Limitazioni Prerequisiti Creazione di un datastore di eventi per gli elementi di configurazione Schema dell'elemento di configurazione

Crea un archivio dati di eventi per gli elementi di configurazione con la console

Puoi creare un datastore di eventi per includere gli elementi di configurazione AWS Config e utilizzarlo per esaminare le modifiche non conformi agli ambienti di produzione. Con un datastore di eventi, puoi mettere in relazione le regole non conformi con gli utenti e le risorse associati alle modifiche. Un elemento di configurazione rappresenta una point-in-time visualizzazione degli attributi di una AWS risorsa supportata presente nell'account. AWS Config crea un elemento di configurazione ogni volta che rileva una modifica a un tipo di risorsa che sta registrando. AWS Config crea inoltre elementi di configurazione quando viene acquisita un'istantanea di configurazione.

Puoi usare entrambi AWS Config e CloudTrail Lake per eseguire query sugli elementi di configurazione. È possibile utilizzare AWS Config per interrogare lo stato di configurazione corrente delle AWS risorse in base alle proprietà di configurazione per un singolo account Account AWS e Regione AWS regioni o per più account e regioni. Al contrario, puoi usare CloudTrail Lake per eseguire query su diverse fonti di dati come CloudTrail eventi, elementi di configurazione e valutazioni delle regole. CloudTrail Le query di Lake coprono tutti gli elementi AWS Config di configurazione, inclusa la configurazione delle risorse e la cronologia della conformità.

La creazione di un archivio dati di eventi per gli elementi di configurazione non ha alcun impatto sulle query AWS Config avanzate esistenti o sugli aggregatori configurati AWS Config . Puoi continuare a eseguire query avanzate utilizzando AWS Config e AWS Config continuare a fornire file di cronologia ai tuoi bucket S3.

CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

Limitazioni

Le seguenti limitazioni si applicano ai datastore di eventiper gli elementi di configurazione.

Nessun supporto per elementi di configurazione personalizzati
Nessun supporto per il filtro degli eventi tramite selettori di eventi avanzati

Prerequisiti

Prima di creare il tuo archivio dati sugli eventi, configura AWS Config la registrazione per tutti i tuoi account e le tue regioni. Puoi utilizzare Quick Setup, una funzionalità di AWS Systems Manager, per creare rapidamente un registratore di AWS Config configurazione basato su.

Nota

All' AWS Config avvio della registrazione delle configurazioni vengono addebitati i costi di utilizzo del servizio. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Config. Per ulteriori informazioni sulla gestione del registratore di configurazione, consulta Gestione del registratore della configurazione nella Guida per gli sviluppatori di AWS Config .

Inoltre, le seguenti azioni sono consigliate, ma non obbligatorie per creare un datastore di eventi.

Configura un bucket Amazon S3 per ricevere uno snapshot di configurazione su richiesta e la cronologia di configurazione. Per ulteriori informazioni sugli snapshot, consulta Managing the Delivery Channel (Gestione del canale di distribuzione) e Delivering Configuration Snapshot to an Amazon S3 Bucket (Distribuzione dello snapshot di configurazione in un bucket Amazon S3) nella Guida per gli sviluppatori di AWS Config .
Specificate le regole che desiderate utilizzare AWS Config per valutare le informazioni di conformità per i tipi di risorse registrati. Alcune delle query di esempio di CloudTrail Lake AWS Config richiedono Regole di AWS Config la valutazione dello stato di conformità delle AWS risorse. Per ulteriori informazioni in merito Regole di AWS Config, consulta Evaluating Resources with Regole di AWS Config nella AWS Config Developer Guide.

Creazione di un datastore di eventi per gli elementi di configurazione

Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.
Scegliere Create event data store (Crea archivio di dati degli eventi).
Nella pagina Configure event data store (Configura archivio di dati degli eventi), in General details (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.
Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

Sono disponibili le seguenti opzioni:
- Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l'opzione predefinita.
  - Periodo di conservazione predefinito: 366 giorni
  - Periodo di conservazione massimo: 3.653 giorni
- Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
  - Periodo di conservazione predefinito: 2.557 giorni
  - Periodo di conservazione massimo: 2.557 giorni
Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni.

CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.
(Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli Usa la mia AWS KMS key. Scegli Nuovo per AWS KMS key crearne uno per te, oppure scegli Esistente per usare una KMS chiave esistente. In Inserisci KMS alias, specifica un alias, nel formato alias/MyAliasName. L'utilizzo della propria KMS chiave richiede la modifica della politica KMS delle chiavi per consentire la crittografia e la decrittografia dei CloudTrail log. Per ulteriori informazioni, vedere. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

L'utilizzo di una KMS chiave propria comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un Event Data Store a una KMS chiave, la KMS chiave non può essere rimossa o modificata.

Nota
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una KMS chiave esistente per l'account di gestione.
(Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione consente di visualizzare i metadati associati all'archivio dati degli eventi nel Catalogo AWS Glue dati ed eseguire SQL query sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:
1. Scegli se vuoi creare un nuovo ruolo o utilizzare un ruolo esistenteIAM. AWS Lake Formationutilizza questo ruolo per gestire le autorizzazioni per l'archivio dati degli eventi federati. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.
2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
(Facoltativo) Nella sezione Tags (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare IAM le policy per autorizzare l'accesso a un archivio dati di eventi basato sui tag, consulta. Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Tagging your AWS resources nella Tagging AWS Resources User Guide.
Scegli Next (Successivo).
Nella pagina Scegli eventi, scegli Eventi AWS , quindi seleziona Elementi di configurazione.
CloudTrail archivia la risorsa Event Data Store nella regione in cui è stata creata, ma per impostazione predefinita, gli elementi di configurazione raccolti nel data store provengono da tutte le regioni dell'account in cui è abilitata la registrazione. Se lo desideri, puoi selezionare Include only the current region in my event data store (Includi solo la regione corrente nel datastore di eventi) per includere solo gli eventi acquisiti nella regione corrente. Se non scegli questa opzione, il datastore di eventi include gli elementi di configurazione provenienti da tutte le regioni in cui è abilitata la registrazione.
Per fare in modo che il tuo Event Data Store raccolga gli elementi di configurazione da tutti gli account di un' AWS Organizations organizzazione, seleziona Abilita per tutti gli account della mia organizzazione. Per creare un datastore di eventi che raccolga gli elementi di configurazione per un'organizzazione, è necessario effettuare l'accesso all'account di gestione o all'account dell'amministratore delegato dell'organizzazione stessa.
Scegli Next (Successivo) per rivedere le scelte effettuate.
Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).
Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

Da questo momento in poi, il datastore di eventi registra gli elementi di configurazione. Gli elementi di configurazione che si sono verificati prima della creazione delil datastore di eventi non si trovano al suo interno.

Query di esempio

Ora è possibile eseguire query sul nuovo datastore di eventi. La scheda Interrogazioni di esempio sulla CloudTrail console fornisce interrogazioni di esempio per iniziare. Di seguito sono riportate alcune delle query di esempio che è possibile eseguire sul datastore di eventi dell'elemento di configurazione.

Descrizione	Query
Scopri quale utente ha eseguito un'azione che ha determinato lo stato di non conformità unendo un data store di eventi di un elemento di configurazione a un data store di eventi. CloudTrail	SELECT element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId, element_at(config1.eventData.configuration, 'complianceType') as complianceType, config2.eventData.resourceType, cloudtrail.userIdentity FROM config_event_data_store_ID as config1 JOIN config_event_data_store_ID as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId JOIN cloudtrail_event_data_store_ID as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn WHERE element_at(config1.eventData.configuration, 'configRuleList') is not null AND element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT' AND cloudtrail.eventTime > '2022-11-14 00:00:00' AND config2.eventData.resourceType = 'AWS::DynamoDB::Table'
Trova tutte le AWS Config regole e restituisci lo stato di conformità degli elementi di configurazione generati nell'ultimo giorno.	SELECT eventData.configuration, eventData.accountId, eventData.awsRegion, eventData.resourceName, eventData.resourceCreationTime, element_at(eventData.configuration,'complianceType') AS complianceType, element_at(eventData.configuration, 'configRuleList') AS configRuleList, element_at(eventData.configuration, 'resourceId') AS resourceId, element_at(eventData.configuration, 'resourceType') AS resourceType FROM config_event_data_store_ID WHERE eventData.resourceType = 'AWS::Config::ResourceCompliance' AND eventTime > '2022-11-22 00:00:00' ORDER BY eventData.resourceCreationTime DESC limit 10
Trova il numero totale di AWS Config risorse raggruppate per tipo di risorsa, ID account e regione.	`SELECT eventData.resourceType, eventData.awsRegion, eventData.accountId, COUNT (*) AS resourceCount FROM config_event_data_store_ID WHERE eventTime > '2022-11-22 00:00:00' GROUP BY eventData.resourceType, eventData.awsRegion, eventData.accountId`
Trova l'ora di creazione delle risorse per tutti gli elementi AWS Config di configurazione generati in una data specifica.	`SELECT eventData.configuration, eventData.accountId, eventData.awsRegion, eventData.resourceId, eventData.resourceName, eventData.resourceType, eventData.availabilityZone, eventData.resourceCreationTime FROM config_event_data_store_ID WHERE eventTime > '2022-11-16 00:00:00' AND eventTime < '2022-11-17 00:00:00' ORDER BY eventData.resourceCreationTime DESC limit 10;`

Per ulteriori informazioni sulla creazione e la modifica di query, consulta Crea o modifica un'interrogazione con la console CloudTrail .

Schema dell'elemento di configurazione

La tabella seguente descrive gli elementi dello schema obbligatori e facoltativi che corrispondono a quelli nei record degli elementi di configurazione. Il contenuto di eventData è fornito dagli elementi di configurazione; gli altri campi sono forniti da CloudTrail after ingestion.

CloudTrail i contenuti dei record di eventi sono descritti più dettagliatamente in. CloudTrail contenuto del record

Campi forniti da CloudTrail dopo l'ingestione
Campi forniti dai tuoi eventi

Campi forniti da dopo l'ingestione CloudTrail
Nome del campo	Input type (Tipo input)	Requisito	Descrizione
eventVersion	stringa	Richiesto	La versione del formato dell' AWS evento.
eventCategory	string	Richiesto	La categoria dell'evento. Per gli elementi di configurazione, il valore valido è `ConfigurationItem`.
eventType	string	Richiesto	Il tipo di evento, Per gli elementi di configurazione, il valore valido è `AwsConfigurationItem`.
eventID	string	Richiesto	Un ID univoco per un evento.
eventTime	string	Richiesto	Il timestamp dell'evento, in `yyyy-MM-DDTHH:mm:ss` formato, in Universal Coordinated Time ()UTC.
awsRegion	string	Richiesto	Il Regione AWS a cui assegnare un evento.
recipientAccountId	string	Richiesto	Rappresenta l' Account AWS ID che ha ricevuto questo evento.
addendum	addendum	Facoltativo	Mostra informazioni sul motivo per cui un evento è stato ritardato. Se mancavano informazioni da un evento esistente, il blocco aggiuntivo includerà le informazioni mancanti e un motivo per cui mancavano.

I campi in `eventData` sono forniti dagli elementi di configurazione
Nome del campo	Input type (Tipo input)	Requisito	Descrizione
eventData	-	Richiesto	I campi in eventData sono forniti dagli elementi di configurazione.
configurationItemVersion	string	Facoltativo	La versione dell'elemento di configurazione dalla sua origine.
configurationItemCaptureOra	string	Facoltativo	L'ora in cui è stata avviata la registrazione della configurazione.
configurationItemStatus	string	Facoltativo	Lo stato dell'elemento di configurazione. I valori validi sono `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, `ResourceDeleted` e `ResourceDeletedNotRecorded`.
accountId	string	Facoltativo	L' Account AWS ID a 12 cifre associato alla risorsa.
resourceType	string	Facoltativo	Il tipo di risorsa. AWS Per ulteriori informazioni sui tipi di risorse validi, vedere ConfigurationItemnella Guida AWS Config APIdi riferimento.
resourceId	string	Facoltativo	L'ID della risorsa (ad esempio, sg-`xxxxxx`).
resourceName	string	Facoltativo	Il nome personalizzato della risorsa, se disponibile.
arn	string	Facoltativo	Amazon Resource Name (ARN) associato alla risorsa.
awsRegion	string	Facoltativo	Il Regione AWS luogo in cui risiede la risorsa.
availabilityZone	string	Facoltativo	La zona di disponibilità della risorsa associata alla risorsa.
resourceCreationTime	string	Facoltativo	Il timestamp di quando è stata creata la risorsa.
configurazione	JSON	Facoltativo	La descrizione della configurazione della risorsa.
supplementaryConfiguration	JSON	Facoltativo	Attributi di configurazione AWS Config restituiti per determinati tipi di risorse per integrare le informazioni restituite per il parametro di configurazione.
relatedEvents	string	Facoltativo	Un elenco di CloudTrail eventiIDs.
relationships	-	Facoltativo	Un elenco di AWS risorse correlate.
nome	string	Facoltativo	Il tipo di relazione con la risorsa correlata.
resourceType	string	Facoltativo	Il tipo di risorsa della risorsa correlata.
resourceId	string	Facoltativo	L'ID della risorsa correlata (ad esempio, sg-`xxxxxx`).
resourceName	string	Facoltativo	Il nome personalizzato della risorsa correlata, se disponibile.
tags	JSON	Facoltativo	Una mappatura dei tag con i valori della chiave associati alla risorsa.

L'esempio seguente mostra la gerarchia di elementi dello schema che corrispondono a quelli nei record degli elementi di configurazione.


{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea un archivio dati di eventi per gli eventi Insights

Crea un archivio dati di eventi per eventi esterni a AWS