Buat penyimpanan data acara untuk item konfigurasi dengan konsol - AWS CloudTrail
BatasanPrasyaratUntuk membuat penyimpanan data acara untuk item konfigurasiSkema item konfigurasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat penyimpanan data acara untuk item konfigurasi dengan konsol

Anda dapat membuat penyimpanan data peristiwa untuk menyertakan item AWS Config konfigurasi, dan menggunakan penyimpanan data peristiwa untuk menyelidiki perubahan yang tidak sesuai pada lingkungan produksi Anda. Dengan penyimpanan data acara, Anda dapat menghubungkan aturan yang tidak sesuai dengan pengguna dan sumber daya yang terkait dengan perubahan. Item konfigurasi mewakili point-in-time tampilan atribut AWS sumber daya yang didukung yang ada di akun Anda. AWS Config membuat item konfigurasi setiap kali mendeteksi perubahan pada jenis sumber daya yang direkam. AWS Config juga membuat item konfigurasi saat snapshot konfigurasi ditangkap.

Anda dapat menggunakan keduanya AWS Config dan CloudTrail Lake untuk menjalankan kueri terhadap item konfigurasi Anda. Anda dapat menggunakan AWS Config untuk menanyakan status konfigurasi sumber AWS daya saat ini berdasarkan properti konfigurasi untuk satu Akun AWS dan Wilayah AWS, atau di beberapa akun dan Wilayah. Sebaliknya, Anda dapat menggunakan CloudTrail Lake untuk melakukan kueri di berbagai sumber data seperti CloudTrail peristiwa, item konfigurasi, dan evaluasi aturan. CloudTrail Kueri danau mencakup semua item AWS Config konfigurasi termasuk konfigurasi sumber daya dan riwayat kepatuhan.

Membuat penyimpanan data peristiwa untuk item konfigurasi tidak memengaruhi kueri AWS Config lanjutan yang ada, atau AWS Config agregator yang dikonfigurasi. Anda dapat terus menjalankan kueri lanjutan menggunakan AWS Config, dan AWS Config terus mengirimkan file riwayat ke bucket S3 Anda.

CloudTrail Penyimpanan data acara danau dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Danau, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Batasan

Batasan berikut berlaku untuk penyimpanan data acara untuk item konfigurasi.

  • Tidak ada dukungan untuk item konfigurasi khusus

  • Tidak ada dukungan untuk pemfilteran acara menggunakan pemilih acara tingkat lanjut

Prasyarat

Sebelum Anda membuat penyimpanan data acara, siapkan AWS Config rekaman untuk semua akun dan Wilayah Anda. Anda dapat menggunakan Pengaturan Cepat, kemampuan AWS Systems Manager, untuk dengan cepat membuat perekam konfigurasi yang didukung oleh AWS Config.

catatan

Anda dikenakan biaya penggunaan layanan saat AWS Config mulai merekam konfigurasi. Untuk informasi selengkapnya tentang harga, lihat AWS Config Harga. Untuk informasi tentang mengelola perekam konfigurasi, lihat Mengelola Perekam Konfigurasi di Panduan AWS Config Pengembang.

Selain itu, tindakan berikut direkomendasikan, tetapi tidak diperlukan untuk membuat penyimpanan data acara.

  • Siapkan bucket Amazon S3 untuk menerima snapshot konfigurasi berdasarkan permintaan dan riwayat konfigurasi. Untuk informasi selengkapnya tentang snapshot, lihat Mengelola Saluran Pengiriman dan Mengirimkan Snapshot Konfigurasi ke Bucket Amazon S3 di AWS Config Panduan Pengembang.

  • Tentukan aturan yang ingin Anda gunakan AWS Config untuk mengevaluasi informasi kepatuhan untuk jenis sumber daya yang direkam. Beberapa pertanyaan sampel CloudTrail Danau AWS Config diperlukan Aturan AWS Config untuk mengevaluasi status kepatuhan AWS sumber daya Anda. Untuk informasi selengkapnya Aturan AWS Config, lihat Mengevaluasi Sumber Daya dengan Aturan AWS Config di Panduan AWS Config Pengembang.

Untuk membuat penyimpanan data acara untuk item konfigurasi

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.

  3. Pilih Buat penyimpanan data acara.

  4. Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

  5. Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

    Berikut ini adalah opsi yang tersedia:

    • Harga retensi yang dapat diperpanjang satu tahun - Umumnya direkomendasikan jika Anda mengharapkan untuk menelan kurang dari 25 TB data acara per bulan dan menginginkan periode retensi yang fleksibel hingga 10 tahun. Untuk 366 hari pertama (periode retensi default), penyimpanan disertakan tanpa biaya tambahan dengan harga konsumsi. Setelah 366 hari, retensi diperpanjang tersedia dengan pay-as-you-go harga. Ini adalah pilihan default.

      • Periode retensi default: 366 hari

      • Periode retensi maksimum: 3,653 hari

    • Harga retensi tujuh tahun - Direkomendasikan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 7 tahun. Retensi disertakan dengan harga konsumsi tanpa biaya tambahan.

      • Periode retensi default: 2,557 hari

      • Periode retensi maksimum: 2.557 hari

  6. Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

    CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

  7. (Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan KMS kunci yang ada. Di Enter KMS alias, tentukan alias, dalam format. alias/ MyAliasName Menggunakan KMS kunci Anda sendiri mengharuskan Anda mengedit kebijakan KMS kunci Anda untuk memungkinkan penyimpanan data acara Anda dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

    Menggunakan KMS kunci Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan KMS kunci, KMS kunci tidak dapat dihapus atau diubah.

    catatan

    Untuk mengaktifkan AWS Key Management Service enkripsi untuk penyimpanan data acara organisasi, Anda harus menggunakan KMS kunci yang ada untuk akun manajemen.

  8. (Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan SQL kueri terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

    Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

    1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran yang sudah adaIAM. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

    2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

    3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

  9. (Opsional) Pilih Aktifkan kebijakan sumber daya untuk menambahkan kebijakan berbasis sumber daya ke penyimpanan data acara Anda. Kebijakan berbasis sumber daya memungkinkan Anda mengontrol prinsipal mana yang dapat melakukan tindakan pada penyimpanan data acara Anda. Misalnya, Anda dapat menambahkan kebijakan berbasis sumber daya yang memungkinkan pengguna root di akun lain untuk menanyakan penyimpanan data peristiwa ini dan melihat hasil kueri. Untuk kebijakan-kebijakan contoh, lihat Contoh kebijakan berbasis sumber daya untuk penyimpanan data acara.

    Kebijakan berbasis sumber daya mencakup satu atau lebih pernyataan. Setiap pernyataan dalam kebijakan mendefinisikan prinsipal yang diizinkan atau ditolak akses ke penyimpanan data peristiwa dan tindakan yang dapat dilakukan oleh prinsipal pada sumber daya penyimpanan data acara.

    Tindakan berikut didukung dalam kebijakan berbasis sumber daya untuk penyimpanan data peristiwa:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Untuk penyimpanan data peristiwa organisasi, CloudTrail buat kebijakan berbasis sumber daya default yang mencantumkan tindakan yang diizinkan dilakukan oleh akun administrator yang didelegasikan pada penyimpanan data peristiwa organisasi. Izin dalam kebijakan ini berasal dari izin administrator yang didelegasikan di. AWS Organizations Kebijakan ini diperbarui secara otomatis setelah perubahan pada penyimpanan data peristiwa organisasi atau organisasi (misalnya, akun administrator yang CloudTrail didelegasikan terdaftar atau dihapus).

  10. (Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan IAM kebijakan untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihatContoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag. Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Sumber AWS Daya Penandaan.

  11. Pilih Berikutnya.

  12. Pada halaman Pilih acara, pilih AWS acara, lalu pilih item Konfigurasi.

  13. CloudTrail menyimpan sumber daya penyimpanan data acara di Wilayah tempat Anda membuatnya, tetapi secara default, item konfigurasi yang dikumpulkan di penyimpanan data berasal dari semua Wilayah di akun Anda yang telah mengaktifkan rekaman. Secara opsional, Anda dapat memilih Sertakan hanya wilayah saat ini di penyimpanan data acara saya untuk menyertakan hanya item konfigurasi yang ditangkap di Wilayah saat ini. Jika Anda tidak memilih opsi ini, penyimpanan data acara Anda menyertakan item konfigurasi dari semua Wilayah yang telah mengaktifkan perekaman.

  14. Agar penyimpanan data acara Anda mengumpulkan item konfigurasi dari semua akun di AWS Organizations organisasi, pilih Aktifkan untuk semua akun di organisasi saya. Anda harus masuk ke akun manajemen atau akun administrator yang didelegasikan agar organisasi dapat membuat penyimpanan data peristiwa yang mengumpulkan item konfigurasi untuk organisasi.

  15. Pilih Berikutnya untuk meninjau pilihan Anda.

  16. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

  17. Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

    Dari titik ini ke depan, penyimpanan data acara menangkap item konfigurasi. Item konfigurasi yang terjadi sebelum Anda membuat penyimpanan data acara tidak ada di penyimpanan data acara.

Kueri Sampel

Anda sekarang dapat menjalankan kueri di penyimpanan data acara baru Anda. Tab Contoh kueri di CloudTrail konsol menyediakan contoh kueri untuk memulai. Berikut ini adalah beberapa contoh kueri yang dapat Anda jalankan terhadap penyimpanan data peristiwa item konfigurasi Anda.

Deskripsi Kueri
Temukan pengguna mana yang melakukan tindakan yang menghasilkan status tidak sesuai dengan menggabungkan penyimpanan data peristiwa item konfigurasi dengan penyimpanan data CloudTrail peristiwa. 
SELECT
    element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId,
    element_at(config1.eventData.configuration, 'complianceType') as complianceType,
    config2.eventData.resourceType, cloudtrail.userIdentity
FROM
    config_event_data_store_ID  as config1
JOIN
    config_event_data_store_ID  as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId
JOIN
    cloudtrail_event_data_store_ID  as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn
WHERE
    element_at(config1.eventData.configuration, 'configRuleList') is not null
AND 
    element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT'
AND 
    cloudtrail.eventTime > '2022-11-14 00:00:00'
AND 
    config2.eventData.resourceType = 'AWS::DynamoDB::Table'
Temukan semua AWS Config aturan dan kembalikan status kepatuhan dari item konfigurasi yang dihasilkan dalam satu hari terakhir. 
SELECT 
    eventData.configuration, eventData.accountId, eventData.awsRegion, 
    eventData.resourceName, eventData.resourceCreationTime, 
    element_at(eventData.configuration,'complianceType') AS complianceType, 
    element_at(eventData.configuration, 'configRuleList') AS configRuleList, 
    element_at(eventData.configuration, 'resourceId') AS resourceId, 
    element_at(eventData.configuration, 'resourceType') AS resourceType 
FROM 
    config_event_data_store_ID 
WHERE 
    eventData.resourceType = 'AWS::Config::ResourceCompliance' 
AND 
    eventTime > '2022-11-22 00:00:00' 
ORDER BY 
    eventData.resourceCreationTime 
DESC 
    limit 10
Temukan jumlah total AWS Config sumber daya yang dikelompokkan berdasarkan jenis sumber daya, ID akun, dan Wilayah. 
SELECT 
    eventData.resourceType, eventData.awsRegion, eventData.accountId, 
COUNT (*) AS resourceCount 
FROM 
    config_event_data_store_ID 
WHERE 
    eventTime > '2022-11-22 00:00:00' 
GROUP BY 
    eventData.resourceType, eventData.awsRegion, eventData.accountId
Temukan waktu pembuatan sumber daya untuk semua item AWS Config konfigurasi yang dihasilkan pada tanggal tertentu. 
SELECT
    eventData.configuration, eventData.accountId, 
    eventData.awsRegion, eventData.resourceId, 
    eventData.resourceName, eventData.resourceType, 
    eventData.availabilityZone, eventData.resourceCreationTime
FROM 
    config_event_data_store_ID
WHERE 
    eventTime > '2022-11-16 00:00:00' 
AND 
    eventTime < '2022-11-17 00:00:00'  
ORDER BY 
    eventData.resourceCreationTime
DESC 
    limit 10;

Untuk informasi selengkapnya tentang membuat dan mengedit kueri, lihatMembuat atau mengedit kueri dengan CloudTrail konsol.

Skema item konfigurasi

Tabel berikut menjelaskan elemen skema wajib dan opsional yang cocok dengan yang ada dalam catatan item konfigurasi. Isi eventData disediakan oleh item konfigurasi Anda; bidang lain disediakan oleh CloudTrail setelah konsumsi.

CloudTrail isi catatan acara dijelaskan secara lebih rinci dalamCloudTrail isi rekam.

Bidang yang disediakan oleh CloudTrail setelah konsumsi
Nama bidang Jenis masukan Persyaratan Deskripsi
eventVersion string Diperlukan

Versi format AWS acara.
eventCategory string Diperlukan

Kategori acara. Untuk item konfigurasi, nilai yang valid adalahConfigurationItem.
eventType string Diperlukan

Jenis peristiwa. Untuk item konfigurasi, nilai yang valid adalahAwsConfigurationItem.
EventID string Diperlukan

ID unik untuk suatu acara.
eventTime

string

 Diperlukan

Stempel waktu acara, dalam yyyy-MM-DDTHH:mm:ss format, dalam Waktu Terkoordinasi Universal (). UTC
awsRegion string Diperlukan

Yang mana Wilayah AWS untuk menetapkan suatu acara.
recipientAccountId string Diperlukan

Merupakan Akun AWS ID yang menerima acara ini.
tambahan

tambahan

 Opsional

Menampilkan informasi tentang mengapa suatu acara ditunda. Jika informasi hilang dari peristiwa yang ada, blok addendum mencakup informasi yang hilang dan alasan mengapa itu hilang.
eventDataBidang di disediakan oleh item konfigurasi Anda
Nama bidang Jenis masukan Persyaratan Deskripsi
eventData

-

 Diperlukan eventData Bidang di disediakan oleh item konfigurasi Anda.

  • configurationItemVersion

 string Opsional

Versi item konfigurasi dari sumbernya.

  • configurationItemCaptureWaktu

 string Opsional

Waktu ketika perekaman konfigurasi dimulai.

  • configurationItemStatus

 string Opsional

Status item konfigurasi. Nilai yang valid adalah OK, ResourceDiscovered, ResourceNotRecorded, ResourceDeleted, dan ResourceDeletedNotRecorded.

  • accountId

 string Opsional

Akun AWS ID 12 digit yang terkait dengan sumber daya.

  • resourceType

 string Opsional

Jenis sumber AWS daya. Untuk informasi selengkapnya tentang jenis sumber daya yang valid, lihat ConfigurationItemdi AWS Config APIReferensi.

  • resourceId

 string Opsional

ID sumber daya (misalnya., sg-xxxxxx).

  • resourceName

 string Opsional

Nama kustom sumber daya, jika tersedia.

  • arn

 string Opsional

Amazon Resource Name (ARN) yang terkait dengan sumber daya.

  • awsRegion

string

 Opsional

Di Wilayah AWS mana sumber daya berada.

  • availabilityZone

string

 Opsional

Availability Zone yang terkait dengan sumber daya.

  • resourceCreationTime

string

 Opsional

Cap waktu saat sumber daya dibuat.

  • konfigurasi

JSON

 Opsional

Deskripsi konfigurasi sumber daya.

  • supplementaryConfiguration

JSON

 Opsional

Atribut konfigurasi yang AWS Config mengembalikan jenis sumber daya tertentu untuk melengkapi informasi yang dikembalikan untuk parameter konfigurasi.

  • relatedEvents

string

 Opsional

Daftar CloudTrail acaraIDs.

  • hubungan

 - Opsional

Daftar sumber AWS daya terkait.

    • name

string

 Opsional

Jenis hubungan dengan sumber daya terkait.

    • resourceType

string

 Opsional

Jenis sumber daya dari sumber daya terkait.

    • resourceId

string

 Opsional

ID sumber daya terkait (misalnya, sg-xxxxxx).

    • resourceName

string

 Opsional

Nama kustom sumber daya terkait, jika tersedia.

  • tag

JSON

 Opsional

Pemetaan tag nilai kunci yang terkait dengan sumber daya.

Contoh berikut menunjukkan hierarki elemen skema yang cocok dengan yang ada dalam catatan item konfigurasi.

{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}