CloudTrail Cruscotti Lake - AWS CloudTrail
PrerequisitiLimitazioniSupporto delle RegioniAutorizzazioni richieste

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail Cruscotti Lake

Puoi utilizzare le dashboard di CloudTrail Lake per visualizzare le tendenze degli eventi per gli archivi di dati sugli eventi presenti nel tuo account. CloudTrail Lake offre i seguenti tipi di dashboard:

  • Dashboard gestiti: puoi visualizzare una dashboard gestita per visualizzare le tendenze degli eventi per un data store di eventi che raccoglie eventi di gestione, eventi relativi ai dati o eventi Insights. Queste dashboard sono automaticamente disponibili per te e sono gestite da Lake. CloudTrail CloudTrail offre 14 dashboard gestite tra cui scegliere. Puoi aggiornare manualmente i dashboard gestiti. Non è possibile modificare, aggiungere o rimuovere i widget per questi dashboard, tuttavia, è possibile salvare un dashboard gestito come dashboard personalizzato se si desidera modificare i widget o impostare una pianificazione di aggiornamento.

  • Dashboard personalizzati: i dashboard personalizzati consentono di interrogare gli eventi in qualsiasi tipo di archivio dati di eventi. Puoi aggiungere fino a 10 widget a una dashboard personalizzata. Puoi aggiornare manualmente una dashboard personalizzata oppure impostare una pianificazione di aggiornamento.

  • Dashboard Highlights: abilita la dashboard Highlights per visualizzare una at-a-glance panoramica dell' AWS attività raccolta dagli archivi di dati sugli eventi nel tuo account. La dashboard Highlights è gestita CloudTrail e include widget pertinenti al tuo account. I widget mostrati nella dashboard Highlights sono unici per ogni account. Questi widget potrebbero far emergere attività o anomalie rilevate. Ad esempio, la dashboard Highlights potrebbe includere il widget Total cross-account access, che mostra se c'è un aumento delle attività anomale tra account. CloudTrail aggiorna la dashboard Highlights ogni 6 ore. La dashboard mostra i dati delle ultime 24 ore dall'ultimo aggiornamento.

Ogni dashboard è composta da uno o più widget e ogni widget fornisce una rappresentazione grafica dei risultati di una SQL query. Per visualizzare la query per un widget, scegli Visualizza e modifica interrogazione per aprire l'editor delle query.

Quando una dashboard viene aggiornata, CloudTrail Lake esegue delle query per compilare i widget della dashboard. Poiché l'esecuzione delle query comporta dei costi, ti CloudTrail chiede di riconoscere i costi associati all'esecuzione delle query. Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione Prezzi. CloudTrail

Argomenti

Prerequisiti

I seguenti prerequisiti si applicano alle dashboard di CloudTrail Lake:

  • Per visualizzare e utilizzare le dashboard di Lake, devi creare almeno un archivio dati di eventi CloudTrail Lake. È possibile creare archivi di dati di eventi utilizzando la AWS CLI console oSDKs. Per informazioni sulla creazione di un datastore di eventi utilizzando la console, consulta Crea un archivio dati di CloudTrail eventi per gli eventi con la console. Per informazioni sulla creazione di un archivio dati di eventi utilizzando il AWS CLI, vedereCrea un data store di eventi con AWS CLI.

  • È necessario disporre delle autorizzazioni adeguate per visualizzare, creare, aggiornare e aggiornare i dashboard. Per ulteriori informazioni, consulta Autorizzazioni richieste.

Limitazioni

Le seguenti limitazioni si applicano ai CloudTrail dashboard di Lake:

  • Puoi abilitare la dashboard Highlights solo per gli archivi di dati sugli eventi presenti nel tuo account.

  • Puoi visualizzare solo i dashboard gestiti per gli archivi di dati sugli eventi esistenti nel tuo account.

  • Per i dashboard personalizzati, puoi solo aggiungere widget di esempio o creare nuovi widget per interrogare gli archivi di dati degli eventi esistenti nel tuo account.

  • Gli amministratori delegati di un' AWS Organizations organizzazione non possono visualizzare o gestire i dashboard di proprietà dell'account di gestione.

Supporto delle Regioni

Le dashboard di CloudTrail Lake sono supportate Regioni AWS ovunque CloudTrail sia supportato Lake.

Il widget di riepilogo delle attività nella dashboard Highlights è supportato nelle seguenti regioni:

  • Regione Asia Pacifico (Tokyo) (ap-northeast-1)

  • Stati Uniti orientali (Virginia settentrionale) (us-east-1)

  • Regione Stati Uniti occidentali (Oregon) (us-west-1)

Tutti gli altri widget sono supportati Regioni AWS ovunque CloudTrail sia supportato Lake.

Per informazioni sulle regioni supportate da CloudTrail Lake, consultaCloudTrail Regioni supportate dai laghi.

Autorizzazioni richieste

Questa sezione descrive le autorizzazioni richieste per le dashboard di CloudTrail Lake e illustra due tipi di politiche: IAM

  • Policy basate sull'identità che consentono di eseguire azioni per creare, gestire ed eliminare dashboard.

  • Policy basate sulle risorse che consentono di CloudTrail eseguire interrogazioni sull'archivio dati degli eventi quando la dashboard viene aggiornata ed eseguire aggiornamenti pianificati delle dashboard personalizzate e della dashboard Highlights per conto dell'utente. Quando crei dashboard utilizzando la CloudTrail console, hai la possibilità di allegare policy basate sulle risorse. Puoi anche eseguire il AWS CLI put-resource-policycomando per aggiungere una politica basata sulle risorse agli archivi di dati o ai dashboard degli eventi.

Requisiti politici basati sull'identità

Le politiche basate sull'identità sono documenti relativi alle politiche di JSON autorizzazione che è possibile allegare a un'identità, ad esempio un IAM utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una politica basata sull'identità, consulta Definire le IAM autorizzazioni personalizzate con le politiche gestite dal cliente nella Guida per l'utente. IAM

Per visualizzare e gestire le dashboard di CloudTrail Lake, è necessaria una delle seguenti politiche:

  • La policy gestita CloudTrailFullAccess.

  • La policy gestita AdministratorAccess.

  • Una politica personalizzata che include una o più delle autorizzazioni specifiche descritte nelle sezioni seguenti.

Autorizzazioni necessarie per la creazione di dashboard

La seguente politica di esempio fornisce le autorizzazioni minime richieste per la creazione di dashboard. Sostituisci partitionregion,account-id, e eds-id con i valori della tua configurazione.

  • StartQueryl'autorizzazione è richiesta solo se la richiesta contiene widget. Fornisci StartQuery le autorizzazioni per tutti gli archivi di dati degli eventi inclusi in una query di widget.

  • StartDashboardRefreshl'autorizzazione è richiesta solo se la dashboard ha una pianificazione di aggiornamento.

  • Per la dashboard Highlights, il chiamante deve disporre dell'StartQueryautorizzazione per tutti gli archivi di dati sugli eventi dell'account.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Autorizzazioni necessarie per l'aggiornamento dei dashboard

La seguente politica di esempio fornisce le autorizzazioni minime richieste per l'aggiornamento dei dashboard. Sostituisci partitionregion,account-id, e eds-id con i valori della tua configurazione.

  • StartQueryl'autorizzazione è richiesta solo se la richiesta contiene widget. Fornisci StartQuery le autorizzazioni per tutti gli archivi di dati degli eventi inclusi in una query di widget.

  • StartDashboardRefreshl'autorizzazione è richiesta solo se la dashboard ha una pianificazione di aggiornamento.

  • Per la dashboard Highlights, il chiamante deve disporre dell'StartQueryautorizzazione per tutti gli archivi di dati sugli eventi dell'account.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Autorizzazioni necessarie per l'aggiornamento dei dashboard

La seguente politica di esempio fornisce le autorizzazioni minime richieste per l'aggiornamento dei dashboard. Sostituisci partitionregion,account-id,dashboard-name, e eds-id con i valori della tua configurazione.

  • Per le dashboard personalizzate e le dashboard Highlights, il chiamante deve avere. cloudtrail:StartDashboardRefresh permissions

  • Per i dashboard gestiti, il chiamante deve disporre dell'cloudtrail:StartDashboardRefreshautorizzazione e cloudtrail:StartQuery delle autorizzazioni per l'Event Data Store coinvolto nell'aggiornamento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

Politiche basate sulle risorse per dashboard e archivi dati di eventi

Le politiche basate sulle risorse sono documenti di policy allegati a JSON una risorsa. Esempi di politiche basate sulle risorse sono le policy di trust dei IAM ruoli e le policy dei bucket di Amazon S3. Quando è collegata a una risorsa, una policy definisce le azioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario specificare un principale in una policy basata sulle risorse.

Per eseguire query su una dashboard durante un aggiornamento manuale o pianificato, devi allegare una policy basata sulle risorse a ogni archivio di dati di eventi associato a un widget sulla dashboard. Ciò consente a CloudTrail Lake di eseguire le query per tuo conto. Quando crei una dashboard personalizzata o abiliti la dashboard Highlights utilizzando la CloudTrail console, CloudTrail hai la possibilità di scegliere a quali archivi di dati di eventi desideri applicare le autorizzazioni. Per ulteriori informazioni sulla politica basata sulle risorse, consulta. Esempio: consenti CloudTrail di eseguire query per aggiornare un pannello di controllo

Per impostare una pianificazione di aggiornamento per una dashboard, devi allegare alla dashboard una policy basata sulle risorse per consentire a CloudTrail Lake di aggiornare la dashboard per tuo conto. Quando imposti una pianificazione di aggiornamento per una dashboard personalizzata o abiliti la dashboard Highlights utilizzando la CloudTrail console, CloudTrail hai la possibilità di allegare una policy basata sulle risorse alla dashboard. Per un esempio di policy, consulta Esempio di policy basata sulle risorse per un pannello di controllo.

Puoi allegare una policy basata sulle risorse utilizzando la CloudTrail console, l'o l'operazione. AWS CLIPutResourcePolicyAPI

KMSautorizzazioni chiave per decrittografare i dati in un archivio dati di eventi

Se un data store di eventi oggetto di una query è crittografato con una KMS chiave, assicuratevi che la policy relativa alle KMS chiavi CloudTrail consenta di decrittografare i dati nell'archivio dati degli eventi. L'esempio seguente di dichiarazione politica consente al responsabile del CloudTrail servizio di decrittografare l'archivio dati degli eventi.

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}