P: O que é o AWS CloudTrail?
O AWS CloudTrail é um web service que registra as atividades executadas na conta e disponibiliza arquivos de log no bucket do Amazon S3.

P: Quais são os benefícios do CloudTrail?
O CloudTrail proporciona visibilidade sobre as atividades de usuários ao registrar as ações executadas na conta. O CloudTrail registra informações importantes sobre cada ação, como quem fez a solicitação, quais serviços foram usados, quais ações foram executadas, quais os parâmetros da ação e quais elementos da resposta foram retornados pelo serviço da AWS. Essas informações ajudam você a rastrear as alterações feitas nos seus recursos da AWS e a solucionar problemas operacionais. O CloudTrail facilita a garantia da conformidade comi políticas e padrões regulamentares internos. Para obter mais detalhes, consulte o whitepaper de conformidade da AWS “Security at scale: Logging in AWS”.

P: Quem deve usar o CloudTrail?
Os clientes que precisam rastrear alterações em recursos, responder a perguntas simples sobre as atividades de usuários, demonstrar compatibilidade, solucionar problemas ou executar análises de segurança devem usar o CloudTrail.


P: Se eu for um novo cliente da AWS, ou for um cliente atual, e não tiver o CloudTrail instalado, precisarei habilitar e configurar alguma coisa para ver a atividade da minha conta?
Não será necessária nenhuma ação da sua parte para que você possa ver a atividade da conta. Acesse o console do AWS CloudTrail ou a AWS CLI e comece a ver a atividade da conta nos últimos sete dias.

P: O histórico de eventos do CloudTrail mostra toda a atividade dentro da minha conta?
O AWS CloudTrail exibirá apenas os resultados do histórico de eventos do CloudTrail da região atual em que você estiver vendo os últimos sete dias de atividade e apoiará os Serviços da AWS encontrados aqui. Esses eventos são limitados aos eventos de gerenciamento com as chamadas das APIs create, modify e delete, e à atividade da conta. Para obter um registro completo da atividade da conta, incluindo todos os eventos de gerenciamento e de dados, bem como todas as atividades de somente leitura, será necessário configurar uma trilha do CloudTrail.

P: Quais filtros de pesquisa posso usar para ver a atividade da minha conta?
Você pode especificar o intervalo de tempo e um dos seguintes atributos: nome do evento, nome do usuário, origem do evento, ID do evento e tipo de recurso.

P: Posso usar o comando da ILC de eventos de pesquisa mesmo se eu não tiver uma trilha configurada?
Sim. Acesse o console do CloudTrail ou use a API/ILC do CloudTrail e comece a ver a atividade da conta nos últimos sete dias.

P: Quais recursos adicionais do CloudTrail são disponibilizados ao configurar o CloudTrail e criar uma trilha?
Ao configurar uma trilha do CloudTrail, você pode disponibilizar seus eventos do CloudTrail para o Amazon S3, o Amazon CloudWatch Logs e o Amazon CloudWatch Events. Isso permite usufruir de recursos que ajudam a arquivar, analisar e responder a alterações nos recursos da AWS.

P: Posso impedir que os usuários da minha conta vejam o histórico de eventos do CloudTrail?
Sim. O CloudTrail integra-se ao AWS Identity and Access Management (IAM). Isso permite controlar o acesso ao CloudTrail e a outros recursos da AWS que o CloudTrail exige, o que inclui a capacidade de restringir permissões para visualizar e pesquisar a atividade da conta. É possível fazer isso ao remover "cloudtrail:LookupEvents" da política de IAM dos usuários, o que impedirá que o usuário do IAM veja a atividade da conta.

P: Algum custo associado ao histórico de eventos do CloudTrail é habilitado na minha conta durante a sua criação?
Não há custo associado à visualização ou à pesquisa de atividade da conta usando o histórico de eventos do CloudTrail.

P: Posso desativar o histórico de eventos do CloudTrail da minha conta?
Para qualquer trilha do CloudTrail criada, você poderá interromper o registro de logs ou excluir as trilhas, o que também interromperá a disponibilização da atividade da conta para o bucket do S3 designado como parte da configuração da trilha, bem como a disponibilização do CloudWatch Logs, caso ele tenha sido configurado. A atividade da conta durante os últimos sete dias ainda será coletada e permanecerá visível no console do CloudTrail e por meio da AWS CLI.  


P: Quais serviços são compatíveis com o CloudTrail?
O AWS CloudTrail registra a atividade da conta e os eventos de serviços da maioria dos Serviços da AWS. Para obter uma lista de serviços aceitos, consulte a seção CloudTrail Supported Services no Guia do usuário do CloudTrail.

P: As chamadas de API feitas pelo Console de Gerenciamento da AWS são registradas?
Sim. O CloudTrail registra chamadas de APIs feitas por qualquer cliente. O AWS Management Console, os AWS SDKs, as ferramentas de linha de comando e os serviços da AWS de nível mais alto chamam APIs da AWS, portanto, essas chamadas são registradas.


P: Onde os arquivos de log são armazenados e processados antes de serem entregues ao meu bucket do Amazon S3?
Informações sobre as atividades de serviços com endpoints regionais (EC2, RDS etc.) são capturadas e processadas na mesma região onde a ação foi executada, e são disponibilizadas na região associada ao bucket do Amazon S3. As informações sobre ações de serviços com endpoints únicos (IAM, STS etc.) são capturadas na região onde o endpoint está localizado, processadas na região onde a trilha do CloudTrail está configurada e disponibilizadas na região associada ao bucket do Amazon S3.


P: O que é a aplicação de uma trilha a todas as regiões?
A aplicação de uma trilha para todas as regiões se refere à criação de uma trilha que registrará a atividade da conta da AWS em todas as regiões. Essa configuração também se aplica a qualquer nova região adicionada. Para obter mais detalhes sobre as regiões e partições, consulte a página dos Nomes de recurso da Amazon e do AWS Service Namespaces.

P: Quais são os benefícios da aplicação de uma trilha a todas as regiões?
Você pode criar e gerenciar uma trilha em todas as regiões da partição em uma única chamada de API ou com alguns cliques. Você receberá um registro da atividade realizada na sua conta da AWS referente a todas as regiões em um único bucket do S3 ou grupo de logs do CloudWatch Logs. Quando a AWS lançar uma nova região, você receberá os arquivos de log contendo o histórico de eventos da nova região sem precisar executar nenhuma ação.

P: Como faço para aplicar uma trilha a todas as regiões?
No console do CloudTrail, você seleciona Yes para aplicar a todas as regiões na página de configuração da trilha. Se você estiver usando os SDKs ou o AWS CLI, defina IsMultiRegionTrail como true.

P: O que acontece quando aplico uma trilha a todas as regiões?
Depois que você aplicar uma trilha em todas as regiões, o CloudTrail criará uma nova trilha em todas as regiões, replicando a configuração da trilha. O CloudTrail gravará e processará os arquivos de log em cada região e entregará arquivos de log contendo a atividade da conta em todas as regiões da AWS em um único bucket do S3 e em um único grupo de logs do CloudWatch Logs. Se você especificou um tópico do SNS opcional, o CloudTrail entregará notificações do SNS de todos os arquivos de log para um único tópico do SNS.

P: Posso aplicar uma trilha atual a todas as regiões?
Sim. Você pode aplicar uma trilha atual a todas as regiões. Ao aplicar uma trilha atual a todas as regiões, o CloudTrail criará para você uma nova trilha em todas as regiões. Se você já criou trilhas em outras regiões, será possível visualizá-las, editá-las e excluí-las usando o console do CloudTrail.

P: Quanto tempo o CloudTrail levará para replicar a configuração da trilha para todas as regiões?
Normalmente, levará menos de 30 segundos para replicar a configuração da trilha para todas as regiões.


P: Quantas trilhas posso criar em uma região da AWS?
Você pode criar até cinco trilhas em uma região da AWS. Uma trilha que se aplique a todas as regiões existe em cada uma delas e é contada como uma trilha em cada região.

P: Qual é o benefício de criar várias trilhas em uma região da AWS?
Com várias trilhas, diferentes partes interessadas como administradores de segurança, desenvolvedores de software e auditores de TI podem criar e gerenciar suas próprias trilhas. Por exemplo, um administrador de segurança pode criar uma trilha que se aplique a todas as regiões e configurar a criptografia usando uma única chave do KMS. Um desenvolvedor pode criar uma trilha que se aplique a uma única região para solucionar problemas operacionais.

P: O CloudTrail é compatível com permissões no nível dos recursos?
Sim. Ao usar permissões no nível dos recursos, você pode criar políticas granulares de controle de acesso para permitir ou negar acesso a usuários específicos para uma determinada trilha. Para obter mais detalhes, consulte a documentação do CloudTrail.


P: Como posso proteger os arquivos de log do CloudTrail?
Por padrão, os arquivos de log do CloudTrail são criptografados usando Server Side Encryption (SSE) do S3 e colocados no seu bucket do S3. Você pode controlar o acesso aos arquivos de logo aplicando políticas do IAM ou de buckets do S3. É possível acrescentar uma camada adicional de segurança ativando o Multi Factor Authentication (MFA) Delete do S3 no seu bucket do S3. Para obter mais detalhes sobre a criação e atualização de uma trilha, consulte a documentação do CloudTrail.

P: Onde posso fazer download de um exemplo de política para buckets do S3 e de política de tópicos do SNS?
Você pode fazer download de um exemplo de política de bucket do S3 e de política de tópico de SNS no bucket do CloudTrail no S3. Você precisa atualizar os exemplos de políticas com as suas informações antes de aplicá-las ao bucket do S3 ou ao tópico do SNS.

P: Por quanto tempo posso armazenar os arquivos de log de atividades?
Você controla as políticas de retenção dos arquivos de log do CloudTrail. Por padrão, os arquivos de log são armazenados indefinidamente. Você pode usar as regras de gerenciamento de ciclo de vida de objetos do Amazon S3 para definir a sua própria política de retenção. Por exemplo, você deseja excluir arquivos de log antigos ou arquivá-los no Amazon Glacier.


P: Quais informações estão disponíveis em um evento?
Um evento contém informações sobre a atividade associada: inclusive quem fez a solicitação, quais serviços foram usados, quais ações foram executadas e quais os parâmetros da ação, bem como quais elementos da resposta foram retornados pelo Serviço da AWS. Para obter mais detalhes, consulte a seção CloudTrail Event Reference no Guia do usuário.

P: Quanto tempo o CloudTrail demora para entregar um evento de uma chamada de API?
Normalmente, o CloudTrail entrega um evento em até 15 minutos após a chamada da API.

P: Com que frequência o CloudTrail entrega arquivos de log ao bucket do Amazon S3?
O CloudTrail entrega arquivos de log ao bucket do S3 em intervalos aproximados de 5 minutos. O CloudTrail não entrega arquivos de log se nenhuma chamada de API for feita na sua conta.

P: Posso ser notificado quando arquivos de log novos são entregues ao bucket do Amazon S3?
Sim. Você pode ativar as notificações do Amazon SNS para poder executar ações imediatas na entrega de novos arquivos de log.

P: O que acontece se o CloudTrail é ativado para a minha conta, mas o meu bucket do Amazon S3 não está configurado com a política correta?
Os arquivos de log do CloudTrail são entregues de acordo com as políticas implementadas do bucket do S3. Se as políticas do bucket estiverem mal configuradas, o CloudTrail não conseguirá disponibilizar os arquivos de log.


P: O que são eventos de dados?
Os eventos de dados oferecem insights sobre as operações de recursos (“data plane”) executadas com o recurso ou dentro do próprio recurso. Muitas vezes, os eventos de dados são atividades de alto volume e incluem operações como APIs de objetos do Amazon S3 e de invocação de funções do Lambda. Por padrão, os eventos de dados são desabilitados quando você configura uma trilha. Para registrar eventos de dados do CloudTrail, você deve adicionar explicitamente os recursos ou os tipos de recursos para os quais quer registrar as atividades. Ao contrário dos eventos de gerenciamento, os eventos de dados incorrem em custos adicionais. Para obter mais informações, consulte a definição de preço do CloudTrail.

P: Como posso consumir eventos de dados?
Os eventos de dados registrados pelo AWS CloudTrail são entregues ao S3 de modo similar aos eventos de gerenciamento. Depois de habilitados, esses eventos também são disponibilizados no Amazon CloudWatch Events.

P: O que são eventos de dados do Amazon S3? Como posso registrá-los?
Os eventos de dados do Amazon S3 representam as atividades de API nos objetos do Amazon S3. Para que o CloudTrail registre essas ações, você especifica um bucket do S3 na seção de eventos de dados durante a criação de uma nova trilha ou a modificação de uma trilha existente. Todas as ações de API nos objetos em um bucket específico do S3 são registradas pelo CloudTrail.

P: O que são os eventos de dados do AWS Lambda? Como posso registrá-los?
Os eventos de dados do AWS Lambda registram as atividades de execução de funções do Lambda. Com os eventos de dados do Lambda, você pode obter detalhes sobre as execuções de funções do Lambda, como o usuário do IAM ou o serviço que executou a chamada da API Invoke, quando a chamada foi feita e qual função foi executada. Todos os eventos de dados do Lambda são entregues a um bucket do Amazon S3 e ao Amazon CloudWatch Events. Você pode ativar o registro em log de eventos de dados do AWS Lambda usando a ILC da AWS ou o console do AWS CloudTrail. Para selecionar quais funções do Lambda serão registradas, crie uma nova trilha ou edite uma trilha existente.


P: Tenho várias contas da AWS. Eu gostaria que os arquivos de log para todas as contas fossem entregues em um único bucket do S3. Posso fazer isso?
Sim. Você pode configurar um bucket do S3 como o destino de várias contas. Para obter instruções detalhadas, consulte a seção Aggregating Log Files to a Single Amazon S3 Bucket do Guia do usuário do AWS CloudTrail.


P: O que é a integração do CloudTrail com o CloudWatch Logs?
A integração do CloudTrail com o CloudWatch Logs entrega eventos de gerenciamento e de dados capturados pelo CloudTrail a um stream de logs do CloudWatch Logs no grupo de logs especificado.

P: Quais os benefícios da integração do CloudTrail ao CloudWatch Logs?
Essa integração permite receber notificações SNS da atividade da conta capturada pelo CloudTrail. Por exemplo, você pode criar alarmes do CloudWatch para monitorar chamadas de API que criam, modificam e excluem security groups e Network ACLs.

P: Como posso ativar a integração do CloudTrail com o CloudWatch Logs?
Você pode ativar a integração do CloudTrail com o CloudWatch Logs no console do CloudTrail especificando um grupo de logs do CloudWatch Logs e uma função do IAM. Também é possível usar AWS SDKs ou a AWS CLI para ativar essa integração.

P: O que acontece quando eu ativo a integração do CloudTrail com o CloudWatch Logs?
Com a integração ativada, o CloudTrail disponibiliza continuamente a atividade da conta a um stream de logs no grupo do CloudWatch Logs especificado. O CloudTrail também continua a entregar logs ao seu bucket do Amazon S3, como já ocorria anteriormente.

P: Quais regiões da AWS são compatíveis com a integração do CloudTrail com o CloudWatch Logs?
Essa integração é aceita nas regiões em que o CloudWatch Logs é compatível. Para obter mais informações, consulte as regiões e endpoints na referência geral da Amazon Web Services.

P: Como o CloudTrail disponibiliza eventos que contêm a atividade da conta ao CloudWatch Logs?
O CloudTrail assume a função IAM especificada para disponibilizar a atividade da conta ao CloudWatch Logs. Você limita a função do IAM para ter apenas as permissões necessárias para entregar eventos ao stream de logs do CloudWatch Logs. Para examinar a política de funções do IAM, consulte o guia do usuário na documentação do CloudTrail.

P: O que será cobrado quando eu ativar a integração do CloudTrail com o CloudWatch Logs?
Após ativar a integração do CloudTrail com o CloudWatch Logs, você passa a ser cobrado de acordo com os valores padrão do CloudWatch Logs e do CloudWatch. Para obter detalhes, acesse a página de definição de preço CloudWatch.


P: Quais são os benefícios da criptografia de arquivos de log do CloudTrail usando criptografia no lado do servidor com o KMS?
A criptografia de arquivos de log do CloudTrail usando SSE-KMS permite que você adicione uma camada extra de segurança aos arquivos de log do CloudTrail distribuídos para um bucket do Amazon S3 ao fazer a criptografia de arquivos de log com uma chave do KMS. Como padrão, o CloudTrail criptografará todos os arquivos de log distribuídos para o bucket do Amazon S3 usando o Server Side Encryption (SSE) do Amazon S3.

P: Eu tenho um aplicativo que consome e processa arquivos de log do CloudTrail. Preciso fazer alguma alteração no meu aplicativo?
Com o SSE-KMS, o Amazon S3 descriptografa automaticamente os arquivos de log para que você não tenha que fazer alterações no seu aplicativo. Como sempre, você precisa verificar se o seu aplicativo tem as permissões adequadas, como as permissões Amazon S3 GetObject e KMS Decrypt.

P: Como posso configurar a criptografia de arquivos de log do CloudTrail?
Você pode usar o Console de Gerenciamento da AWS, a AWS CLI ou os AWS SDKs para configurar a criptografia de arquivos de log. Para obter instruções detalhadas, consulte a documentação.

P: Que cobranças serão feitas após a configuração da criptografia usando o SSE-KMS?
Após a configuração da criptografia usando o SSE-KMS, serão cobradas as taxas padrão do AWS KMS. Para obter detalhes, acesse a página de definição de preço do AWS KMS


P: O que é a validação da integridade de arquivos de log do CloudTrail?
O recurso de validação da integridade de arquivos de log do CloudTrail permite que você determine se um arquivo de log do CloudTrail permaneceu sem alterações, foi excluído ou modificado desde que o CloudTrail o disponibilizou ao bucket especificado do Amazon S3.

P: Quais é o benefício da validação da integridade de arquivos de log do CloudTrail?
Você pode usar a validação da integridade de arquivos de log como um auxílio nos seus processos de segurança e auditoria de TI.

P: Como posso habilitar a validação da integridade de arquivos de log do CloudTrail?
Você pode habilitar o recurso de validação da integridade de arquivos de log do CloudTrail no Console de Gerenciamento da AWS, na AWS CLI ou nos AWS SDKs.

P: O que acontece quando eu ativo o recurso de validação da integridade de arquivos de log?
Quando você ativa o recurso de validação da integridade de arquivos de log, o CloudTrail entrega arquivos de resumo a cada hora. Os arquivos de resumo contêm informações sobre os arquivos de log que foram entregues ao bucket do Amazon S3, os valores hash desses arquivos de log, assinaturas digitais do arquivo de resumo anterior e a assinatura digital do arquivo de resumo atual na seção de metadados do Amazon S3. Para obter mais informações sobre os arquivos de resumo, assinaturas digitais e valores hash, acesse a documentação do CloudTrail.

P: Onde os arquivos de resumo foram entregues?
Os arquivos de resumo foram entregues no mesmo bucket do Amazon S3 em que os arquivos de log foram entregues. No entanto, eles foram entregues a uma pasta diferente para que você possa aplicar políticas de controle de acesso granular. Para obter detalhes, consulte a seção de estrutura do arquivo de resumo da documentação do CloudTrail.

P: Como posso validar a integridade de um arquivo de log ou um arquivo de resumo disponibilizado pelo CloudTrail?
Você pode usar o AWS CLI para validar a integridade do arquivo de log ou do arquivo de resumo. Você também pode criar suas próprias ferramentas para fazer a validação. Para obter mais detalhes sobre o uso da AWS CLI para a validação da integridade de um arquivo de log, consulte a documentação do CloudTrail.

P: Eu junto todos os meus arquivos de log em todas as regiões e em várias contas em um único bucket do Amazon S3. Os arquivos de resumo serão entregues no mesmo bucket do Amazon S3?
Sim. O CloudTrail entregará os arquivos de resumo em todas as regiões e em várias contas no mesmo bucket do Amazon S3.


P: O que é a AWS CloudTrail Processing Library?
O AWS CloudTrail Processing Library é uma biblioteca Java que facilita a criação de aplicativos de leitura e processamento de arquivos de log do CloudTrail. Você pode fazer download da CloudTrail Processing Library no GitHub.

P: Qual a funcionalidade oferecida pela CloudTrail Processing Library?
A CloudTrail Processing Library oferece funcionalidades para processar tarefas como verificação contínua de uma fila do SQS, leitura e análise de mensagens do SQS, download de arquivos de log armazenados no S3, bem como análise e serialização de eventos na fila de logs de forma tolerante a falhas. Para obter mais informações, consulte a seção do Guia do usuário na documentação do CloudTrail.

P: Qual software é necessário para começar a usar a CloudTrail Processing Library?
Você precisa do aws-java-sdk versão 1.9.3 e do Java 1.7 ou versões superiores.


P: Como sou cobrado pelo AWS CloudTrail?
O AWS CloudTrail permite ver e fazer download dos últimos sete dias de atividade de uma conta para criar, modificar e excluir gratuitamente operações de serviços com suporte.

O AWS CloudTrail não cobra pela criação de uma trilha do CloudTrail. A primeira cópia dos eventos de gerenciamento dentro de cada região é entregue gratuitamente ao bucket do S3 especificado em sua trilha. Após a configuração de uma trilha do CloudTrail, as taxas do Amazon S3 são aplicadas conforme o uso. Você será cobrado por qualquer evento de dados ou cópia adicional de eventos de gerenciamento registrado nessa região de acordo com os planos de preços publicados. Por exemplo, se você criar uma trilha com várias regiões e uma trilha com uma única região dentro da mesma região, será cobrado por uma cópia dos eventos de gerenciamento registrados nessa região.  

P: Serei cobrado se tiver apenas uma trilha com eventos de gerenciamento e aplicá-la a todas as regiões?
Não. A primeira cópia dos eventos de gerenciamento é entregue gratuitamente em cada região.

P: Serei cobrado se habilitar eventos de dados em uma trilha atual com eventos de gerenciamento gratuitos?
Sim. Você será cobrado apenas pelos eventos de dados. A primeira cópia dos eventos de gestão é entregue gratuitamente.


P: Como as soluções de parceiros da AWS me ajudam a analisar os eventos registrados pelo CloudTrail?
Vários parceiros oferecem soluções integradas para analisar arquivos de log do CloudTrail. Essas soluções incluem recursos como rastreamento de alterações, solução de problemas e análises de segurança. Para obter mais informações, consulte a seção Parceiros do CloudTrail.


P: A ativação do CloudTrail afetará o desempenho dos recursos da AWS ou aumentará a latência das chamadas de API?
Não. A ativação do CloudTrail não afeta o desempenho dos seus recursos da AWS nem a latência das chamadas de APIs.