Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail Lake-Dashboards
Sie können CloudTrail Lake-Dashboards verwenden, um Veranstaltungstrends für die Ereignisdatenspeicher in Ihrem Konto zu sehen. CloudTrail Lake bietet die folgenden Arten von Dashboards:
-
Verwaltete Dashboards — Sie können ein verwaltetes Dashboard aufrufen, um Ereignistrends für einen Ereignisdatenspeicher zu sehen, in dem Verwaltungsereignisse, Datenereignisse oder Insights-Ereignisse erfasst werden. Diese Dashboards stehen Ihnen automatisch zur Verfügung und werden von Lake verwaltet CloudTrail . CloudTrail bietet 14 verwaltete Dashboards zur Auswahl. Sie können verwaltete Dashboards manuell aktualisieren. Sie können die Widgets für diese Dashboards nicht ändern, hinzufügen oder entfernen. Sie können jedoch ein verwaltetes Dashboard als benutzerdefiniertes Dashboard speichern, wenn Sie die Widgets ändern oder einen Aktualisierungszeitplan festlegen möchten.
-
Benutzerdefinierte Dashboards — Mit benutzerdefinierten Dashboards können Sie Ereignisse in jedem beliebigen Ereignisdatenspeichertyp abfragen. Sie können einem benutzerdefinierten Dashboard bis zu 10 Widgets hinzufügen. Sie können ein benutzerdefiniertes Dashboard manuell aktualisieren oder einen Aktualisierungszeitplan festlegen.
-
Highlights-Dashboards — Aktivieren Sie das Highlights-Dashboard, um einen at-a-glance Überblick über die AWS Aktivitäten zu erhalten, die von den Ereignisdatenspeichern in Ihrem Konto erfasst wurden. Das Highlights-Dashboard wird von Ihrem Konto verwaltet CloudTrail und enthält Widgets, die für Ihr Konto relevant sind. Die im Highlights-Dashboard angezeigten Widgets sind für jedes Konto einzigartig. Diese Widgets könnten festgestellte abnormale Aktivitäten oder Anomalien aufdecken. Ihr Highlights-Dashboard könnte beispielsweise das Widget „Kontoübergreifender Zugriff insgesamt“ enthalten, das anzeigt, ob es zu einer Zunahme abnormaler kontoübergreifender Aktivitäten kommt. CloudTrail aktualisiert das Highlights-Dashboard alle 6 Stunden. Das Dashboard zeigt die Daten der letzten 24 Stunden aus dem letzten Update.
Jedes Dashboard besteht aus einem oder mehreren Widgets und jedes Widget bietet eine grafische Darstellung der Ergebnisse einer SQL-Abfrage. Um die Abfrage für ein Widget anzuzeigen, wählen Sie Abfrage anzeigen und bearbeiten, um den Abfrage-Editor zu öffnen.
Wenn ein Dashboard aktualisiert wird, führt CloudTrail Lake Abfragen aus, um die Widgets des Dashboards zu füllen. Da das Ausführen von Abfragen Kosten verursacht, werden Sie CloudTrail aufgefordert, die mit der Ausführung von Abfragen verbundenen Kosten zu bestätigen. Weitere Informationen zur Preisgestaltung finden Sie unter CloudTrail CloudTrail Preisgestaltung
Themen
- Voraussetzungen
- Einschränkungen
- Regionsunterstützung
- Erforderliche Berechtigungen
- Zeigen Sie ein verwaltetes Dashboard mit der Konsole an CloudTrail
- Aktivieren Sie das Highlights-Dashboard mit der CloudTrail Konsole
- Deaktivieren Sie das Highlights-Dashboard mit der CloudTrail Konsole
- Erstellen Sie mit der CloudTrail Konsole ein benutzerdefiniertes Dashboard
- Legen Sie mit der CloudTrail Konsole einen Aktualisierungszeitplan für ein benutzerdefiniertes Dashboard fest
- Deaktivieren Sie den Aktualisierungszeitplan für ein benutzerdefiniertes Dashboard mit der CloudTrail Konsole
- Ändern Sie den Kündigungsschutz mit der Konsole CloudTrail
- Löschen Sie ein benutzerdefiniertes Dashboard mit der CloudTrail Konsole
- Erstellen, aktualisieren und verwalten Sie Dashboards mit dem AWS CLI
Voraussetzungen
Für CloudTrail Lake-Dashboards gelten die folgenden Voraussetzungen:
-
Um Lake-Dashboards anzeigen und verwenden zu können, müssen Sie mindestens einen CloudTrail Lake-Ereignisdatenspeicher erstellen. Sie können Ereignisdatenspeicher mithilfe der Konsole, AWS CLI, oder SDKs erstellen. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers mit der Konsole finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse. Hinweise zum Erstellen eines Ereignisdatenspeichers mithilfe von finden Sie unterErstellen Sie einen Ereignisdatenspeicher mit dem AWS CLI. AWS CLI
-
Sie müssen über ausreichende Berechtigungen verfügen, um Dashboards anzeigen, erstellen, aktualisieren und aktualisieren zu können. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.
Einschränkungen
Die folgenden Einschränkungen gelten für CloudTrail Lake-Dashboards:
-
Sie können das Highlights-Dashboard nur für Event-Datenspeicher aktivieren, die in Ihrem Konto vorhanden sind.
-
Sie können nur verwaltete Dashboards für Veranstaltungsdatenspeicher anzeigen, die in Ihrem Konto vorhanden sind.
-
Für benutzerdefinierte Dashboards können Sie nur Beispiel-Widgets hinzufügen oder neue Widgets erstellen, die in Ihrem Konto vorhandene Ereignisdatenspeicher abfragen.
-
Delegierte Administratoren für eine AWS Organizations Organisation können keine Dashboards anzeigen oder verwalten, die dem Verwaltungskonto gehören.
Regionsunterstützung
Die CloudTrail Lake-Dashboards werden überall unterstützt, AWS-Regionen wo CloudTrail Lake unterstützt wird.
Das Widget „Aktivitätsübersicht“ im Highlights-Dashboard wird in den folgenden Regionen unterstützt:
-
Region Asien-Pazifik (Tokio) (ap-northeast-1)
-
USA Ost (Nord-Virginia): (us-east-1)
-
Region USA West (Oregon) (us-west-1)
Alle anderen Widgets werden überall unterstützt, AWS-Regionen wo CloudTrail Lake unterstützt wird.
Informationen zu den von CloudTrail Lake unterstützten Regionen finden Sie unterCloudTrail Von Seen unterstützte Regionen.
Erforderliche Berechtigungen
In diesem Abschnitt werden die erforderlichen Berechtigungen für CloudTrail Lake-Dashboards beschrieben und zwei Arten von IAM-Richtlinien erörtert:
-
Identitätsbasierte Richtlinien, mit denen Sie Aktionen zum Erstellen, Verwalten und Löschen von Dashboards ausführen können.
-
Ressourcenbasierte Richtlinien, die es ermöglichen CloudTrail , Abfragen in Ihrem Ereignisdatenspeicher auszuführen, wenn das Dashboard aktualisiert wird, und geplante Aktualisierungen von benutzerdefinierten Dashboards und dem Highlights-Dashboard in Ihrem Namen durchzuführen. Wenn Sie Dashboards mithilfe der CloudTrail Konsole erstellen, haben Sie die Möglichkeit, ressourcenbasierte Richtlinien anzuhängen. Sie können den AWS CLI put-resource-policyBefehl auch ausführen, um Ihren Ereignisdatenspeichern oder Dashboards eine ressourcenbasierte Richtlinie hinzuzufügen.
Anforderungen an identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien im IAM-Benutzerhandbuch.
Um CloudTrail Lake-Dashboards anzeigen und verwalten zu können, benötigen Sie eine der folgenden Richtlinien:
-
Die von
CloudTrailFullAccessverwaltete Richtlinie. -
Die von
AdministratorAccessverwaltete Richtlinie. -
Eine benutzerdefinierte Richtlinie, die eine oder mehrere der spezifischen Berechtigungen umfasst, die in den folgenden Abschnitten beschrieben werden.
Themen
Erforderliche Berechtigungen für die Erstellung von Dashboards
Die folgende Beispielrichtlinie enthält die erforderlichen Mindestberechtigungen für die Erstellung von Dashboards. Ersetzen Sie partitionregion,account-id, und eds-id durch die Werte für Ihre Konfiguration.
-
StartQueryEine Genehmigung ist nur erforderlich, wenn die Anfrage Widgets enthält. Stellen SieStartQueryBerechtigungen für alle in einer Widget-Abfrage enthaltenen Ereignisdatenspeicher bereit. -
StartDashboardRefreshEine Genehmigung ist nur erforderlich, wenn das Dashboard über einen Aktualisierungsplan verfügt. -
Für das Highlights-Dashboard muss der Anrufer über
StartQueryBerechtigungen für alle Ereignisdatenspeicher im Konto verfügen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:CreateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Erforderliche Berechtigungen für die Aktualisierung von Dashboards
Die folgende Beispielrichtlinie enthält die erforderlichen Mindestberechtigungen für die Aktualisierung von Dashboards. Ersetzen Sie partitionregion,account-id, und eds-id durch die Werte für Ihre Konfiguration.
-
StartQueryEine Genehmigung ist nur erforderlich, wenn die Anfrage Widgets enthält. Stellen SieStartQueryBerechtigungen für alle in einer Widget-Abfrage enthaltenen Ereignisdatenspeicher bereit. -
StartDashboardRefreshEine Genehmigung ist nur erforderlich, wenn das Dashboard über einen Aktualisierungsplan verfügt. -
Für das Highlights-Dashboard muss der Anrufer über
StartQueryBerechtigungen für alle Ereignisdatenspeicher im Konto verfügen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:UpdateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Erforderliche Berechtigungen zum Aktualisieren von Dashboards
Die folgende Beispielrichtlinie enthält die erforderlichen Mindestberechtigungen für die Aktualisierung von Dashboards. Ersetzen Sie partitionregion,account-id,dashboard-name, und eds-id durch die Werte für Ihre Konfiguration.
-
Für benutzerdefinierte Dashboards und Highlights-Dashboards muss der Anrufer über Folgendes verfügen:
cloudtrail:StartDashboardRefresh permissions -
Bei verwalteten Dashboards muss der Anrufer über die
cloudtrail:StartQueryerforderlichen Berechtigungen undcloudtrail:StartDashboardRefreshBerechtigungen für den an der Aktualisierung beteiligten Ereignisdatenspeicher verfügen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Ressourcenbasierte Richtlinien für Dashboards und Ereignisdatenspeicher
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie einen Prinzipal angeben.
Um während einer manuellen oder geplanten Aktualisierung Abfragen in einem Dashboard auszuführen, müssen Sie jedem Ereignisdatenspeicher, der einem Widget auf dem Dashboard zugeordnet ist, eine ressourcenbasierte Richtlinie anhängen. Dadurch kann CloudTrail Lake die Abfragen in Ihrem Namen ausführen. Wenn Sie ein benutzerdefiniertes Dashboard erstellen oder das Highlights-Dashboard über die CloudTrail Konsole aktivieren, CloudTrail haben Sie die Möglichkeit, auszuwählen, auf welche Ereignisdatenspeicher Sie Berechtigungen anwenden möchten. Weitere Informationen zur ressourcenbasierten Richtlinie finden Sie unter. Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards
Um einen Aktualisierungszeitplan für ein Dashboard festzulegen, müssen Sie eine ressourcenbasierte Richtlinie an das Dashboard anhängen, damit CloudTrail Lake das Dashboard in Ihrem Namen aktualisieren kann. Wenn Sie einen Aktualisierungszeitplan für ein benutzerdefiniertes Dashboard festlegen oder das Highlights-Dashboard über die CloudTrail Konsole aktivieren, CloudTrail haben Sie die Möglichkeit, eine ressourcenbasierte Richtlinie an Ihr Dashboard anzuhängen. Eine Beispielrichtlinie finden Sie unter Beispiel für eine ressourcenbasierte Richtlinie für ein Dashboard.
Sie können eine ressourcenbasierte Richtlinie mithilfe der CloudTrail Konsole, der oder der API-Operation AWS CLIanhängen. PutResourcePolicy
KMS-Schlüsselberechtigungen zum Entschlüsseln von Daten in einem Ereignisdatenspeicher
Wenn ein abgefragter Ereignisdatenspeicher mit einem KMS-Schlüssel verschlüsselt ist, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie die Entschlüsselung der Daten im Ereignisdatenspeicher zulässt CloudTrail . Die folgende beispielhafte Richtlinienanweisung ermöglicht es dem CloudTrail Dienstprinzipal, den Ereignisdatenspeicher zu entschlüsseln.
{ "Sid": "AllowCloudTrailDecryptAccess", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }
