AWS CloudTrail è un servizio Web che registra le chiamate API AWS per il tuo account e fornisce i relativi file di log. Le informazioni registrate comprendono l'identità del chiamante API, l'orario della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri della richiesta e gli elementi di risposta rinviati dal servizio AWS.
Con CloudTrail è possibile ottenere lo storico delle chiamate API AWS per il tuo account, fra cui le chiamate API effettuate tramite la Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e i servizi AWS di livello superiore (come AWS CloudFormation). Lo storico delle chiamate API AWS creato da CloudTrail rende possibile analisi di sicurezza, monitoraggio delle modifiche alle risorse e audit di conformità.
Inizia a usare AWS gratis
Crea un account gratuitoOppure accedi alla console
Ricevi dodici mesi di accesso al piano di utilizzo gratuito AWS e sfrutta le caratteristiche di AWS Basic Support, inclusi l'assistenza clienti 24 ore al giorno, forum di supporto e molto altro.
CloudTrail fornisce maggiore visibilità nella tua attività utente registrando le chiamate API di AWS. Puoi rispondere a domande come, ad esempio: quali operazioni ha effettuato un particolare utente in un determinato periodo di tempo? Per una specifica risorsa, quale utente ha effettuato operazioni su di essa in un determinato periodo di tempo? Qual è l'indirizzo IP di origine di una determinata attività? Quali attività non sono state completate a causa di permessi inadeguati?
CloudTrail utilizza Amazon S3 per lo storage e la distribuzione di file di log, perciò questi sono archiviati in modo durevole e a basso costo. Si possono utilizzare le regole di configurazione del ciclo di vita di Amazon S3 per ridurre ulteriormente i costi di storage. Si possono, per esempio, definire regole per eliminare automaticamente i vecchi file di log o archiviarli in Amazon Glacier per ridurre ulteriormente i costi.
Puoi configurare CloudTrail in modo da pubblicare una notifica per ogni file di log distribuito, consentendoti di agire automaticamente al momento dell'arrivo del file di log. CloudTrail utilizza Amazon Simple Notification Service (SNS) per le notifiche.
CloudTrail fornisce visibili su tutte le chiamate API a livello di oggetto di S3, incluse operazioni Get, Put, Delete e modifiche alle liste di controllo degli accessi sugli oggetti S3. Consente inoltre di ottenere informazioni utili su tutte le chiamate API, tra cui utenti IAM autori della chiamata, data e ora di esecuzione, risorse interessate e molto altro.
Puoi configurare CloudTrail in modo da distribuire attività API a un gruppo di log di CloudWatch Logs specificato. Potrai quindi creare allarmi CloudWatch per ricevere notifiche SNS in caso di attività API specifiche. Per i dettagli, consulta le Domande frequenti e la guida per l’utente nella documentazione di CloudTrail.
Puoi configurare CloudTrail in modo da aggregare file di log relativi a molteplici account e regioni, distribuendoli così in un solo bucket. Per istruzioni dettagliate, consulta la sezione Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket della guida per l’utente.
Come impostazione predefinita, CloudTrail crittografa tutti i file di log distribuiti al bucket Amazon S3 specificato utilizzando la crittografia lato server (SSE) di Amazon S3. Facoltativamente, puoi aggiungere un ulteriore livello di sicurezza ai file di log CloudTrail crittografandoli con una chiave AWS Key Management Service (KMS). Amazon S3 decrittograferà automaticamente i file di log se disponi dei relativi permessi. Per ulteriori dettagli, consulta la sezione encrypting log files using your KMS key.
Puoi risolvere problemi operativi o effettuare analisi di sicurezza osservando l’attività API catturata per il tuo account AWS. Utilizzando la Console di AWS CloudTrail, la CLI AWS o gli SDK AWS, puoi rispondere in modo rapido e facile alle domande in relazione all’attività API negli ultimi 7 giorni e intraprendere le azioni necessarie. Per ulteriori dettagli, consulta questa sezione della documentazione di CloudTrail relativa alla ricerca di attività API.
PuPuoi convalidare l’integrità dei file di log CloudTrail archiviati nel tuo bucket Amazon S3 e verificare se sono rimasti invariati, sono stati modificati o eliminati dal momento in cui CloudTrail li ha distribuiti nel tuo bucket Amazon S3. Puoi utilizzare la convalida dell’integrità dei file di log come sussidio ai processi di sicurezza e audit IT.
Puoi utilizzare lo storico delle chiamate API AWS generato da CloudTrail come input per la gestione di log e soluzioni per effettuare analisi di sicurezza e rilevare modelli di comportamento degli utenti.
Puoi utilizzare lo storico delle chiamate API AWS generato da CloudTrail per monitorare le modifiche alle risorse AWS, comprese creazione, modifica ed eliminazione di risorse AWS quali istanze Amazon EC2, gruppi di sicurezza Amazon VPC e volumi Amazon EBS.
CloudTrail rende più facile garantire la conformità a policy interne e standard normativi fornendo lo storico delle chiamate API AWS. Per ulteriori dettagli, consulta il whitepaper sulla conformità AWS "Security at Scale: Logging in AWS."
Puoi utilizzare lo storico delle chiamate API AWS generato da CloudTrail per risolvere problemi operativi. Ad esempio, puoi identificare rapidamente le modifiche più recenti apportate alle risorse nel tuo ambiente.
CloudTrail registra l'attività delle API e gli eventi generati dalla maggior parte dei servizi AWS. Per visualizzare un elenco dei servizi supportati, consulta la CloudTrail User Guide.
CloudTrail è supportato in tutte le regioni AWS. Per visualizzare un elenco di endpoint e di regioni supportate, consulta la CloudTrail User Guide.
