

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione dell'autenticazione con token al portatore per Metrics
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth"></a>

**Nota**  
Questa pagina riguarda l'autenticazione con token al portatore per l'endpoint OTLP di Metrics. CloudWatch *Per l'autenticazione tramite token CloudWatch Logs Bearer, vedi [Configurazione dell'autenticazione con token bearer per Logs nella Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints_BearerTokenAuth.html). CloudWatch *

Prima di poter inviare le metriche utilizzando l'autenticazione con token al portatore con l'endpoint OTLP, devi: CloudWatch 
+ Creare un utente IAM con autorizzazioni Metrics CloudWatch 
+ Genera credenziali specifiche per il servizio (chiave API)

**Importante**  
Consigliamo di utilizzare l'autenticazione SigV4 con credenziali a breve termine per tutti i carichi di lavoro laddove ciò sia possibile. SigV4 offre la posizione di sicurezza più solida. Limita l'uso delle chiavi API (bearer token) a scenari in cui l'autenticazione a breve termine basata su credenziali non è possibile, ad esempio l'invio di metriche da AWS ambienti diversi, fornitori di terze parti o piattaforme che non supportano l'SDK. AWS Quando sei pronto a incorporare le CloudWatch metriche in applicazioni con requisiti di sicurezza più elevati, passa alle credenziali a breve termine. Per ulteriori informazioni, consulta [Alternative alle chiavi di accesso a lungo termine nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles) per l'*utente IAM*.

**Importante**  
L'endpoint CloudWatch OTLP richiede TLS (HTTPS). Le richieste di token Bearer inviate tramite HTTP semplice vengono rifiutate. Usalo sempre `https://monitoring.{{AWS Region}}.amazonaws.com/v1/metrics` durante la configurazione del client.

## Opzione 1: avvio rapido a utilizzare AWS console
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-QuickStart"></a>

La console AWS di gestione offre un flusso di lavoro semplificato per generare chiavi API per l'accesso agli endpoint OTLP.

**Per configurare l'accesso agli endpoint OTLP utilizzando la console**

1. Accedi alla console di gestione. AWS 

1. Vai a **CloudWatch**> **Impostazioni** > **Globale**.

1. Nella sezione Chiavi API, scegli **Genera chiave API**.

1. Per **Scadenza della chiave API**, esegui una delle seguenti operazioni:
   + Seleziona una durata di scadenza della chiave API di **1**, **5**, **30**, **90** o **365** giorni.
   + Scegli **Durata personalizzata** per specificare una data di scadenza della chiave API personalizzata.
   + Seleziona **Non scade mai** (scelta non consigliata).

1. Scegli **Genera chiave API**.

La console automaticamente:
+ Crea un nuovo utente IAM con le autorizzazioni appropriate
+ Allega la policy [CloudWatchAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAPIKeyAccess.html)gestita (include `cloudwatch:PutMetricData` e `cloudwatch:CallWithBearerToken` autorizzazioni)
+ Genera credenziali specifiche del servizio (chiave API)

**Per salvare e verificare la tua chiave API**

1. Copia e salva in modo sicuro le credenziali visualizzate:
   + **ID chiave API (ID** Service-specific credenziale)
   + **Chiave API segreta** (token Bearer)

   La console offre anche la possibilità di archiviare la chiave API direttamente in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) durante la generazione. Se si sceglie di archiviare in Secrets Manager, la chiave viene automaticamente aggiornata al ripristino ed eliminata all'eliminazione della chiave.
**Importante**  
Salva immediatamente l'API Key Secret. Non puoi recuperarlo in un secondo momento. Se la perdi, devi generare una nuova chiave API.

1. Invia una metrica di test per verificare la configurazione:

   ```
   curl -X POST "https://monitoring.us-east-1.amazonaws.com/v1/metrics" \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer {{YOUR_API_KEY}}" \
        -d '{"resourceMetrics":[]}'
   ```

## Opzione 2: configurazione manuale
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-ManualSetup"></a>

Se preferisci un maggiore controllo sulla configurazione IAM o devi personalizzare le autorizzazioni, puoi configurare manualmente l'accesso agli endpoint OTLP.

### Passaggio 1: creare un utente IAM
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Step1"></a>

Crea un utente IAM per l'inserimento di metriche:

**Per creare un utente IAM per l'inserimento di metriche**

1. Accedi alla console di AWS gestione e accedi a IAM.

1. Nel riquadro di navigazione a sinistra, seleziona **Users (Utenti)**.

1. Selezionare **Create user (Crea utente)**.

1. Inserisci un nome utente (ad esempio,**cloudwatch-metrics-api-key-user**).

1. Scegli **Next (Successivo)**.

1. Allega una delle seguenti politiche IAM:

   **Opzione A: utilizza la policy gestita (consigliata)**

   Allega la politica [CloudWatchAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAPIKeyAccess.html)gestita.

   **Opzione B: creare una politica personalizzata**

   Crea e allega la seguente policy IAM:

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "CloudWatchMetricsAPIs",
               "Effect": "Allow",
               "Action": [
                   "cloudwatch:CallWithBearerToken",
                   "cloudwatch:PutMetricData"
               ],
               "Resource": "*"
           },
           {
               "Sid": "KMSDecryptForCMKDatasets",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Condition": {
                   "StringLike": {
                       "kms:ViaService": "cloudwatch.*.amazonaws.com",
                       "kms:EncryptionContext:aws:cloudwatch:arn": "arn:aws:cloudwatch:*:*:dataset/*"
                   }
               },
               "Resource": "arn:aws:kms:*:*:key/*"
           }
       ]
   }
   ```

1. Scegli **Avanti**, quindi scegli **Crea utente**.

**Nota**  
Le autorizzazioni KMS sono necessarie se prevedi di inviare metriche a set di dati che utilizzano chiavi KMS gestite dal cliente (CMK). Le condizioni limitano l'accesso KMS solo alle chiavi utilizzate tramite il servizio per le risorse del set di dati. CloudWatch 

### Fase 2: Generazione di credenziali specifiche per il servizio (chiave API)
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Step2"></a>

Genera la chiave API CloudWatch Metrics utilizzando l'API. [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) Puoi anche utilizzare il comando [AWS CLI create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html). Per l'età delle credenziali, puoi specificare un valore compreso tra 1 e 36600 giorni. Se non specifichi l'età delle credenziali, la chiave API non scadrà.

Per generare una chiave API con una scadenza di 30 giorni:

```
aws iam create-service-specific-credential \
    --user-name cloudwatch-metrics-api-key-user \
    --service-name cloudwatch.amazonaws.com \
    --credential-age-days 30
```

La risposta è un [ServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ServiceSpecificCredential.html)oggetto. Il `ServiceCredentialSecret` valore è la tua chiave API CloudWatch Metrics (token bearer).

**Importante**  
Archivia il `ServiceCredentialSecret` valore in modo sicuro. Non puoi recuperarlo in un secondo momento. Se la perdi, devi generare una nuova chiave API.

### Fase 3: Inviare metriche
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Step3"></a>

Puoi inviare immediatamente le metriche all'endpoint OTLP utilizzando il tuo token bearer:

```
curl -X POST "https://monitoring.us-east-1.amazonaws.com/v1/metrics" \
     -H "Content-Type: application/json" \
     -H "Authorization: Bearer {{YOUR_API_KEY}}" \
     -d '{"resourceMetrics":[]}'
```

L'endpoint accetta entrambi i tipi di contenuto. `application/json` `application/x-protobuf`

## Controlla le autorizzazioni per la generazione e l'utilizzo delle chiavi API CloudWatch Metrics
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Permissions"></a>

### Controllo della generazione di chiavi API CloudWatch Metrics
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Permissions-Generation"></a>

L'[https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html#awsidentityandaccessmanagementiam-actions-as-permissions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html#awsidentityandaccessmanagementiam-actions-as-permissions)azione controlla la generazione di una chiave specifica del servizio (come una chiave API CloudWatch Metrics). È possibile questa azione agli utenti IAM come una risorsa per limitare gli utenti per cui è possibile generare una chiave.

Per imporre condizioni all’autorizzazione per l’azione `iam:CreateServiceSpecificCredential`, è possibile utilizzare le chiavi di condizione seguenti:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays)— Consente di specificare, nella condizione, il tempo di scadenza della chiave in giorni.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialServiceName](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialServiceName)— Consente di specificare, nella condizione, il nome di un servizio.

### Controllo dell'utilizzo delle chiavi API CloudWatch Metrics
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Permissions-Usage"></a>

L'`cloudwatch:CallWithBearerToken`azione controlla l'uso di una chiave API CloudWatch Metrics. Per impedire a un'identità di utilizzare le chiavi dell'API CloudWatch Metrics, allega una policy che neghi l'`cloudwatch:CallWithBearerToken`azione all'utente IAM associato alla chiave.

**Nota**  
I token Bearer for CloudWatch Metrics possono essere utilizzati solo con l'endpoint di ingestione delle metriche OTLP (). `https://monitoring.{{AWS Region}}.amazonaws.com/v1/metrics` Non possono essere utilizzati per chiamare nessun'altra CloudWatch API o endpoint, incluse le API di query (,,`DescribeAlarms`), l'endpoint di query PromQL `GetMetricData``ListMetrics`, l'endpoint OTLP trace o l'endpoint OTLP logs.

### Policy di esempio
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Permissions-Examples"></a>

**Impedisci a un'identità di generare e utilizzare le chiavi API Metrics: CloudWatch**

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyCWMetricsAPIKeys",
            "Effect": "Deny",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "cloudwatch:CallWithBearerToken"
            ],
            "Resource": "*"
        }
    ]
}
```

**avvertimento**  
Questa politica impedisce la creazione di credenziali per tutti i AWS servizi che supportano la creazione di credenziali specifiche del servizio. *Per ulteriori informazioni, consulta le [Service-specificcredenziali per gli utenti IAM nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_service-specific-creds.html).*

**Impedisci a un'identità di utilizzare le CloudWatch chiavi API Metrics:**

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "cloudwatch:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}
```

**Consenti la creazione di chiavi CloudWatch Metrics solo se scadono entro 90 giorni:**

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceSpecificCredential",
            "Resource": "arn:aws:iam::123456789012:user/{{username}}",
            "Condition": {
                "StringEquals": {
                    "iam:ServiceSpecificCredentialServiceName": "cloudwatch.amazonaws.com"
                },
                "NumericLessThanEquals": {
                    "iam:ServiceSpecificCredentialAgeDays": "90"
                }
            }
        }
    ]
}
```

## Utilizzo di gettoni al portatore con il Collector OpenTelemetry
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Collector"></a>

Quando si utilizzano token bearer, non è necessaria l'estensione. `sigv4auth` Usa l'estensione [bearertokenauth](https://github.com/open-telemetry/opentelemetry-collector-contrib/tree/main/extension/bearertokenauthextension) per fornire in modo sicuro la tua chiave API da un file o da una variabile di ambiente:

```
extensions:
  bearertokenauth:
    filename: "/etc/otel/cw-api-key"

exporters:
  otlphttp:
    tls:
      insecure: false
    endpoint: https://monitoring.us-east-1.amazonaws.com/v1/metrics
    auth:
      authenticator: bearertokenauth

receivers:
  otlp:
    protocols:
      http:
        endpoint: 0.0.0.0:4318

processors:
  batch:
    send_batch_size: 200
    timeout: 10s

service:
  extensions: [bearertokenauth]
  pipelines:
    metrics:
      receivers: [otlp]
      processors: [batch]
      exporters: [otlphttp]
```

In alternativa, puoi fare riferimento a una variabile di ambiente anziché a un file:

```
extensions:
  bearertokenauth:
    token: "${env:CW_API_KEY}"
```

**Importante**  
Non codificare mai le chiavi API direttamente nei file di configurazione del collettore. I file di configurazione sono spesso affidati al controllo della versione o archiviati nei manifesti di distribuzione. `filename`Utilizzateli per leggere da un segreto montato o `${env:VAR}` per leggere da una variabile di ambiente inserita dal vostro gestore dei segreti.

**Nota**  
Con l'autenticazione con token bearer, non sono necessari l'`sigv4auth`estensione, i file di AWS credenziali, i ruoli IAM o la configurazione IRSA. Ciò rende la configurazione del collettore portabile in qualsiasi ambiente AWS, locale o con altri provider di servizi cloud.

## Chiavi API rotanti
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Rotation"></a>

La rotazione regolare delle chiavi API riduce il rischio di accessi non autorizzati. Ti consigliamo di stabilire un programma di rotazione in linea con le politiche di sicurezza dell'organizzazione.

### Processo di rotazione
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Rotation-Process"></a>

Per ruotare una chiave API senza interrompere l'erogazione delle metriche, segui questa procedura:

**Per ruotare una chiave API**

1. Crea una nuova credenziale (secondaria) per l'utente IAM:

   ```
   aws iam create-service-specific-credential \
       --user-name cloudwatch-metrics-api-key-user \
       --service-name cloudwatch.amazonaws.com \
       --credential-age-days 90
   ```
**Nota**  
IAM consente un massimo di 2 credenziali specifiche del servizio per utente IAM per servizio. Elimina o disattiva le vecchie credenziali prima di crearne di nuove se hai raggiunto questo limite.

1. (Facoltativo) Archivia la nuova credenziale in AWS Secrets Manager per il recupero sicuro e la rotazione automatica.

1. Aggiorna la configurazione o l'applicazione OpenTelemetry Collector per utilizzare la nuova chiave API.

1. Imposta la credenziale originale su inattiva:

   ```
   aws iam update-service-specific-credential \
       --user-name cloudwatch-metrics-api-key-user \
       --service-specific-credential-id {{ACCA1234EXAMPLE1234}} \
       --status Inactive
   ```

1. Verifica che la distribuzione metrica non sia influenzata. Invia una richiesta di test utilizzando la nuova chiave e conferma di ricevere una risposta HTTP 200. Puoi anche monitorare le CloudWatch metriche esistenti dell'applicazione per confermare che i dati continuino ad arrivare.

1. Dopo aver confermato l'avvenuta consegna con la nuova chiave, elimina la credenziale precedente:

   ```
   aws iam delete-service-specific-credential \
       --service-specific-credential-id {{ACCA1234EXAMPLE1234}}
   ```

### Monitoraggio della scadenza delle chiavi
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Rotation-Monitoring"></a>

Per verificare la data di creazione e lo stato delle chiavi API esistenti, usa il comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html):

```
aws iam list-service-specific-credentials \
    --user-name cloudwatch-metrics-api-key-user \
    --service-name cloudwatch.amazonaws.com
```

La risposta include e per ogni credenziale. `CreateDate` `Status` Utilizza queste informazioni per identificare le chiavi che stanno per scadere o che sono state attive più a lungo di quanto consentito dalla politica di rotazione.

## Risposta a una chiave API compromessa
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-Compromised"></a>

Se sospetti che una chiave API sia stata compromessa, procedi immediatamente come segue:

**Per rispondere a una chiave API compromessa**

1. **Disattiva immediatamente la chiave** per evitare ulteriori utilizzi non autorizzati:

   ```
   aws iam update-service-specific-credential \
       --user-name cloudwatch-metrics-api-key-user \
       --service-specific-credential-id {{ACCA1234EXAMPLE1234}} \
       --status Inactive
   ```

1. ** CloudTrail Esamina i log** per determinare l'ambito dell'accesso non autorizzato. Scopri [Registrazione dell'utilizzo delle chiavi API con CloudTrail](#CloudWatch-OTLP-MetricsBearerTokenAuth-CloudTrail) come abilitare il controllo dell'utilizzo delle chiavi API.

1. **Crea una chiave sostitutiva** seguendo il processo di rotazione descritto in[Processo di rotazione](#CloudWatch-OTLP-MetricsBearerTokenAuth-Rotation-Process).

1. **Eliminare la chiave compromessa** dopo aver effettuato la sostituzione:

   ```
   aws iam delete-service-specific-credential \
       --service-specific-credential-id {{ACCA1234EXAMPLE1234}}
   ```

1. **Allega una politica di rifiuto** se devi bloccare immediatamente l'accesso a tutti i token portatori per l'utente IAM durante le indagini:

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": {
           "Effect": "Deny",
           "Action": "cloudwatch:CallWithBearerToken",
           "Resource": "*"
       }
   }
   ```

**Nota**  
Per eseguire queste azioni tramite l'API, devi autenticarti con AWS le credenziali e non con una CloudWatch chiave API Metrics. I token Bearer possono essere utilizzati solo per l'inserimento di metriche, non per le operazioni di gestione IAM.

Puoi anche utilizzare le seguenti operazioni dell'API IAM per gestire le chiavi compromesse:
+ [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html)— Reimposta la chiave per generare una nuova password senza eliminare la credenziale. La chiave non deve essere scaduta.

## Le migliori pratiche di sicurezza per le chiavi API
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-BestPractices"></a>

Segui queste best practice per proteggere le tue chiavi API CloudWatch Metrics:
+ **Non incorporare mai le chiavi API nel codice sorgente.** Non codificate le chiavi API nel codice dell'applicazione, nei file di configurazione dei collettori o nei sistemi di controllo della versione. Utilizzate l'`bearertokenauth`estensione con `filename` o `${env:VAR}` per iniettare segreti in fase di esecuzione.
+ **Usa un gestore di segreti.** Archivia le chiavi API in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) o in una soluzione di gestione dei segreti equivalente. Ciò consente il controllo centralizzato degli accessi, la registrazione degli audit e la rotazione automatizzata.
+ **Imposta una scadenza per tutte le chiavi.** Specificate sempre un `--credential-age-days` valore durante la creazione delle chiavi API. Per imporre una durata massima delle chiavi in tutta l'organizzazione, utilizza la chiave di condizione `iam:ServiceSpecificCredentialAgeDays` IAM.
+ **Applica le autorizzazioni con privilegi minimi.** Utilizza la [CloudWatchAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAPIKeyAccess.html)policy gestita come punto di partenza e limita ulteriormente se necessario.
+ **Abilita la CloudTrail registrazione.** Verifica l'utilizzo delle chiavi API abilitando gli eventi di CloudTrail dati per`AWS::CloudWatch::Metric`. Per informazioni, consulta [Registrazione dell'utilizzo delle chiavi API con CloudTrail](#CloudWatch-OTLP-MetricsBearerTokenAuth-CloudTrail).
+ **Monitora con IAM Access Analyzer.** Utilizza [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) per identificare le credenziali non utilizzate e le policy eccessivamente permissive associate agli utenti IAM della tua chiave API.
+ **Ruota i tasti regolarmente.** Stabilite un programma di rotazione e seguite la procedura descritta in[Chiavi API rotanti](#CloudWatch-OTLP-MetricsBearerTokenAuth-Rotation).

## Registrazione dell'utilizzo delle chiavi API con CloudTrail
<a name="CloudWatch-OTLP-MetricsBearerTokenAuth-CloudTrail"></a>

Puoi utilizzarlo AWS CloudTrail per registrare gli eventi relativi ai dati per l'ingestione di CloudWatch Metrics OTLP. CloudWatch emette eventi di `AWS::CloudWatch::Metric` dati per le chiamate all'endpoint OTLP, consentendoti di controllare l'attività di inserimento delle metriche, incluso l'utilizzo delle chiavi API.

**Nota**  
Il bucket S3 che specifichi per il percorso deve avere una policy relativa ai bucket che consenta di scrivere file di log al suo interno. CloudTrail *Per ulteriori informazioni, consulta la [policy sui bucket di Amazon S3 CloudTrail nella Guida per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html) l'AWS CloudTrail utente.*

**Per abilitare la CloudTrail registrazione per l'utilizzo delle chiavi dell'API CloudWatch Metrics**

1. Crea un percorso:

   ```
   aws cloudtrail create-trail \
       --name cloudwatch-metrics-api-key-audit \
       --s3-bucket-name {{my-cloudtrail-bucket}} \
       --region us-east-1
   ```

1. Configura i selettori di eventi avanzati per acquisire gli eventi di scrittura (inserimento) dei dati di CloudWatch Metrics:

   ```
   aws cloudtrail put-event-selectors \
       --region us-east-1 \
       --trail-name cloudwatch-metrics-api-key-audit \
       --advanced-event-selectors '[{
           "Name": "CloudWatch Metrics write data events",
           "FieldSelectors": [
               { "Field": "eventCategory", "Equals": ["Data"] },
               { "Field": "resources.type", "Equals": ["AWS::CloudWatch::Metric"] },
               { "Field": "readOnly", "Equals": ["false"] }
           ]
       }]'
   ```

1. Inizia la registrazione dei percorsi:

   ```
   aws cloudtrail start-logging \
       --name cloudwatch-metrics-api-key-audit \
       --region us-east-1
   ```

Il `readOnly: false` filtro limita la registrazione alle operazioni di scrittura (PutMetricData), che includono tutte le chiamate di ingestione OTLP. Per identificare l'utilizzo del token bearer tra questi eventi, interroga i trail log (tramite Athena o CloudTrail Lake) e filtra in base al nome utente IAM associato alla chiave API (ad esempio,). `cloudwatch-metrics-api-key-user` Gli eventi derivanti dall'inserimento di OTLP sono `AdditionalEventData.protocol` impostati nel payload degli eventi, che puoi utilizzare `OTLP` nelle query post-hoc per distinguerli dalle classiche chiamate SDK. PutMetricData 