

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# CloudTrail
<a name="automation-ref-ct"></a>

 AWS Systems Manager A automação fornece runbooks predefinidos para. AWS CloudTrail Para obter informações sobre como usar runbooks, consulte [Trabalhado com runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obter informações sobre como visualizar o conteúdo do runbook, consulte [Exibir conteúdo do runbook](automation-runbook-reference.md#view-automation-json). 

**Topics**
+ [`AWSConfigRemediation-CreateCloudTrailMultiRegionTrail`](automation-aws-create-ct-mr.md)
+ [`AWS-EnableCloudTrail`](automation-aws-enablecloudtrail.md)
+ [`AWS-EnableCloudTrailCloudWatchLogs`](enable-cloudtrail-cloudwatch-logs.md)
+ [`AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS`](automation-aws-ctrail-kms.md)
+ [`AWS-EnableCloudTrailKmsEncryption`](enable-cloudtrail-kms-encryption.md)
+ [`AWSConfigRemediation-EnableCloudTrailLogFileValidation`](automation-aws-enable-ctrail-log-validation.md)
+ [`AWS-EnableCloudTrailLogFileValidation`](enable-cloudtrail-log-validation.md)
+ [`AWS-QueryCloudTrailLogs`](aws-querycloudtraillogs.md)

# `AWSConfigRemediation-CreateCloudTrailMultiRegionTrail`
<a name="automation-aws-create-ct-mr"></a>

 **Descrição** 

 O `AWSConfigRemediation-CreateCloudTrailMultiRegionTrail` runbook cria uma trilha AWS CloudTrail (CloudTrail) que entrega arquivos de log de vários Regiões da AWS para o bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha. 

 [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-CreateCloudTrailMultiRegionTrail) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: string

  Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ BucketName

  Tipo: string

  Descrição: (obrigatório) o nome do bucket do Amazon S3 no qual você deseja fazer o upload de logs.
+ KeyPrefix

  Tipo: string

  Descrição: (opcional) o prefixo da chave do Amazon S3 que é fornecida após o nome do bucket que você designou para a entrega de arquivos de log.
+ TrailName

  Tipo: string

  Descrição: (Obrigatório) O nome da CloudTrail trilha a ser criada.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `cloudtrail:CreateTrail` 
+  `cloudtrail:StartLogging` 
+  `cloudtrail:GetTrail` 
+  `s3:PutObject` 
+  `s3:GetBucketAcl` 
+  `s3:PutBucketLogging` 
+  `s3:ListBucket` 

 **Etapas do documento** 
+  `aws:executeAwsApi`- Aceita o nome da trilha e o nome do bucket do Amazon S3 como entrada e cria uma CloudTrail trilha. 
+  `aws:executeAwsApi`: ativa o registro na trilha criada e inicia a entrega do log para o bucket do Amazon S3 que você especificou. 
+  `aws:assertAwsResourceProperty`- Verifica se a CloudTrail trilha foi criada. 

# `AWS-EnableCloudTrail`
<a name="automation-aws-enablecloudtrail"></a>

 **Descrição** 

Crie uma AWS CloudTrail trilha e configure o registro em um bucket do S3.

 [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrail) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ S3 BucketName

  Tipo: string

  Descrição: (obrigatória) o nome do bucket do S3 designado para a publicação de arquivos de log.
**nota**  
 O bucket do S3 deve existir e a política do bucket deve conceder CloudTrail permissão para gravar nele. Para obter informações, consulte a [Política de bucket do Amazon S3](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html) para. CloudTrail 
+ TrailName

  Tipo: string

  Descrição: (obrigatório) o nome da nova trilha.

# `AWS-EnableCloudTrailCloudWatchLogs`
<a name="enable-cloudtrail-cloudwatch-logs"></a>

**Descrição**

Esse runbook atualiza a configuração de uma ou mais AWS CloudTrail trilhas para enviar eventos para um grupo de CloudWatch logs do Amazon Logs.

[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrailCloudWatchLogs)

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ CloudWatchLogsLogGroupArn

  Tipo: string

  Descrição: (Obrigatório) O ARN do grupo de registros de CloudWatch registros em que os CloudTrail registros serão entregues.
+ CloudWatchLogsRoleArn

  Tipo: string

  Descrição: (Obrigatório) O ARN da função do IAM CloudWatch Logs Logs presume para gravar no grupo de registros especificado.
+ TrailNames

  Tipo: StringList

  Descrição: (Obrigatório) Uma lista separada por vírgulas dos nomes das CloudTrail trilhas cujos eventos você deseja enviar para o CloudWatch Logs.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `cloudtrail:UpdateTrail`
+ `iam:PassRole`

**Etapas do documento**
+ `aws:executeScript`- Atualiza as CloudTrail trilhas especificadas para entregar eventos ao grupo de CloudWatch registros de registros especificado.

# `AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS`
<a name="automation-aws-ctrail-kms"></a>

 **Descrição** 

 O `AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS` runbook criptografa uma trilha AWS CloudTrail (CloudTrail) usando a chave gerenciada pelo cliente AWS Key Management Service (AWS KMS) que você especifica. Esse runbook só deve ser usado como base para garantir que suas CloudTrail trilhas sejam criptografadas de acordo com as melhores práticas mínimas de segurança recomendadas. Recomendamos criptografar várias trilhas com chaves KMS diferentes. CloudTrail os arquivos de resumo não são criptografados. Se você definiu anteriormente o `EnableLogFileValidation` parâmetro como `true` para a trilha, consulte a seção “Usar criptografia do lado do servidor com chaves AWS KMS gerenciadas” do tópico [Práticas recomendadas de segurança CloudTrail preventiva](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html#best-practices-security-preventative) no Guia do *AWS CloudTrail usuário* para obter mais informações. 

 [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: string

  Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ KMSKeyIdentificação

  Tipo: string

   Descrição: (obrigatório) O ARN, o ID da chave ou o alias da chave gerenciada pelo cliente que você deseja usar para criptografar a trilha especificada no parâmetro `TrailName`. 
+ TrailName

  Tipo: string

  Descrição: (obrigatório) o ARN ou o nome da trilha que você deseja atualizar para ser criptografada.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `cloudtrail:GetTrail` 
+  `cloudtrail:UpdateTrail` 

 **Etapas do documento** 
+  `aws:executeAwsApi`: ativa a criptografia na trilha que você especifica no parâmetro `TrailName`. 
+  `aws:executeAwsApi`: reúne o ARN da chave gerenciada pelo cliente que você especifica no parâmetro `KMSKeyId`. 
+  `aws:assertAwsResourceProperty`- Verifica se a criptografia foi ativada na CloudTrail trilha. 

# `AWS-EnableCloudTrailKmsEncryption`
<a name="enable-cloudtrail-kms-encryption"></a>

**Descrição**

Este runbook atualiza a configuração de uma ou mais AWS CloudTrail trilhas para usar a criptografia AWS Key Management Service (AWS KMS).

[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrailKmsEncryption)

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ KMSKeyIdentificação

  Tipo: string

  Descrição: (Obrigatório) O ID da chave gerenciada pelo cliente que você deseja usar para criptografar a trilha especificada no `TrailName` parâmetro. O valor pode ser um nome de alias prefixado por “alias/”, um ARN totalmente especificado para um alias ou um ARN totalmente especificado para uma chave.
+ TrailNames

  Tipo: StringList

  Descrição: (Obrigatório) Uma lista separada por vírgulas das trilhas que você deseja atualizar para serem criptografadas.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `cloudtrail:UpdateTrail`
+ `kms:DescribeKey`
+ `kms:ListKeys`

**Etapas do documento**
+ `aws:executeScript`- Ativa a AWS KMS criptografia nas trilhas que você especifica no `TrailName` parâmetro.

# `AWSConfigRemediation-EnableCloudTrailLogFileValidation`
<a name="automation-aws-enable-ctrail-log-validation"></a>

 **Descrição** 

 O `AWSConfigRemediation-EnableCloudTrailLogFileValidation` runbook permite a validação do arquivo de log para sua AWS CloudTrail trilha. 

 [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudTrailLogFileValidation) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: string

  Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ TrailName

  Tipo: string

  Descrição: (obrigatório) o nome ou o nome do recurso da Amazon (ARN) da trilha para a qual você deseja ativar a validação do log.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `cloudtrail:GetTrail` 
+  `cloudtrail:UpdateTrail` 

 **Etapas do documento** 
+  `aws:executeAwsApi`: ativa a validação do log para a trilha do AWS CloudTrail que você especifica no parâmetro `TrailName`. 
+  `aws:assertAwsResourceProperty`: verifica se a validação do log está ativada para sua trilha. 

# `AWS-EnableCloudTrailLogFileValidation`
<a name="enable-cloudtrail-log-validation"></a>

**Descrição**

O `AWS-EnableCloudTrailLogFileValidation` runbook permite a validação do arquivo de log para as AWS CloudTrail trilhas que você especificar.

[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrailLogFileValidation)

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ TrailNames

  Tipo: StringList

  Descrição: (Obrigatório) Uma lista separada por vírgulas dos nomes das CloudTrail trilhas para as quais você deseja habilitar a validação de registros.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `cloudtrail:GetTrail`
+ `cloudtrail:UpdateTrail`

**Etapas do documento**
+ `aws:executeScript`- Permite a validação do registro para as AWS CloudTrail trilhas que você especifica no `TrailNames` parâmetro.

# `AWS-QueryCloudTrailLogs`
<a name="aws-querycloudtraillogs"></a>

 **Descrição** 

 O `AWS-QueryCloudTrailLogs` runbook cria uma tabela do Amazon Athena a partir do bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha contendo () logs. AWS CloudTrail CloudTrail Depois de criar a tabela, a automação executa as consultas SQL que você especifica e, em seguida, exclui a tabela. 

 [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-QueryCloudTrailLogs) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Bancos de dados

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ Consulta

  Tipo: string

  Descrição: (obrigatório) a consulta SQL que você deseja executar.
+ SourceBucketPath

  Tipo: string

  Descrição: (Obrigatório) O nome do bucket do Amazon S3 contendo os arquivos de CloudTrail log que você deseja consultar.
+ TableName

  Tipo: string

  Descrição: (opcional) o nome da tabela do Athena criada pela automação.

  Padrão: cloudtrail\$1logs

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `athena:GetQueryResults` 
+  `athena:GetQueryExecution` 
+  `athena:StartQueryExecution` 
+  `glue:CreateTable` 
+  `glue:DeleteTable` 
+  `glue:GetDatabase` 
+  `glue:GetPartitions` 
+  `glue:GetTable` 
+  `s3:AbortMultipartUpload` 
+  `s3:CreateBucket` 
+  `s3:GetBucketLocation` 
+  `s3:GetObject` 
+  `s3:ListBucket` 
+  `s3:ListBucketMultipartUploads` 
+  `s3:ListMultipartUploadParts` 
+  `s3:PutObject` 

 **Etapas do documento** 
+  `aws:executeAwsApi`: cria uma tabela do Athena. 
+  `aws:executeAwsApi` : executa a sequência de caracteres de consulta que você especifica no parâmetro`Query`. 
+  `aws:executeScript`: pesquisa e aguarda a conclusão da consulta. 
+  `aws:executeAwsApi`: obtém os resultados da consulta. 
+  `aws:executeAwsApi`: exclui a tabela criada pela automação.