Administrar los almacenes de datos de eventos con el AWS CLI

En esta sección se describen otros comandos que puede ejecutar para obtener información sobre los almacenes de datos de eventos, iniciar y detener la ingesta en un almacén de datos de eventos y habilitar y deshabilitar la federación en un almacén de datos de eventos.

Temas

Obtenga un almacén de datos de eventos con el AWS CLI
Enumere todos los almacenes de datos de eventos de una cuenta con el AWS CLI
Obtenga la política basada en recursos para un banco de datos de eventos con AWS CLI
Adjunte una política basada en recursos a un banco de datos de eventos con AWS CLI
Elimine la política basada en recursos adjunta a un banco de datos de eventos con la AWS CLI
Detenga la ingesta en un almacén de datos de eventos con el AWS CLI
Inicie la ingestión en un banco de datos de eventos con el AWS CLI
Habilitar la federación en un almacén de datos de eventos
Deshabilitar la federación en un almacén de datos de eventos
Restaure un almacén de datos de eventos con el AWS CLI

Obtenga un almacén de datos de eventos con el AWS CLI

El siguiente AWS CLI get-event-data-store comando de ejemplo devuelve información sobre el banco de datos de eventos especificado por el --event-data-store parámetro requerido, que acepta un ARN o el sufijo ID delARN.


aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp.


{
    "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "s3-data-events-eds",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log DeleteObject API calls for a specific S3 bucket",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "eventName",
                    "Equals": [
                        "DeleteObject"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3:::amzn-s3-demo-bucket"
                    ]
                },
                {
                    "Field": "readOnly",
                    "Equals": [
                        "false"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
    "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}

Enumere todos los almacenes de datos de eventos de una cuenta con el AWS CLI

El siguiente AWS CLI list-event-data-stores comando de ejemplo devuelve información sobre todos los almacenes de datos de eventos de una cuenta, en la región actual. Los parámetros opcionales incluyen --max-results para especificar el número máximo de resultados que desea que el comando devuelva en una sola página. Si hay más resultados que el valor --max-results especificado, ejecute el comando de nuevo agregando el valor devuelto NextToken para obtener la siguiente página de resultados.


aws cloudtrail list-event-data-stores

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStores": [
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
            "Name": "management-events-eds"
        },
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
            "Name": "config-items-eds"
        },
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
            "Name": "s3-data-events"
        }
    ]
}

Obtenga la política basada en recursos para un banco de datos de eventos con AWS CLI

En el siguiente ejemplo, se ejecuta el get-resource-policy comando en el banco de datos de eventos de una organización.


aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

Como el comando se ejecutó en un banco de datos de eventos de la organización, el resultado muestra tanto la política basada en recursos proporcionada como la DelegatedAdminResourcePolicygenerada para las cuentas de administrador delegado y. 333333333333 111111111111


{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Adjunte una política basada en recursos a un banco de datos de eventos con AWS CLI

Para ejecutar consultas en un panel durante una actualización manual o programada, debe adjuntar una política basada en recursos a cada banco de datos de eventos que esté asociado a un widget del panel. Esto permite a CloudTrail Lake ejecutar las consultas en tu nombre. Para obtener más información sobre la política basada en recursos, consulte. Ejemplo: CloudTrail permitir la ejecución de consultas para actualizar un panel

En el siguiente ejemplo, se adjunta una política basada en recursos a un banco de datos de eventos que CloudTrail permite ejecutar consultas en un panel cuando se actualiza el panel. account-idSustitúyalo por el ID de tu cuenta, eds-arn por el ARN del banco de datos de eventos para el que CloudTrail se ejecutarán las consultas y por el del dashboard-arn ARN panel.


aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource": "eds-arn", "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'

A continuación se muestra un ejemplo de respuesta.


{
   "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
   "ResourcePolicy": "{
    "Version": "2012-10-17", 
         "Statement": [{
            "Sid": "EDSPolicy", 
            "Effect": "Allow", 
            "Principal": { "Service": "cloudtrail.amazonaws.com" }, 
            "Resource": "eds-arn",
            "Action": "cloudtrail:StartQuery", 
            "Condition": { 
                "StringEquals": { 
                    "AWS:SourceArn": "dashboard-arn", 
                    "AWS:SourceAccount": "account-id"
                }
            }
        } 
     ]
   }"
}

Para ver ejemplos de políticas adicionales, consulteEjemplos de políticas basadas en recursos para almacenes de datos de eventos.

Elimine la política basada en recursos adjunta a un banco de datos de eventos con la AWS CLI

En los siguientes ejemplos, se elimina la política basada en recursos adjunta a un banco de datos de eventos. eds-arnSustitúyala por la ARN del banco de datos de eventos.


aws cloudtrail delete-resource-policy --resource-arn eds-arn

Este comando no genera ningún resultado si se utiliza correctamente.

Detenga la ingesta en un almacén de datos de eventos con el AWS CLI

El siguiente AWS CLI stop-event-data-store-ingestion comando de ejemplo impide que un banco de datos de eventos ingiera eventos. Para detener la ingesta, el Status del almacén de datos de eventos debe ser ENABLED, mientras que el valor de eventCategory debe ser Management, Data o ConfigurationItem. El banco de datos de eventos se especifica mediante--event-data-store, que acepta un almacén de datos de eventosARN, o el sufijo de ID del. ARN Después de ejecutar stop-event-data-store-ingestion, el estado del almacén de datos del evento cambia a STOPPED_INGESTION.

El almacén de datos de eventos se cuenta dentro del máximo de diez almacenes de datos de eventos de su cuenta cuando su estado es STOPPED_INGESTION.


aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Si la operación se realiza correctamente, no se produce ninguna respuesta.

Inicie la ingestión en un banco de datos de eventos con el AWS CLI

El siguiente AWS CLI start-event-data-store-ingestion comando de ejemplo inicia la ingesta de eventos en un banco de datos de eventos. Para iniciar la ingesta, el Status del almacén de datos de eventos debe ser STOPPED_INGESTION, mientras que el valor de eventCategory debe ser Management, Data o ConfigurationItem. El banco de datos de eventos se especifica mediante--event-data-store, que acepta un almacén de datos de eventosARN, o el sufijo de ID del. ARN Después de ejecutar start-event-data-store-ingestion, el estado del almacén de datos del evento cambia a ENABLED.


aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Si la operación se realiza correctamente, no se produce ninguna respuesta.

Habilitar la federación en un almacén de datos de eventos

Para habilitar la federación, ejecute el comando aws cloudtrail enable-federation proporcionando los parámetros --event-data-store y --role necesarios. Para--event-data-store, proporcione el almacén de datos del evento ARN (o el sufijo de ID delARN). Para--role, indique el ARN para su función de federación. El rol debe existir en su cuenta y proporcionar los permisos mínimos necesarios.


aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

En este ejemplo, se muestra cómo un administrador delegado puede habilitar la federación en un banco de datos de eventos ARN de la organización especificando el banco de datos de eventos en la cuenta de administración y el rol ARN de federación en la cuenta de administrador delegado.


aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name

Deshabilitar la federación en un almacén de datos de eventos

Para deshabilitar la federación en el almacén de datos de eventos, ejecute el comando aws cloudtrail disable-federation. El banco de datos de eventos se especifica mediante--event-data-store, que acepta un almacén de datos de eventos ARN o el sufijo de ID del. ARN


aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id

nota

Si se trata de un almacén de datos de eventos de la organización, utilice el ID de la cuenta que corresponde a la cuenta de administración.

Restaure un almacén de datos de eventos con el AWS CLI

El siguiente ejemplo de comando de la AWS CLI restore-event-data-store restaura un almacén de datos de eventos que está pendiente de eliminación. El almacén de datos de eventos se especifica mediante--event-data-store, que acepta un almacén de datos de eventos ARN o el sufijo de ID delARN. Únicamente se puede restaurar un almacén de datos de eventos eliminado dentro del periodo de espera de siete días posterior a la eliminación.


aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

La respuesta incluye información sobre el banco de datos de eventos, incluidos sus ARN selectores de eventos avanzados y el estado de la restauración.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Actualice un banco de datos de eventos con el AWS CLI

Elimine un banco de datos de eventos con el AWS CLI