CloudTrail Paneles de control de Lake - AWS CloudTrail
Requisitos previosLimitacionesCompatibilidad de regionesPermisos necesarios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CloudTrail Paneles de control de Lake

Puede usar los paneles de CloudTrail Lake para ver las tendencias de los eventos en los almacenes de datos de eventos de su cuenta. CloudTrail Lake ofrece los siguientes tipos de paneles:

  • Paneles administrados: puede ver un panel administrado para ver las tendencias de los eventos de un almacén de datos de eventos que recopila eventos de administración, eventos de datos o eventos de Insights. Estos paneles están disponibles automáticamente y son gestionados por CloudTrail Lake. CloudTrail ofrece 14 paneles gestionados entre los que elegir. Puede actualizar manualmente los paneles gestionados. No puede modificar, añadir ni eliminar los widgets de estos paneles; sin embargo, puede guardar un panel gestionado como un panel personalizado si desea modificar los widgets o establecer un programa de actualización.

  • Paneles personalizados: los paneles personalizados le permiten consultar eventos en cualquier tipo de almacén de datos de eventos. Puede añadir hasta 10 widgets a un panel personalizado. Puedes actualizar manualmente un panel personalizado o puedes establecer un programa de actualización.

  • Paneles de información destacada: active el panel de información destacada para ver un at-a-glance resumen de la AWS actividad recopilada por los almacenes de datos de eventos de su cuenta. El panel de aspectos destacados está gestionado por tu cuenta CloudTrail e incluye widgets que son relevantes para tu cuenta. Los widgets que se muestran en el panel de Highlights son exclusivos de cada cuenta. Estos widgets podrían detectar actividad o anomalías anormales detectadas. Por ejemplo, tu panel de control de Highlights podría incluir el widget Acceso total a varias cuentas, que muestra si se produce un aumento de la actividad anormal entre cuentas. CloudTrail actualiza el panel de Highlights cada 6 horas. El panel muestra los datos de las últimas 24 horas de la última actualización.

Cada panel consta de uno o más widgets y cada widget proporciona una representación gráfica de los resultados de una SQL consulta. Para ver la consulta de un widget, selecciona Ver y editar consulta para abrir el editor de consultas.

Cuando se actualiza un panel, CloudTrail Lake ejecuta consultas para rellenar los widgets del panel. Dado que la ejecución de consultas implica costes, CloudTrail le pide que reconozca los costes asociados a la ejecución de las consultas. Para obtener más información sobre CloudTrail los precios, consulte CloudTrail Precios.

Temas

Requisitos previos

Los siguientes requisitos previos se aplican a los paneles de CloudTrail Lake:

Limitaciones

Los paneles de CloudTrail Lake tienen las siguientes limitaciones:

  • Solo puede habilitar el panel de aspectos destacados para los almacenes de datos de eventos que existan en su cuenta.

  • Solo puedes ver los paneles gestionados de los almacenes de datos de eventos que existen en tu cuenta.

  • En el caso de los paneles personalizados, solo puede añadir widgets de muestra o crear widgets nuevos que consulten los almacenes de datos de eventos que existen en su cuenta.

  • Los administradores delegados de una AWS Organizations organización no pueden ver ni administrar los paneles que sean propiedad de la cuenta de administración.

Compatibilidad de regiones

Los paneles de CloudTrail Lake son compatibles en todos los Regiones de AWS lugares donde CloudTrail Lake es compatible.

El widget de resumen de actividades del panel de aspectos destacados es compatible con las siguientes regiones:

  • Región Asia-Pacífico (Tokio) (ap-northeast-1)

  • Este de EE. UU. (Norte de Virginia) (us-east-1)

  • Región EE.UU. Oeste (Oregón) (us-west-1)

Todos los demás widgets son compatibles en todos los sitios Regiones de AWS donde se admite CloudTrail Lake.

Para obtener información sobre las regiones compatibles con CloudTrail Lake, consulteRegiones en las que se admite CloudTrail Lake.

Permisos necesarios

En esta sección se describen los permisos necesarios para los paneles de CloudTrail Lake y se analizan dos tipos de IAM políticas:

  • Políticas basadas en la identidad que le permiten realizar acciones para crear, administrar y eliminar paneles.

  • Políticas basadas en recursos que permiten CloudTrail realizar consultas en el almacén de datos de sus eventos cuando se actualiza el panel y realizar actualizaciones programadas de los paneles personalizados y del panel de aspectos destacados en su nombre. Cuando crea paneles mediante la CloudTrail consola, tiene la opción de adjuntar políticas basadas en los recursos. También puede ejecutar el AWS CLI put-resource-policycomando para añadir una política basada en recursos a los bancos de datos o paneles de control de eventos.

Requisitos de políticas basadas en la identidad

Las políticas basadas en la identidad son documentos de política de JSON permisos que se pueden adjuntar a una identidad, como un IAM usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones puedes realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener información sobre cómo crear una política basada en la identidad, consulte Definir IAM permisos personalizados con políticas administradas por el cliente en la Guía del usuario. IAM

Para ver y administrar los paneles de CloudTrail Lake, necesita una de las siguientes políticas:

  • La política administrada de CloudTrailFullAccess.

  • La política administrada de AdministratorAccess.

  • Una política personalizada que incluya uno o más de los permisos específicos que se describen en las secciones siguientes.

Permisos necesarios para crear paneles

El siguiente ejemplo de política proporciona los permisos mínimos necesarios para crear paneles. Sustituya partitionregion,account-id, y por eds-id los valores de su configuración.

  • StartQueryel permiso solo es necesario si la solicitud contiene widgets. Proporcione StartQuery permisos para todos los almacenes de datos de eventos incluidos en una consulta de widgets.

  • StartDashboardRefreshEl permiso solo es necesario si el panel tiene un programa de actualización.

  • Para el panel de Highlights, la persona que llama debe tener StartQuery permiso para acceder a todos los almacenes de datos de eventos de la cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Permisos necesarios para actualizar los paneles

El siguiente ejemplo de política proporciona los permisos mínimos necesarios para actualizar los paneles. Sustituya partitionregion,account-id, y por eds-id los valores de su configuración.

  • StartQueryel permiso solo es necesario si la solicitud contiene widgets. Proporcione StartQuery permisos para todos los almacenes de datos de eventos incluidos en una consulta de widgets.

  • StartDashboardRefreshEl permiso solo es necesario si el panel tiene un programa de actualización.

  • Para el panel de Highlights, la persona que llama debe tener StartQuery permiso para acceder a todos los almacenes de datos de eventos de la cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Permisos necesarios para actualizar los paneles

El siguiente ejemplo de política proporciona los permisos mínimos necesarios para actualizar los paneles. Sustituya partition regionaccount-id,dashboard-name, y por eds-id los valores de su configuración.

  • En el caso de los paneles personalizados y los paneles destacados, la persona que llama debe disponer de ellos. cloudtrail:StartDashboardRefresh permissions

  • En el caso de los paneles gestionados, la persona que llama debe tener el cloudtrail:StartDashboardRefresh permiso y cloudtrail:StartQuery los permisos necesarios para el almacén de datos de eventos implicado en la actualización.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Políticas basadas en recursos para paneles y almacenes de datos de eventos

Las políticas basadas en recursos son documentos de políticas que se JSON adjuntan a un recurso. Algunos ejemplos de políticas basadas en recursos son las políticas de confianza de IAM roles y las políticas de bucket de Amazon S3. Para el recurso al que se asocia la política, la política define qué acciones puedes realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos.

Para ejecutar consultas en un panel durante una actualización manual o programada, debe adjuntar una política basada en recursos a cada almacén de datos de eventos que esté asociado a un widget del panel. Esto permite a CloudTrail Lake ejecutar las consultas en tu nombre. Al crear un panel personalizado o al activar el panel de aspectos destacados mediante la CloudTrail consola, tiene CloudTrail la opción de elegir los almacenes de datos de eventos a los que desea aplicar los permisos. Para obtener más información sobre la política basada en recursos, consulte. Ejemplo: CloudTrail permitir la ejecución de consultas para actualizar un panel

Para establecer un programa de actualización para un panel, debe adjuntar una política basada en recursos al panel para que CloudTrail Lake pueda actualizar el panel en su nombre. Cuando estableces un programa de actualización para un panel personalizado o activas el panel de aspectos destacados mediante la CloudTrail consola, tienes la opción CloudTrail de adjuntar una política basada en recursos a tu panel de control. Para ver una política de ejemplo, consulte Ejemplo de política basada en recursos para un panel.

Puede adjuntar una política basada en recursos mediante la CloudTrail consola, la o la operación AWS CLI. PutResourcePolicyAPI

KMSpermisos clave para descifrar los datos de un almacén de datos de eventos

Si el banco de datos de eventos que se consulta está cifrado con una KMS clave, asegúrese de que la política de KMS claves CloudTrail permita descifrar los datos del almacén de datos del evento. El siguiente ejemplo de declaración de política permite al director del CloudTrail servicio descifrar el banco de datos de eventos.

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}