Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudTrail Tableaux de bord du lac
Vous pouvez utiliser les tableaux de bord CloudTrail Lake pour voir les tendances des événements dans les magasins de données d'événements de votre compte. CloudTrail Lake propose les types de tableaux de bord suivants :
-
Tableaux de bord gérés : vous pouvez consulter un tableau de bord géré pour voir les tendances des événements d'un magasin de données d'événements qui collecte des événements de gestion, des événements de données ou des événements Insights. Ces tableaux de bord sont automatiquement mis à votre disposition et sont gérés par CloudTrail Lake. CloudTrail propose 14 tableaux de bord gérés parmi lesquels choisir. Vous pouvez actualiser manuellement les tableaux de bord gérés. Vous ne pouvez pas modifier, ajouter ou supprimer les widgets de ces tableaux de bord. Toutefois, vous pouvez enregistrer un tableau de bord géré en tant que tableau de bord personnalisé si vous souhaitez modifier les widgets ou définir un calendrier d'actualisation.
-
Tableaux de bord personnalisés : les tableaux de bord personnalisés vous permettent d'interroger des événements dans n'importe quel type de magasin de données d'événements. Vous pouvez ajouter jusqu'à 10 widgets à un tableau de bord personnalisé. Vous pouvez actualiser manuellement un tableau de bord personnalisé ou définir un calendrier d'actualisation.
-
Tableaux de bord des faits saillants : activez le tableau de bord des points forts pour afficher un at-a-glance aperçu de l' AWS activité collectée par les magasins de données d'événements de votre compte. Le tableau de bord Highlights est géré par CloudTrail et inclut des widgets adaptés à votre compte. Les widgets affichés sur le tableau de bord Highlights sont uniques à chaque compte. Ces widgets peuvent faire apparaître une activité anormale ou des anomalies détectées. Par exemple, votre tableau de bord Highlights peut inclure le widget Accès total entre comptes, qui indique s'il y a une augmentation de l'activité anormale entre comptes. CloudTrail met à jour le tableau de bord Highlights toutes les 6 heures. Le tableau de bord affiche les données des 24 dernières heures depuis la dernière mise à jour.
Chaque tableau de bord comprend un ou plusieurs widgets et chaque widget fournit une représentation graphique des résultats d'une SQL requête. Pour afficher la requête d'un widget, choisissez Afficher et modifier la requête pour ouvrir l'éditeur de requêtes.
Lorsqu'un tableau de bord est actualisé, CloudTrail Lake exécute des requêtes pour remplir les widgets du tableau de bord. Étant donné que l'exécution de requêtes entraîne des coûts, vous CloudTrail demande de confirmer les coûts associés à l'exécution de requêtes. Pour plus d'informations sur la CloudTrail tarification, consultez la section CloudTrail Tarification
Rubriques
- Prérequis
- Limites
- Prise en charge de la région
- Autorisations nécessaires
- Afficher un tableau de bord géré avec la CloudTrail console
- Activez le tableau de bord Highlights avec la CloudTrail console
- Désactiver le tableau de bord Highlights avec la CloudTrail console
- Créez un tableau de bord personnalisé avec la CloudTrail console
- Définissez un calendrier d'actualisation pour un tableau de bord personnalisé avec la CloudTrail console
- Désactiver le calendrier d'actualisation pour un tableau de bord personnalisé avec la CloudTrail console
- Modifier la protection contre le licenciement à l'aide de la CloudTrail console
- Supprimer un tableau de bord personnalisé avec la CloudTrail console
- Créez, mettez à jour et gérez des tableaux de bord avec AWS CLI
Prérequis
Les prérequis suivants s'appliquent aux tableaux de bord CloudTrail Lake :
-
Pour afficher et utiliser les tableaux de bord de Lake, vous devez créer au moins un magasin de données d'événements CloudTrail Lake. Vous pouvez créer des banques de données d'événements à l'aide de la console AWS CLI, ouSDKs. Pour plus d'informations sur la création d'un entrepôt de données d'événement à l'aide de la console, veuillez consulter Création d'un magasin de données d' CloudTrailévénements pour les événements à l'aide de la console. Pour plus d'informations sur la création d'un magasin de données d'événements à l'aide du AWS CLI, voirCréez un magasin de données d'événements à l'aide du AWS CLI.
-
Vous devez disposer des autorisations appropriées pour afficher, créer, mettre à jour et actualiser les tableaux de bord. Pour de plus amples informations, veuillez consulter Autorisations nécessaires.
Limites
Les limites suivantes s'appliquent aux tableaux de bord CloudTrail Lake :
-
Vous ne pouvez activer le tableau de bord Highlights que pour les banques de données d'événements présentes dans votre compte.
-
Vous ne pouvez consulter les tableaux de bord gérés que pour les magasins de données d'événements qui existent dans votre compte.
-
Pour les tableaux de bord personnalisés, vous pouvez uniquement ajouter des exemples de widgets ou créer de nouveaux widgets qui interrogent les banques de données d'événements présentes dans votre compte.
-
Les administrateurs délégués d'une AWS Organizations organisation ne peuvent pas consulter ou gérer les tableaux de bord détenus par le compte de gestion.
Prise en charge de la région
Les tableaux de bord CloudTrail Lake sont pris en charge partout Régions AWS où CloudTrail Lake est pris en charge.
Le widget Récapitulatif des activités du tableau de bord Highlights est pris en charge dans les régions suivantes :
-
Région Asie-Pacifique (Tokyo) (ap-northeast-1)
-
USA Est (Virginie du Nord) (us-east-1)
-
Région ouest des États-Unis (Oregon) (us-west-1)
Tous les autres widgets sont pris en charge partout Régions AWS où CloudTrail Lake est pris en charge.
Pour plus d'informations sur les régions prises en charge par CloudTrail Lake, consultezCloudTrail Régions soutenues par les lacs.
Autorisations nécessaires
Cette section décrit les autorisations requises pour les tableaux de bord CloudTrail Lake et décrit deux types de IAM politiques :
-
Des politiques basées sur l'identité qui vous permettent d'effectuer des actions pour créer, gérer et supprimer des tableaux de bord.
-
Des politiques basées sur les ressources qui permettent CloudTrail d'exécuter des requêtes sur votre banque de données d'événements lorsque le tableau de bord est actualisé et d'effectuer des actualisations planifiées des tableaux de bord personnalisés et du tableau de bord Highlights en votre nom. Lorsque vous créez des tableaux de bord à l'aide de la CloudTrail console, vous avez la possibilité d'associer des politiques basées sur les ressources. Vous pouvez également exécuter la AWS CLI put-resource-policycommande pour ajouter une politique basée sur les ressources à vos magasins de données d'événements ou à vos tableaux de bord.
Exigences en matière de politiques basées sur l'identité
Les politiques basées sur l'identité sont JSON des documents de politique d'autorisation que vous pouvez joindre à une identité, telle qu'un IAM utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour savoir comment créer une politique basée sur l'identité, voir Définir des IAM autorisations personnalisées avec des politiques gérées par le client dans le Guide de l'IAMutilisateur.
Pour afficher et gérer les tableaux de bord de CloudTrail Lake, vous avez besoin de l'une des politiques suivantes :
-
La politique gérée
CloudTrailFullAccess. -
La politique gérée
AdministratorAccess. -
Une politique personnalisée qui inclut une ou plusieurs des autorisations spécifiques décrites dans les sections qui suivent.
Rubriques
Autorisations requises pour créer des tableaux de bord
L'exemple de politique suivant fournit les autorisations minimales requises pour créer des tableaux de bord. Remplacez partitionregion,account-id, et eds-id par les valeurs de votre configuration.
-
StartQueryl'autorisation n'est requise que si la demande contient des widgets. FournissezStartQuerydes autorisations pour tous les magasins de données d'événements inclus dans une requête de widget. -
StartDashboardRefreshl'autorisation n'est requise que si le tableau de bord dispose d'un calendrier d'actualisation. -
Pour le tableau de bord Highlights, l'appelant doit avoir
StartQueryl'autorisation d'accéder à tous les magasins de données d'événements du compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:CreateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Autorisations requises pour mettre à jour les tableaux de bord
L'exemple de politique suivant fournit les autorisations minimales requises pour la mise à jour des tableaux de bord. Remplacez partitionregion,account-id, et eds-id par les valeurs de votre configuration.
-
StartQueryl'autorisation n'est requise que si la demande contient des widgets. FournissezStartQuerydes autorisations pour tous les magasins de données d'événements inclus dans une requête de widget. -
StartDashboardRefreshl'autorisation n'est requise que si le tableau de bord dispose d'un calendrier d'actualisation. -
Pour le tableau de bord Highlights, l'appelant doit avoir
StartQueryl'autorisation d'accéder à tous les magasins de données d'événements du compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:UpdateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Autorisations requises pour actualiser les tableaux de bord
L'exemple de politique suivant fournit les autorisations minimales requises pour actualiser les tableaux de bord. Remplacez partitionregion,account-id,dashboard-name, et eds-id par les valeurs de votre configuration.
-
Pour les tableaux de bord personnalisés et les tableaux de bord Highlights, l'appelant doit avoir.
cloudtrail:StartDashboardRefresh permissions -
Pour les tableaux de bord gérés, l'appelant doit disposer de l'
cloudtrail:StartDashboardRefreshautorisation et descloudtrail:StartQueryautorisations nécessaires pour le magasin de données d'événements concerné par l'actualisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Politiques basées sur les ressources pour les tableaux de bord et les magasins de données d'événements
Les politiques basées sur les ressources sont des documents JSON de stratégie que vous attachez à une ressource. Les politiques de confiance dans les IAM rôles et les politiques relatives aux compartiments Amazon S3 sont des exemples de politiques basées sur les ressources. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez spécifier un principal dans une politique basée sur les ressources.
Pour exécuter des requêtes sur un tableau de bord lors d'une actualisation manuelle ou planifiée, vous devez associer une politique basée sur les ressources à chaque magasin de données d'événements associé à un widget du tableau de bord. Cela permet à CloudTrail Lake d'exécuter les requêtes en votre nom. Lorsque vous créez un tableau de bord personnalisé ou que vous activez le CloudTrail tableau de bord Highlights à l'aide de la CloudTrail console, vous pouvez choisir les magasins de données d'événements auxquels vous souhaitez appliquer des autorisations. Pour plus d'informations sur la politique basée sur les ressources, consultez. Exemple : CloudTrail Autoriser l'exécution de requêtes pour actualiser un tableau de bord
Pour définir un calendrier d'actualisation pour un tableau de bord, vous devez associer une politique basée sur les ressources au tableau de bord afin de permettre à CloudTrail Lake d'actualiser le tableau de bord en votre nom. Lorsque vous définissez un calendrier d'actualisation pour un tableau de bord personnalisé ou que vous activez le CloudTrail tableau de bord Highlights à l'aide de la CloudTrail console, vous avez la possibilité d'associer une politique basée sur les ressources à votre tableau de bord. Pour un exemple de politique, consultez Exemple de politique basée sur les ressources pour un tableau de bord.
Vous pouvez associer une politique basée sur les ressources à l'aide de la CloudTrail console AWS CLI, du ou de l'PutResourcePolicyAPIopération.
KMSautorisations clés pour déchiffrer les données dans un magasin de données d'événements
Si un magasin de données d'événements interrogé est chiffré à l'aide d'une KMS clé, assurez-vous que la politique en matière de KMS clés permet CloudTrail de déchiffrer les données du magasin de données d'événements. L'exemple de déclaration de politique suivant permet au principal du CloudTrail service de déchiffrer le magasin de données d'événements.
{ "Sid": "AllowCloudTrailDecryptAccess", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }
