D: Cos'è AWS CloudTrail?
AWS CloudTrail è un servizio Web che registra le attività di un account e ne inoltra i file di log in un bucket Amazon S3.

D: Quali sono i vantaggi dell'utilizzo di CloudTrail?
CloudTrail fornisce visibilità sulle attività degli utenti registrando le azioni eseguite nell'account. CloudTrail registra le informazioni più importanti di ciascuna operazione, tra cui l'autore della richiesta, i servizi impiegati, le azioni eseguite, i relativi parametri e gli elementi di risposta restituiti dal servizio AWS. Queste informazioni consentono di monitorare le modifiche effettuate alle tue risorse AWS e di risolvere problemi operativi. CloudTrail rende più facile garantire la conformità a policy interne e standard normativi. Per ulteriori dettagli, consulta il whitepaper sulla conformità AWS "Security at scale: Logging in AWS".

D: A chi è rivolto CloudTrail?
CloudTrail è un servizio rivolto ai clienti che desiderano monitorare le modifiche alle risorse, ottenere informazioni sulle attività degli utenti, attestare la conformità, effettuare la risoluzione dei problemi ed eseguire analisi di sicurezza.


D: Se un utente di AWS, sia nuovo sia esistente, non ha configurato CloudTrail, deve abilitare o configurare il servizio per consultare le attività dell'account?
No, non è necessaria alcuna azione per consultare le attività dell'account. È sufficiente accedere alla console di AWS CloudTrail o all'interfaccia a riga di comando di AWS per visualizzare le attività degli ultimi 7 giorni.

D: Lo storico degli eventi di CloudTrail mostra tutte le attività dell'account?
AWS CloudTrail mostra solo i risultati dello storico degli eventi nella regione corrente per gli ultimi 7 giorni e supporta esclusivamente i servizi AWS indicati qui Gli eventi inclusi sono solo gli eventi di gestione con chiamate API di creazione, modifica ed eliminazione e le attività dell'account. Per un record completo dell'attività di un account, inclusi tutti gli eventi di gestione, gli eventi sui dati e le attività in sola lettura, è necessario configurare un itinerario di CloudTrail.

D: Quali filtri di ricerca è possibile impiegare per visualizzare le attività di un account?
È possibile specificare l'intervallo di tempo e uno dei seguenti attributi: nome dell'evento, nome dell'utente, nome della risorsa, origine dell'evento, ID dell'evento e tipo di risorsa.

D: È possibile il comando CLI lookup-events anche se non è stato configurato un itinerario?
Sì, puoi accedere alla console di CloudTrail oppure utilizzare API o interfaccia a riga di comando (CLI) di CloudTrail per consultare le attività dell'account degli ultimi 7 giorni.

D: Quali caratteristiche aggiuntive di CloudTrail sono disponibili configurando CloudTrail e creando un itinerario?
Impostando un itinerario CloudTrail è possibile inoltrare gli eventi acquisiti dal servizio in Amazon S3, Amazon CloudWatch Logs e Amazon CloudWatch Events. Sarà così possibile sfruttare le caratteristiche di questi servizi per archiviare, analizzare ed eseguire azioni in risposta alle modifiche nelle risorse AWS.

D: È possibile escludere agli utenti in un account l'accesso allo storico degli eventi di CloudTrail?
Sì, CloudTrail si integra con AWS Identity and Access Management (IAM), che permette di controllare gli accessi a CloudTrail e ad altre risorse AWS necessarie per CloudTrail, quindi anche i permessi di visualizzazione e di esecuzione di ricerche nelle attività dell'account. A tale scopo, è necessario rimuovere "cloudtrail:LookupEvents" dalla policy Users di IAM, impedendo agli utenti IAM di visualizzare le attività dell'account.

D: Sono previsti costi per l'attivazione dello storico degli eventi di CloudTrail in un account?
La visualizzazione o al ricerca all'interno delle attività di un account con lo storico eventi di CloudTrail non prevede alcun costo.

D: È possibile disattivare lo storico eventi di CloudTrail per un account?
È possibile interrompere la registrazione di log per un itinerario CloudTrail oppure eliminare l'itinerario, operazioni che interrompono l'inoltro delle attività dell'account nel bucket S3 designato durante la configurazione e l'inoltro in CloudWatch Logs, se impostato. Le attività dell'account degli ultimi 7 giorni saranno comunque raccolte e consultabili all'interno della console di CloudTrail e tramite l'interfaccia a riga di comando di AWS.  


D: Quali servizi supporta CloudTrail?
AWS CloudTrail registra le attività di un account e gli eventi generati dalla maggior parte dei servizi AWS. Per un elenco di dispositivi supportati, consulta la sezione CloudTrail Supported Services nella CloudTrail User Guide.

D: Le chiamate API effettuate dalla Console di gestione AWS vengono registrate?
Sì. CloudTrail registra le chiamate API effettuate da qualsiasi client. La Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e i servizi AWS di livello superiore chiamano API AWS per cui queste chiamate vengono registrate.


D: Dove sono memorizzati ed elaborati i file di log prima che vengano inoltrate nei bucket Amazon S3?
Le informazioni relative alle attività dei servizi con endpoint regionali (EC2, RDS, ecc.) sono acquisite ed elaborate nella stessa regione in cui viene eseguita l'operazione e inoltrate nella regione associata al bucket Amazon S3. Le informazioni relative alle attività dei servizi con endpoint singoli (IAM, STS, ecc.) sono acquisite nella regione in cui si trova l'endpoint, elaborate nella regione nella quale è configurato l'itinerario CloudTrail e distribuite nella regione associata al bucket Amazon S3.


D: Cosa si intende per applicazione di un itinerario a tutte le regioni?
L'applicazione di un itinerario a tutte le regioni implica la creazione di un itinerario che registrerà le attività di un account AWS in tutte le regioni. Questa configurazione si applica anche alle eventuali nuove regioni aggiunte. Per ulteriori dettagli su regioni e partizioni, consulta la pagina Amazon Resource Names and AWS Service Namespaces.

D: Quali sono i vantaggi dell'applicazione di un itinerario a tutte le regioni?
Puoi creare e gestire un itinerario in tutte le regioni della partizione con una sola chiamata API o con qualche clic. Verrà inviato in un bucket S3 o in un gruppo di log di CloudWatch Logs un record delle attività dell'account registrato sul tuo account AWS in tutte le regioni. Quando AWS lancia una nuova regione, riceverai automaticamente i file di log contenenti lo storico degli eventi per la nuova regione.

D: Come si applica un percorso a tutte le regioni?
Nella console CloudTrail, seleziona Yes per applicare un percorso a tutte le regioni nella pagina di configurazione del percorso. Se utilizzi gli SDK o la CLI AWS, imposta IsMultiRegionTrail a true.

D: Cosa succede quando si applica un percorso a tutte le regioni?
Quando si applica un percorso a tutte le regioni, CloudTrail crea un nuovo percorso in tutte le regioni replicandone la configurazione. Quindi registra ed elabora i file di log in ogni regione, inoltrando in un singolo bucket S3 e un singolo gruppo di log di CloudWatch Logs i file di log contenenti le attività dell'account in tutte le regioni AWS. Se hai specificato un argomento SNS opzionale, CloudTrail distribuisce le notifiche SNS per tutti i file di log distribuiti a un singolo argomento SNS.

D: È possibile applicare un percorso esistente a tutte le regioni?
Sì, è possibile applicare un percorso esistente a tutte le regioni. Quando si applica un percorso esistente a tutte le regioni, CloudTrail crea un nuovo percorso per tutte le regioni. Se hai già creato percorsi in altre regioni, puoi visualizzare, modificare ed eliminare quei percorsi dalla console CloudTrail.

D: Quanto tempo impiega CloudTrail a replicare la configurazione del percorso in tutte le regioni?
Di solito ci vogliono meno di 30 secondi per replicare il percorso in tutte le regioni.


D: Quanti percorsi è possibile creare in una regione AWS?
Si possono creare fino a cinque percorsi in una regione AWS. Un percorso che si applica a tutte le regioni esiste in ogni regione e conta come un percorso in ogni regione.

D: Qual è il vantaggio di creare più percorsi in una regione AWS?
Con più percorsi, le varie parti interessate come gli amministratori della sicurezza, gli sviluppatori di software e i controllori IT possono creare e gestire i loro percorsi. Ad esempio, un amministratore della sicurezza può creare un percorso che si applica a tutte le regioni e configurare la crittografia utilizzando una sola chiave KMS. Uno sviluppatore può creare un percorso che si applica a una sola regione per risolvere problemi operativi.

D: CloudTrail supporta i permessi a livello delle risorse?
Sì, utilizzando i permessi a livello delle risorse si possono creare policy di controllo di accesso granulare per permettere o proibire l'accesso a utenti specifici per un particolare percorso. Per ulteriori dettagli, consulta la documentazione di CloudTrail.


D: In che modo è possibile proteggere i file di log di CloudTrail?
Per impostazione predefinita, i file di log CloudTrail sono crittografati utilizzando Server Side Encryption (SSE) S3 e messi nel bucket S3. Puoi controllare l’accesso ai file di log con le policy IAM o bucket S3. Puoi aggiungere un livello supplementare di protezione abilitando Multi Factor Authentication (MFA) Delete S3 sul tuo bucket S3. Per ulteriori dettagli sulla creazione e l’aggiornamento di un percorso, consulta la documentazione di CloudTrail.

D: Dove è possibile scaricare un esempio di policy di bucket S3 e una policy di argomento SNS?
Puoi scaricare un esempio di policy di bucket S3 e di policy di argomento SNS dal bucket S3 di CloudTrail. Devi aggiornare gli esempi di policy con le tue informazioni prima di applicarle al tuo bucket S3 o all’argomento SNS.

D: Per quanto tempo è possibile memorizzare i miei file di log di attività?
La policy di retention dei file di log CloudTrail è personalizzabile. Per impostazione predefinita, i file di log sono memorizzati per un periodo illimitato. Per definire una policy di retention, è possibile impiegare le regole di gestione del ciclo di vita degli oggetti Amazon S3. Per esempio, puoi eliminare i vecchi file di log o archiviarli in Amazon Glacier.


D: Quali informazioni sono disponibili in un evento?
Un evento contiene le informazioni più importanti della relativa attività, tra cui l'autore della richiesta, i servizi impiegati, le azioni eseguite e i relativi parametri e gli elementi di risposta restituiti dal servizio AWS. Per ulteriori dettagli, consulta la sezione CloudTrail Event Reference della guida per l’utente.

D: Quanto tempo impiega CloudTrail a distribuire un evento di una chiamata API?
Di solito CloudTrail distribuisce un evento entro 15 minuti dalla chiamata API.

D: Con quale frequenza CloudTrail distribuisce i file di log ad un bucket Amazon S3?
CloudTrail distribuisce file di log al bucket S3 ogni 5 minuti circa. CloudTrail non distribuisce file di log se non ci sono state chiamate API sul tuo account.

D: È possibile ricevere notifiche quando vengono distribuiti nuovi file di log ad un bucket Amazon S3?
Sì. Puoi attivare le notifiche Amazon SNS in modo da poter reagire appena ricevi nuovi file di log.

D: Cosa succede se CloudTrail è attivato sul mio account ma il bucket Amazon S3 non è configurato con la policy giusta?
I file di log CloudTrail vengono distribuiti in conformità con le policy di bucket S3 da te definite. Se le policy di bucket non vengono configurate correttamente, CloudTrail potrebbe non essere in grado di inoltrare i file di log.


D: Cosa sono gli eventi sui dati?
Gli eventi sui dati forniscono informazioni sulle operazioni delle risorse ("piano dei dati") eseguite su o all'interno della risorsa stessa. Gli eventi sui dati sono spesso attività a volume elevato e includono operazioni come API a livello oggetto di Amazon S3 e API Invoke delle funzioni Lambda. Gli eventi sui dati sono disabilitati come impostazione predefinita quando si configura un itinerario. Per registrare gli eventi sui dati CloudTrail, è necessario aggiungere esplicitamente le risorse o i tipi di risorse supportati su cui si desidera raccogliere attività. A differenza degli eventi di gestione, gli eventi sui dati prevedono costi aggiuntivi. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudTrail.

D: In che modo è possibile utilizzare gli eventi sui dati?
Gli eventi sui dati vengono registrati da AWS CloudTrail e inoltrati in S3, in modo analogo agli eventi di gestione. Una volta abilitati, questi eventi sono disponibili anche in Amazon CloudWatch Events.

D: Cosa sono gli eventi sui dati di Amazon S3? In che modo è possibile registrarli?
Gli eventi sui dati di Amazon S3 rappresentano l'attività API sugli oggetti di Amazon S3. Per fare in modo che CloudTrail registri queste azioni, specifica un bucket S3 nella sezione degli eventi sui dati al momento della creazione di un nuovo itinerario oppure della modifica di uno esistente. Le operazioni API sugli oggetti all'interno del bucket S3 specificato vengono registrate da CloudTrail.

D: Cosa sono gli eventi sui dati AWS Lambda? In che modo è possibile registrarli?
Gli eventi sui dati AWS Lambda registrano le attività di esecuzione delle funzioni Lambda. Con gli eventi sui dati Lambda, puoi ottenere i dettagli delle esecuzioni delle funzioni Lambda, come l'utente IAM o il servizio che effettua la chiamata API Invoke, quando è avvenuta la chiamata e quale funzione è stata eseguita. Tutti gli eventi sui dati Lambda vengono forniti in un bucket Amazon S3 e Amazon CloudWatch Events. È possibile attivare la registrazione per gli eventi sui dati AWS Lambda utilizzando la console AWS CLI o AWS CloudTrail e selezionare quali funzioni Lambda registrare creando un nuovo itinerario o modificandone uno esistente.


D: Ho più account AWS. Voglio che i file di log di tutti gli account vengano distribuiti a un singolo bucket S3. Posso farlo?
Sì. Un bucket S3 può essere configurato come destinazione di più account. Per istruzioni dettagliate, consulta la sezione Aggregating log files to a single Amazon S3 bucket section del documento AWS CloudTrail User Guide.


D: In cosa consiste l'integrazione di CloudTrail con CloudWatch Logs?
Grazie all'integrazione con CloudWatch Logs, CloudTrail inoltra gli eventi di gestione e gli eventi sui dati che acquisisce in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato.

D: Quali sono i vantaggi dell'integrazione di CloudTrail con i log di CloudWatch?
Questa integrazione consente di ricevere notifiche SNS delle attività dell'account acquisite da CloudTrail. Ad esempio, è possibile creare allarmi di CloudWatch per monitorare le chiamate API che dispongono la creazione, la modifica o l'eliminazione di gruppi di sicurezza o di liste di controllo degli accessi di rete.

D: Come si attiva l'integrazione di CloudTrail con i log di CloudWatch?
L'integrazione di CloudTrail con i CloudWatch Logs può essere attivata tramite la console di CloudTrail specificando un gruppo di log di CloudWatch Logs e un ruolo IAM. Puoi anche utilizzare gli SDK AWS o la CLI AWS.

D: Cosa succede quando viene attivata l'integrazione di CloudTrail con i log di CloudWatch?
Dopo avere attivato l'integrazione, CloudTrail inizia a inoltrare in modo continuo le attività dell'account in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato. Inoltre CloudTrail continua a distribuire log nel tuo bucket Amazon S3 come prima.

D: In quali regioni AWS è supportata l'integrazione di CloudTrail con CloudWatch Logs?
L'integrazione è supportata in tutte le regioni in cui è disponibile CloudWatch Logs. Per ulteriori informazioni, consulta la sezione Regions and Endpoints nel documento Amazon Web Services General Reference.

D: In che modo CloudTrail inoltra gli eventi che contengono le attività di un account in CloudWatch Logs?
Per inoltrare le attività dell'account in CloudWatch Logs, CloudTrail assume il ruolo IAM definito. I permessi assegnati al ruolo IAM devono essere limitati, in modo da consentire esclusivamente l'inoltro di eventi nel flusso di log di CloudWatch Logs. Per esaminare la policy dei ruoli IAM, consulta la guida per l’utente nella documentazione di CloudTrail.

D: Quali costi vengono addebitati attivando l'integrazione di CloudTrail con i log di CloudWatch?
Dopo l’attivazione dell’integrazione di CloudTrail con i log di CloudWatch, ti vengono addebitati i costi standard dei log di CloudWatch e di CloudWatch. Per i dettagli, consulta la pagina dei prezzi di CloudWatch.


D: Quali sono i vantaggi della crittografia dei file di log CloudTrail mediante la crittografia lato server con KMS?
La crittografia dei file di log CloudTrail con SSE-KMS permette di aggiungere un livello supplementare di protezione ai file di log CloudTrail distribuiti a un bucket Amazon S3, crittografandoli con una chiave KMS. Come impostazione predefinita, CloudTrail crittografa tutti i file di log distribuiti al bucket Amazon S3 specificato utilizzando la crittografia lato server di Amazon S3.

D: Ho un'applicazione che acquisisce ed elabora i file di log CloudTrail. Devo modificarla?
Con SSE-KMS, Amazon S3 decrittografa automaticamente i file di log, quindi non devi modificare la tua applicazione. Come sempre, devi accertarti che la tua applicazione possieda i permessi adeguati, per esempio i permessi Amazon S3 GetObject e KMS Decrypt.

D: Come si configura la crittografia dei file di log CloudTrail?
Per configurare la crittografia dei file di log, si possono utilizzare la Console di gestione AWS, la CLI AWS o gli SDK AWS. Per istruzioni dettagliate, consulta la documentazione.

D: Quali costi vengono addebitati configurando la crittografia con SSE-KMS?
Per la crittografia con SSE-KMS, vengono addebitate le tariffe standard di AWS KMS. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS KMS.


D: In cosa consiste la convalida dell'integrità dei file log CloudTrail?
La convalida dell'integrità dei file di log CloudTrail è una caratteristica che permette di determinare se un file di log CloudTrail è rimasto invariato, se è stato eliminato o modificato dal momento in cui CloudTrail lo ha distribuito nel bucket Amazon S3 specificato.

D: Qual è il vantaggio della convalida dell'integrità dei file di log CloudTrail?
Puoi utilizzare la convalida dell'integrità dei file di log come sussidio ai processi di sicurezza e audit IT.

D: Come si attiva la convalida dell'integrità dei file di log CloudTrail?
Puoi attivare la caratteristica di convalida dell'integrità dei file di log CloudTrail tramite la Console di gestione AWS, l'interfaccia a riga di comando o i kit SDK AWS.

D: Cosa succede quando viene attivata la caratteristica di convalida dell'integrità dei file di log?
Quando la caratteristica di convalida dell’integrità dei file di log viene attivata, CloudTrail distribuisce i file digest ogni ora. I file digest contengono informazioni su file di log distribuiti al tuo bucket Amazon S3, i valori hash di questi file di log, le firme digitali per il file digest precedente e la firma digitale per il file digest attuale nella sezione metadati Amazon S3. Per ulteriori informazioni su file digest, firme digitali e valori hash, consulta la documentazione di CloudTrail.

D: Dove vengono distribuiti i file digest?
I file digest vengono distribuiti allo stesso bucket Amazon S3 in cui vengono distribuiti i file di log. Tuttavia vengono distribuiti in una cartella diversa in modo da poter applicare policy granulari di controllo degli accessi. Per ulteriori informazioni, consulta la sezione relativa alla struttura dei file digest nella documentazione di CloudTrail.

D: Come si convalida l'integrità di un file di log o di un file digest distribuito da CloudTrail?
Puoi utilizzare la CLI AWS per convalidare l’integrità di un file di log o di un file digest. Puoi anche creare i tuoi strumenti per effettuare la convalida. Per ulteriori dettagli su come utilizzare l'interfaccia a riga di comando di AWS per convalidare l'integrità di un file di log, consulta la documentazione di CloudTrail.

D: I file di log per tutte le regioni e per più account vengono aggregati in un solo bucket Amazon S3. I file digest verranno distribuiti allo stesso bucket Amazon S3?
Sì, CloudTrail distribuirà i file digest di tutte le regioni e dei diversi account allo stesso bucket Amazon S3.


Cos’è la libreria di elaborazione di AWS CloudTrail?
La libreria di elaborazione di AWS CloudTrail è una libreria Java che facilita la creazione di applicazioni in grado di leggere ed elaborare i file di log CloudTrail. Per scaricare la libreria di elaborazione di CloudTrail, accedi a GitHub.

D: Quale funzionalità offre la libreria di elaborazione di CloudTrail?
La libreria di elaborazione di CloudTrail consente di gestire attività quali polling continuo di una coda SQS, lettura e analisi di messaggi SQS, download di file di log memorizzati in S3 e analisi e serializzazione di eventi nel file di log con tolleranza agli errori. Per ulteriori informazioni, consulta la sezione della guida per l'utente nella documentazione di CloudTrail.

D: Quale software occorre per iniziare a utilizzare la libreria di elaborazione di CloudTrail?
Occorre aws-java-sdk versione 1.9.3 e Java 1.7 o versione successiva.


D: Come vengono fatturati i costi di AWS CloudTrail?
AWS CloudTrail permette di consultare e scaricare gratuitamente le attività degli ultimi 7 giorni concernenti operazioni di creazione, modifica ed eliminazione relative ai servizi supportati.

Per la creazione di un itinerario CloudTrail e l'inoltro della prima copia degli eventi di gestione in ciascuna regione al bucket S3 specificato nell'itinerario non sarà addebitato alcun costo. Una volta configurato un itinerario CloudTrail, si applicano i costi di Amazon S3 in base all'uso. I costi di eventuali eventi sui dati o di copie aggiuntive degli eventi di gestione registrati in una regione ti saranno addebitati secondo il piano tariffario pubblicato. Ad esempio, se crei un itinerario in più regioni e un itinerario in un'unica regione all'interno della stessa regione, ti verrà addebitato il costo di una copia degli eventi di gestione registrati in quella regione.

D: Se è disponibile un solo itinerario con eventi di gestione e viene applicato a tutte le regioni, saranno addebitati costi aggiuntivi?
No. La prima copia degli eventi di gestione viene distribuita gratuitamente in ciascuna regione.

D: Eliminando gli eventi sui dati in un itinerario esistente tramite eventi di gestione, saranno addebitati costi aggiuntivi?
Sì. Ti saranno addebitati i costi degli eventi sui dati. La prima copia degli eventi di gestione viene inoltrata gratuitamente.


D: In che modo risultano utili le soluzioni partner AWS per analizzare gli eventi registrati da CloudTrail?
Vari partner offrono soluzioni integrate per analizzare i file di log CloudTrail. Queste soluzioni includono caratteristiche come il rilevamento di modifiche, la soluzione di problemi e l’analisi di sicurezza. Per ulteriori informazioni, consulta la sezione Partner AWS CloudTrail.


D: L'attivazione di CloudTrail può incidere sulle prestazioni delle mie risorse AWS o aumentare la latenza delle chiamate API?
No. Attivare CloudTrail non incide sulle prestazioni delle risorse AWS o sulla latenza delle chiamate API.