succede spesso che uno sviluppatori decida di modificare uno script o un'applicazione che esegue operazioni ripetitive o effettua un gran numero di chiamate a risorse indesiderate come database, archivi di dati o altre funzioni. Spesso questo comportamento non viene notato se non al momento della fatturazione a fine mese, quando si rileva un aumento inatteso dei costi o si verifica un'interruzione effettiva. Gli eventi di CloudTrail Insights possono aiutarti a rilevare queste modifiche nell'account AWS, in modo da poter apportare azioni correttive in maniera rapida.

D: Come funziona CloudTrail Insights con gli altri servizi AWS che utilizzano il rilevamento delle anomalie?

CloudTrail Insights può aiutarti a identificare attività operative insolite negli account AWS che ti consentono di affrontare problemi operativi, riducendo l'impatto operativo e aziendale. Amazon GuardDuty serve ad aumentare la sicurezza dell'account e fornisce rilevamento delle minacce mediante il monitoraggio delle attività dell'account. Amazon Macie è progettato per aumentare la protezione dei dati nell'account tramite operazioni di rilevamento, classificazione e protezione dei dati sensibili. Questi servizi offrono protezione complementare contro diversi tipi di problematiche che possono emergere nell'account.

D: È necessario impostare AWS CloudTrail per permettere a CloudTrail Insights di funzionare?

Sì. Gli eventi di CloudTrail Insights sono configurati in singoli trail, pertanto deve essercene almeno uno configurato. Quando attivi gli eventi di CloudTrail Insights per un trail, CloudTrail inizia a monitorare gli eventi di gestione della scrittura sul trail in cerca di modelli insoliti. Se CloudTrail Insights rileva un'attività insolita, un evento CloudTrail Insights viene caricato nella destinazione di distribuzione specificata nella definizione del percorso.

D: Quali tipi di eventi è in grado di monitorare CloudTrail?

CloudTrail Insights monitora le attività insolite per API di gestione della scrittura.

D: Come si inizia a usare il servizio?

È possibile abilitare gli eventi di CloudTrail Insights su singoli trail nell'account utilizzando la console, la CLI o l'SDK. È anche possibile abilitare gli eventi di CloudTrail Insights nella tua organizzazione utilizzando un trail organizzativo configurato nell'account master di AWS Organizations. Puoi attivare gli eventi di CloudTrail Insights scegliendo il pulsante radio nella definizione del percorso.

CloudTrail Lake

D: Qual è il vantaggio di utilizzare AWS CloudTrail Lake?

CloudTrail Lake permette di esaminare gli incidenti sottoponendo a query tutte le operazioni registrate da CloudTrail. Semplifica la registrazione degli incidenti aiutandoti ad eliminare dipendenze operative, fornendo strumenti che ti permettono di essere meno dipendente da complesse pipeline di processi di dati che si estendono all’interno del team. CloudTrail Lake non richiede di spostare e importare registri di CloudTrail altrove, il che aiuta a mantenere la fedeltà dei dati ed elimina il problema dei limiti di bassa velocità che "soffocano" i registri. Inoltre, fornisce latenze in tempo reale, dal momento che è ottimizzato per registri strutturati per volumi elevati, rendendoli disponibili per l’analisi degli incidenti. In più, attraverso SQL, CloudTrail Lake fornisce una esperienza di query familiare e multi-attributo, ed è capace di pianificare e gestire più query contemporaneamente.

D: In che modo questa caratteristica si collega e funziona con gli altri servizi AWS?

AWS CloudTrail è la fonte canonica dei registri per l’attività utente e per l’utilizzo di API nei servizi AWS. Quando i registri sono disponibili in CloudTrail, potrai sfruttare CloudTrail Lake per esaminare le attività nei servizi AWS. È possibile interrogare e analizzare l'attività degli utenti e le risorse coinvolte e utilizzare i dati per identificare utenti malintenzionati e stabilire una linea di base per le autorizzazioni.

D: Se ho usato dei percorsi in passato, posso importare i registri CloudTrail esistenti nel mio datastore di eventi Data Lake CloudTrail nuovo o esistente?

Sì. La funzionalità di importazione di Data Lake CloudTrail supporta la copia dei registri CloudTrail da un bucket Amazon S3 che archivia registri da più account (da un percorso di organizzazione) e più regioni AWS. È inoltre possibile importare registri da singoli account e percorsi a regione singola. La funzionalità di importazione consente anche di specificare un intervallo di date di importazione, così da poter importare soltanto il sottoinsieme di registri necessari per l'archiviazione e l'analisi sul lungo termine in Data Lake CloudTrail. Una volta consolidati i registri, è possibile sottoporli a query, dagli eventi più recenti raccolti dopo l'abilitazione di Data Lake agli eventi storici acquisiti dai percorsi.

D: La funzionalità di importazione incide sul percorso originale in Amazon S3?

La funzionalità di importazione copia le informazioni di registro da Amazon S3 a Data Lake CloudTrail e lascia intatta la copia originale in Amazon S3.

D: Quali eventi CloudTrail posso sottoporre a query, dopo aver abilitato la funzionalità Data Lake CloudTrail?

Puoi abilitare CloudTrail Lake per ogni categoria di eventi registrata da CloudTrail, in base al problema interno che desideri risolvere. Le categorie di eventi includono eventi di gestione che bloccano attività del piano di controllo (control-plane) come CreateBucket e TerminateInstances, ed eventi dati che bloccano attività del piano dati come GetObject e PutObject. Non è richiesta alcuna sottoscrizione separata per questi eventi. Puoi impostare la durata di conservazione degli eventi fino a 7 anni, e puoi sottoporre a query i dati in qualsiasi momento.

D: Una volta abilitata la funzione CloudTrail Lake, dopo quanto tempo posso iniziare ad eseguire query?

Dopo aver abilitato la caratteristica, puoi sottoporre a query le attività quasi immediatamente.

D: Quali sono in casi d’uso operativi e di sicurezza più comuni risolvibili con CloudTrail Lake?

Tra i casi d’uso più comuni rientrano l’analisi degli incidenti di sicurezza, come accessi non autorizzati o compromissione delle credenziali utente, e il miglioramento della posizione di sicurezza attraverso verifiche per impostare le autorizzazioni utente di base. É possibile eseguire verifiche ad-hoc per assicurarsi che il giusto set di utenti stia modificando le risorse, come gruppi di sicurezza, e tracciare ogni modifica non conforme alle best practice dell’organizzazione. Inoltre, puoi tenere traccia delle operazioni compiute sulle tue risorse e valutare le modifiche o le eliminazioni, ottenendo informazioni dettagliate sulle fatture dei tuoi servizi AWS, tra cui l’iscrizione degli utenti IAM ai servizi.

D: Come inizio a usare il servizio?

Tutti i clienti nuovi e attuali di AWS CloudTrail possono iniziare immediatamente a utilizzare la funzione CloudTrail Lake per eseguire query, abilitando la caratteristica tramite API o la console di CloudTrail. Seleziona la scheda Lake sul pannello a sinistra nella console CloudTrail e fai clic sul pulsante Crea archivio dati eventi per scegliere la durata di conservazione degli eventi (fino a 7 anni) e, per iniziare, seleziona gli eventi tra tutte le categorie di eventi registrati da CloudTrail (eventi di gestione e dati).

Inoltre, è possibile utilizzare query di esempio per iniziare a compilare query utili in scenari comuni, come l'identificazione di registri di errori di autorizzazione per AssumeRole, o creare le proprie query per iniziare la ricerca.

Aggregazione di file di log

D: Ho più account AWS. Vorrei che i file di log di tutti gli account venissero distribuiti in un singolo bucket S3. È possibile?

Sì. Un bucket Amazon S3 può essere configurato come destinazione per più account. Per istruzioni dettagliate, consulta la sezione relativa all’aggregazione di file di log in un singolo bucket Amazon S3 della guida per l’utente di AWS CloudTrail.

Integrazione con CloudWatch Logs

D: In cosa consiste l'integrazione di CloudTrail con CloudWatch Logs?

Grazie all'integrazione con CloudWatch Logs, CloudTrail distribuisce gli eventi di gestione e gli eventi sui dati che acquisisce in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato.

D: Quali sono i vantaggi dell'integrazione di CloudTrail con CloudWatch Logs?

Questa integrazione consente di ricevere notifiche Amazon SNS dell’attività dell'account acquisite da CloudTrail. Ad esempio, è possibile creare allarmi di CloudWatch per monitorare le chiamate API che dispongono la creazione, la modifica o l'eliminazione di gruppi di sicurezza o di liste di controllo degli accessi di rete (ACL).

D: Come si attiva l'integrazione di CloudTrail con CloudWatch Logs?

L'integrazione di CloudTrail con i CloudWatch Logs può essere attivata tramite la console CloudTrail specificando un gruppo di log di CloudWatch Logs e un ruolo IAM. Per attivare questa integrazione, puoi anche utilizzare gli SDK AWS o AWS CLI.

D: Cosa succede quando viene attivata l'integrazione di CloudTrail con CloudWatch Logs?

Dopo avere attivato l'integrazione, CloudTrail inizia a distribuire in modo continuo l’attività dell'account in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato. Inoltre, CloudTrail continua a distribuire log nel tuo bucket Amazon S3 come prima.

D: In quali Regioni AWS è supportata l'integrazione di CloudTrail con CloudWatch Logs?

L'integrazione è supportata in tutte le regioni in cui è disponibile CloudWatch Logs. Per ulteriori informazioni, consulta la sezione relativa alle Regioni e agli endpoint nel documento di riferimento generale su Amazon Web Services.

D: In che modo CloudTrail distribuisce gli eventi che contengono l’attività dell’account a CloudWatch Logs?

Per distribuire l’attività degli account a CloudWatch Logs, CloudTrail assume il ruolo IAM definito. Le autorizzazioni assegnate al ruolo IAM possono essere limitate in modo da consentire la distribuzione di eventi esclusivamente nel flusso di log di CloudWatch Logs. Per esaminare la policy dei ruoli IAM, consulta la guida per l’utente nella documentazione di CloudTrail.

D: Quali costi vengono addebitati attivando l'integrazione di CloudTrail con CloudWatch Logs?

Dopo l’attivazione dell’integrazione di CloudTrail con CloudWatch Logs, ti vengono addebitati i costi standard di CloudWatch Logs e di CloudWatch. Per i dettagli, consulta la pagina dei prezzi di CloudWatch.

Crittografia dei file di log CloudTrail con AWS Key Management Service (KMS)

D: Quali sono i vantaggi della crittografia dei file di log di CloudTrail eseguita mediante la crittografia lato server con KMS?

La crittografia dei file di log CloudTrail con SSE-KMS permette di aggiungere un livello supplementare di protezione ai file di log di CloudTrail distribuiti a un bucket Amazon S3, crittografandoli con una chiave KMS. Di default, CloudTrail crittografa tutti i file di log distribuiti al bucket Amazon S3 specificato utilizzando la crittografia lato server di Amazon S3.

D: Ho un'applicazione che importa ed elabora i file di log di CloudTrail. È necessario modificarla?

Grazie all'opzione SSE-KMS, Amazon S3 decrittografa automaticamente i file di log, quindi non è necessario apportare modifiche alle applicazioni esistenti. Come di consueto, è importare accertarsi che le applicazioni dispongano delle autorizzazioni necessarie per operare, ad esempio GetObject per Amazon S3 e Decrypt per KMS.

D: In che modo è possibile configurare la crittografia dei file di log di CloudTrail?

Per configurare la crittografia dei file di log, puoi utilizzare la Console di gestione AWS, l’interfaccia a riga di comando di AWS o gli SDK AWS. Per istruzioni dettagliate, consulta la documentazione.

D: Quali costi vengono addebitati se configuro la crittografia con SSE-KMS?

Per la crittografia con SSE-KMS, vengono applicate le tariffe standard di AWS KMS. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS KMS.

Convalida dell'integrità dei file di log CloudTrail

D: In cosa consiste la convalida dell'integrità dei file di log di CloudTrail?

La convalida dell'integrità dei file di log di CloudTrail è una funzione che permette di determinare se un file di log di CloudTrail è rimasto invariato, se è stato eliminato o modificato dal momento in cui CloudTrail lo ha distribuito nel bucket Amazon S3 specificato.

D: Qual è il vantaggio della convalida dell'integrità dei file di log di CloudTrail?

Puoi utilizzare la convalida dell'integrità dei file di log come supporto per i processi di sicurezza e verifica IT.

D: In che modo è possibile attivare la convalida dell'integrità dei file di log di CloudTrail?

È possibile attivare la funzione di convalida dell'integrità dei file di log di CloudTrail tramite la Console di gestione AWS, AWS CLI o gli SDK AWS.

D: Cosa succede quando viene attivata la funzione di convalida dell'integrità dei file di log?

Quando la funzione di convalida dell’integrità dei file di log viene attivata, CloudTrail distribuisce i file digest ogni ora. I file digest contengono informazioni sui file di log distribuiti nel tuo bucket Amazon S3, i valori hash di questi file di log, le firme digitali per il file digest precedente e la firma digitale per il file digest attuale nella sezione dei metadati di Amazon S3. Per ulteriori informazioni sui file digest, sulle firme digitali e sui valori hash, consulta la documentazione di CloudTrail..

D: Dove vengono distribuiti i file digest?

I file digest vengono distribuiti allo stesso bucket Amazon S3 in cui vengono distribuiti i file di log. Tuttavia vengono distribuiti in una cartella diversa in modo da poter applicare policy di controllo degli accessi granulari. Per ulteriori informazioni, consulta la sezione relativa alla struttura dei file digest nella documentazione di CloudTrail.

D: In che modo è possibile convalidare l'integrità di un file di log o di un file digest distribuito da CloudTrail?

Puoi utilizzare AWS CLI per convalidare l’integrità di un file di log o di un file digest. Puoi anche costruire i tuoi strumenti per effettuare la convalida. Per ulteriori dettagli su come utilizzare AWS CLI per convalidare l'integrità di un file di log, consulta la documentazione di CloudTrail.

D: Aggrego tutti i miei file di log per tutte le Regioni e per più account in un solo bucket Amazon S3. I file digest verranno distribuiti nello stesso bucket Amazon S3?

Sì. CloudTrail distribuirà i file digest in tutte le Regioni e in tutti i diversi account nello stesso bucket Amazon S3.

Libreria di elaborazione di AWS CloudTrail

D: Cos'è la libreria di elaborazione di AWS CloudTrail?

La libreria di elaborazione di AWS CloudTrail è una libreria Java che facilita la creazione di applicazioni in grado di leggere ed elaborare i file di log di CloudTrail. Per scaricare la libreria di elaborazione di CloudTrail, accedi a GitHub.

D: Quali funzionalità offre la libreria di elaborazione di CloudTrail?

La libreria di elaborazione di CloudTrail consente di gestire attività quali polling continuo di una coda SQS, lettura e analisi di messaggi Amazon Simple Queue Service (SQS), download di file di log archiviati in Amazon S3 e analisi e serializzazione di eventi di file di log con tolleranza agli errori. Per ulteriori informazioni, consulta la sezione della guida per l'utente nella documentazione di CloudTrail.

D: Quali software occorrono per iniziare a utilizzare la libreria di elaborazione di CloudTrail?

È necessario disporre di aws-java-sdk versione 1.9.3 e di Java 1.7 o versione successiva.

Prezzi

D: Come vengono addebitati i costi per l'utilizzo di AWS CloudTrail?

AWS CloudTrail ti permette di visualizzare, cercare e scaricare gratuitamente gli ultimi 90 giorni di eventi di gestione del tuo account. È possibile distribuire gratuitamente una copia degli eventi di gestione in corso ad Amazon S3 creando un percorso. Una volta configurato un percorso CloudTrail, vengono applicati i costi di Amazon S3 in base all'uso.

I percorsi consentono di distribuire ulteriori copie di eventi, inclusi gli eventi sui dati. Ti saranno addebitati i costi degli eventi sui dati o delle copie aggiuntive degli eventi di gestione. Ulteriori informazioni nella Pagina dei prezzi.

D: Se è disponibile un solo percorso con eventi di gestione e viene applicato a tutte le regioni, saranno addebitati costi aggiuntivi?

No. La prima copia degli eventi di gestione viene distribuita gratuitamente in ciascuna Regione.

D: Se abilito gli eventi sui dati in un percorso esistente con eventi di gestione gratuiti, mi saranno addebitati costi aggiuntivi?

Sì. Ti saranno addebitati i costi degli eventi sui dati. La prima copia degli eventi di gestione viene inoltrata gratuitamente.

Partner

D: In che modo risultano utili le soluzioni partner AWS per analizzare gli eventi registrati da CloudTrail?

Vari partner offrono soluzioni integrate per analizzare i file di log di CloudTrail. Queste soluzioni includono caratteristiche come il rilevamento di modifiche, la risoluzione di problemi e l’analisi di sicurezza. Per ulteriori informazioni, consulta la sezione relativa ai partner di CloudTrail.

Altro

D: L'attivazione di CloudTrail può incidere sulle prestazioni delle risorse AWS in uso o aumentare la latenza delle chiamate API?

No. L’attivazione di CloudTrail non incide sulle prestazioni delle risorse AWS o sulla latenza delle chiamate API.

Ulteriori informazioni sui partner di AWS CloudTrail

Visita la pagina dei partner
Tutto pronto per cominciare?
Inizia a usare AWS CloudTrail
Hai altre domande?
Contattaci