Prasyarat Batasan Dukungan Wilayah Izin yang diperlukan

CloudTrail Dasbor danau

Anda dapat menggunakan dasbor CloudTrail Danau untuk melihat tren acara untuk penyimpanan data acara di akun Anda. CloudTrail Lake menawarkan jenis dasbor berikut:

Dasbor terkelola — Anda dapat melihat dasbor terkelola untuk melihat tren acara untuk penyimpanan data acara yang mengumpulkan peristiwa manajemen, peristiwa data, atau peristiwa Wawasan. Dasbor ini secara otomatis tersedia untuk Anda dan dikelola oleh CloudTrail Lake. CloudTrail menawarkan 14 dasbor terkelola untuk dipilih. Anda dapat menyegarkan dasbor terkelola secara manual. Anda tidak dapat memodifikasi, menambah, atau menghapus widget untuk dasbor ini, namun, Anda dapat menyimpan dasbor terkelola sebagai dasbor khusus jika Anda ingin memodifikasi widget atau mengatur jadwal penyegaran.
Dasbor khusus - Dasbor khusus memungkinkan Anda untuk menanyakan peristiwa dalam jenis penyimpanan data acara apa pun. Anda dapat menambahkan hingga 10 widget ke dasbor kustom. Anda dapat menyegarkan dasbor khusus secara manual, atau Anda dapat mengatur jadwal penyegaran.
Dasbor Sorotan — Aktifkan dasbor Sorotan untuk melihat at-a-glance ikhtisar AWS aktivitas yang dikumpulkan oleh penyimpanan data acara di akun Anda. Dasbor Sorotan dikelola oleh CloudTrail dan menyertakan widget yang relevan dengan akun Anda. Widget yang ditampilkan di dasbor Sorotan unik untuk setiap akun. Widget ini dapat muncul aktivitas abnormal atau anomali yang terdeteksi. Misalnya, dasbor Sorotan Anda dapat menyertakan widget akses lintas akun Total, yang menunjukkan jika ada peningkatan aktivitas lintas akun yang tidak normal. CloudTrail memperbarui dasbor Sorotan setiap 6 jam. Dasbor menunjukkan 24 jam terakhir data dari pembaruan terakhir.

Setiap dasbor terdiri dari satu atau lebih widget dan setiap widget memberikan representasi grafis dari hasil SQL kueri. Untuk melihat kueri widget, pilih Lihat dan edit kueri untuk membuka editor kueri.

Saat dasbor disegarkan, CloudTrail Lake menjalankan kueri untuk mengisi widget dasbor. Karena menjalankan kueri menimbulkan biaya, CloudTrail meminta Anda untuk mengetahui biaya yang terkait dengan menjalankan kueri. Untuk informasi selengkapnya tentang CloudTrail harga, lihat CloudTrail Harga.

Topik

Prasyarat

Prasyarat berikut berlaku untuk dasbor Danau: CloudTrail

Untuk melihat dan menggunakan dasbor Danau, Anda harus membuat setidaknya satu penyimpanan data acara CloudTrail Danau. Anda dapat membuat penyimpanan data acara menggunakan konsol, AWS CLI, atauSDKs. Untuk informasi tentang membuat penyimpanan data acara menggunakan konsol, lihatBuat penyimpanan data acara untuk CloudTrail acara dengan konsol. Untuk informasi tentang membuat penyimpanan data acara menggunakan AWS CLI, lihatBuat toko data acara dengan AWS CLI.
Anda harus memiliki izin yang memadai untuk melihat, membuat, memperbarui, dan menyegarkan dasbor. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

Batasan

Batasan berikut berlaku untuk dasbor CloudTrail Danau:

Anda hanya dapat mengaktifkan dasbor Sorotan untuk penyimpanan data acara yang ada di akun Anda.
Anda hanya dapat melihat dasbor terkelola untuk penyimpanan data peristiwa yang ada di akun Anda.
Untuk dasbor kustom, Anda hanya dapat menambahkan widget sampel atau membuat widget baru yang menyimpan data peristiwa kueri yang ada di akun Anda.
Administrator yang didelegasikan untuk AWS Organizations organisasi tidak dapat melihat atau mengelola dasbor yang dimiliki oleh akun manajemen.

Dukungan Wilayah

Dasbor CloudTrail Danau didukung di semua Wilayah AWS tempat CloudTrail Danau didukung.

Widget ringkasan Aktivitas di dasbor Sorotan didukung di Wilayah berikut:

Wilayah Asia Pasifik (Tokyo) (ap-northeast-1)
AS Timur (Virginia Utara) (us-east-1)
Wilayah AS Barat (Oregon) (us-west-1)

Semua widget lainnya didukung di semua Wilayah AWS tempat CloudTrail Lake didukung.

Untuk informasi tentang Wilayah yang didukung CloudTrail Danau, lihatCloudTrail Daerah yang didukung Danau.

Izin yang diperlukan

Bagian ini menjelaskan izin yang diperlukan untuk dasbor CloudTrail Lake dan membahas dua jenis kebijakan: IAM

Kebijakan berbasis identitas yang memungkinkan Anda melakukan tindakan untuk membuat, mengelola, dan menghapus dasbor.
Kebijakan berbasis sumber daya yang memungkinkan CloudTrail untuk menjalankan kueri di penyimpanan data acara Anda saat dasbor di-refresh dan melakukan penyegaran terjadwal dasbor kustom dan dasbor Sorotan atas nama Anda. Saat membuat dasbor menggunakan CloudTrail konsol, Anda diberi opsi untuk melampirkan kebijakan berbasis sumber daya. Anda juga dapat menjalankan AWS CLI put-resource-policyperintah untuk menambahkan kebijakan berbasis sumber daya ke penyimpanan data acara atau dasbor Anda.

Persyaratan kebijakan berbasis identitas

Kebijakan berbasis identitas adalah dokumen kebijakan JSON izin yang dapat Anda lampirkan ke identitas, seperti pengguna, grup IAM pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Menentukan IAM izin khusus dengan kebijakan yang dikelola pelanggan di Panduan Pengguna. IAM

Untuk melihat dan mengelola dasbor CloudTrail Danau, Anda memerlukan salah satu kebijakan berikut:

Kebijakan yang CloudTrailFullAccessdikelola.
Kebijakan yang AdministratorAccessdikelola.
Kebijakan khusus yang menyertakan satu atau beberapa izin khusus yang dijelaskan di bagian berikut.

Topik

Izin yang diperlukan untuk membuat dasbor
Izin yang diperlukan untuk memperbarui dasbor
Izin yang diperlukan untuk menyegarkan dasbor

Izin yang diperlukan untuk membuat dasbor

Kebijakan contoh berikut memberikan izin minimum yang diperlukan untuk membuat dasbor. Ganti partitionregion,account-id,, dan eds-id dengan nilai untuk konfigurasi Anda.

StartQueryizin diperlukan hanya jika permintaan berisi widget. Berikan StartQuery izin untuk semua penyimpanan data acara yang disertakan dalam kueri widget.
StartDashboardRefreshizin hanya diperlukan jika dasbor memiliki jadwal penyegaran.
Untuk dasbor Sorotan, penelepon harus memiliki StartQuery izin pada semua penyimpanan data acara di akun.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Izin yang diperlukan untuk memperbarui dasbor

Kebijakan contoh berikut memberikan izin minimum yang diperlukan untuk memperbarui dasbor. Ganti partitionregion,account-id,, dan eds-id dengan nilai untuk konfigurasi Anda.

StartQueryizin diperlukan hanya jika permintaan berisi widget. Berikan StartQuery izin untuk semua penyimpanan data acara yang disertakan dalam kueri widget.
StartDashboardRefreshizin hanya diperlukan jika dasbor memiliki jadwal penyegaran.
Untuk dasbor Sorotan, penelepon harus memiliki StartQuery izin pada semua penyimpanan data acara di akun.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Izin yang diperlukan untuk menyegarkan dasbor

Kebijakan contoh berikut memberikan izin minimum yang diperlukan untuk menyegarkan dasbor. Ganti partitionregion,account-id,dashboard-name,,, dan eds-id dengan nilai untuk konfigurasi Anda.

Untuk dasbor khusus dan dasbor Sorotan, pemanggil harus memilikinya. cloudtrail:StartDashboardRefresh permissions
Untuk dasbor terkelola, pemanggil harus memiliki cloudtrail:StartDashboardRefresh izin dan cloudtrail:StartQuery izin untuk penyimpanan data peristiwa yang terlibat dalam penyegaran.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Kebijakan berbasis sumber daya untuk dasbor dan penyimpanan data acara

Kebijakan berbasis sumber daya adalah dokumen JSON kebijakan yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah kebijakan kepercayaan IAM peran dan kebijakan bucket Amazon S3. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus menentukan prinsipal dalam kebijakan berbasis sumber daya.

Untuk menjalankan kueri di dasbor selama penyegaran manual atau terjadwal, Anda harus melampirkan kebijakan berbasis sumber daya ke setiap penyimpanan data peristiwa yang terkait dengan widget di dasbor. Ini memungkinkan CloudTrail Lake untuk menjalankan kueri atas nama Anda. Saat Anda membuat dasbor khusus, atau mengaktifkan dasbor Sorotan menggunakan CloudTrail konsol, CloudTrail memberi Anda opsi untuk memilih penyimpanan data acara mana yang ingin Anda terapkan izin. Untuk informasi selengkapnya tentang kebijakan berbasis sumber daya, lihat. Contoh: CloudTrail Izinkan menjalankan kueri untuk menyegarkan dasbor

Untuk mengatur jadwal penyegaran dasbor, Anda harus melampirkan kebijakan berbasis sumber daya ke dasbor untuk memungkinkan CloudTrail Lake menyegarkan dasbor atas nama Anda. Saat Anda menetapkan jadwal penyegaran untuk dasbor kustom, atau mengaktifkan dasbor Sorotan menggunakan CloudTrail konsol, CloudTrail memberi Anda opsi untuk melampirkan kebijakan berbasis sumber daya ke dasbor Anda. Untuk contoh kebijakan, lihat Contoh kebijakan berbasis sumber daya untuk dasbor.

Anda dapat melampirkan kebijakan berbasis sumber daya menggunakan CloudTrail konsol, perangkat, atau operasi AWS CLI. PutResourcePolicyAPI

KMSizin kunci untuk mendekripsi data di penyimpanan data acara

Jika penyimpanan data peristiwa yang ditanyakan dienkripsi dengan KMS kunci, pastikan kebijakan KMS kunci memungkinkan CloudTrail untuk mendekripsi data di penyimpanan data peristiwa. Contoh pernyataan kebijakan berikut memungkinkan prinsipal CloudTrail layanan untuk mendekripsi penyimpanan data peristiwa.


{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

CloudTrail Skema acara integrasi danau

Lihat dasbor terkelola