Crie uma integração para registrar eventos externos AWS com o AWS CLI - AWS CloudTrail
(Opcional) Calcular um valor de soma de verificação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma integração para registrar eventos externos AWS com o AWS CLI

Esta seção descreve como você pode usar o AWS CLI para criar uma integração com o CloudTrail Lake para registrar eventos de fora do AWS.

No AWS CLI, você cria uma integração em quatro comandos (três se você já tiver um armazenamento de dados de eventos que atenda aos critérios). Os armazenamentos de dados de eventos que você usa como destinos para uma integração devem ser para uma única região e uma única conta; eles não podem ser multirregionais, não podem registrar eventos para organizações e só podem incluir eventos de atividades. AWS Organizations O tipo de evento no console deve ser Events from integrations (Eventos de integrações). NoAPI, o eventCategory valor deve serActivityAuditLog. Para obter mais informações sobre integrações, consulte Crie uma integração com uma fonte de eventos fora do AWS.

  1. Execute create-event-data-store para criar um armazenamento de dados de eventos, se ainda não houver um ou mais armazenamentos de dados de eventos que possam ser usados para a integração.

    O AWS CLI comando de exemplo a seguir cria um armazenamento de dados de eventos que registra eventos externos AWS. Para eventos de atividade, o valor do seletor do campo eventCategory é ActivityAuditLog. O armazenamento de dados do evento tem um período de retenção configurado de 90 dias. Por padrão, o armazenamento de dados de eventos coleta eventos de todas as regiões, mas como não são AWS eventos, defina-o como uma única região adicionando a --no-multi-region-enabled opção. A proteção contra encerramento é ativada por padrão, e o armazenamento de dados de eventos não coleta eventos para contas em uma organização.

    aws cloudtrail create-event-data-store \
--name my-event-data-store \
--no-multi-region-enabled \
--retention-period 90 \
--advanced-event-selectors '[
    {
      "Name": "Select all external events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["ActivityAuditLog"] }
        ]
    }
  ]'

    O seguinte é um exemplo de resposta.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "AdvancedEventSelectors": [
        {
           "Name": "Select all external events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "ActivityAuditLog"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
    "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}

    Você precisará do ID do armazenamento de dados do evento (o sufixo doARN, ou EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE no exemplo de resposta anterior) para ir para a próxima etapa e criar seu canal.

  2. Execute o create-channelcomando para criar um canal que permita que um parceiro ou aplicativo de origem envie eventos para um armazenamento de dados de eventos em CloudTrail.

    Um canal tem os seguintes componentes:

    Origem

    CloudTrail usa essas informações para determinar os parceiros para os quais estão enviando dados de eventos CloudTrail em seu nome. Uma fonte é necessária, e ela pode ser Custom para todos os eventos válidos não da AWS , ou o nome de uma fonte de eventos do parceiro. É permitido no máximo um canal por fonte.

    Para obter informações sobre os valores da Source dos parceiros disponíveis, consulte Informações adicionais sobre parceiros de integração.

    Status da ingestão

    O status do canal mostra quando os últimos eventos foram recebidos de uma fonte de canal.

    Destinos

    Os destinos são os armazenamentos de dados de eventos do CloudTrail Lake que estão recebendo eventos do canal. É possível alterar os armazenamentos de dados de eventos de destino de um canal.

    Para parar de receber eventos de uma fonte, exclua o canal.

    É necessário o ID de pelo menos um armazenamento de dados de eventos de destino para executar esse comando. O tipo de destino válido é EVENT_DATA_STORE. É possível enviar eventos ingeridos para mais de um armazenamento de dados de eventos. O comando de exemplo a seguir cria um canal que envia eventos para dois armazenamentos de dados de eventos, representados por eles IDs no Location atributo do --destinations parâmetro. Os parâmetros --destinations, --name e --source são obrigatórios. Para ingerir eventos de um CloudTrail parceiro, especifique o nome do parceiro como o valor de--source. Para ingerir eventos de seus próprios aplicativos externos AWS, especifique Custom como o valor de--source.

    aws cloudtrail create-channel \
    --region us-east-1 \
    --destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
    --name my-partner-channel \
    --source $partnerSourceName \

    Em resposta ao seu create-channel comando, copie o ARN do novo canal. Você precisa ARN executar os put-audit-events comandos put-resource-policy e nas próximas etapas.

  3. Execute o put-resource-policycomando para anexar uma política de recursos ao canal. As políticas de recursos são documentos de JSON política que especificam quais ações um determinado diretor pode realizar no recurso e sob quais condições. As contas definidas como diretoras na política de recursos do canal podem ligar PutAuditEvents API para a para entregar eventos.

    nota

    Se você não criar uma política de recursos para o canal, somente o proprietário do canal poderá ligar para o PutAuditEvents API canal.

    As informações necessárias para a política são determinadas pelo tipo de integração.

    • Para uma integração de direção, CloudTrail exige que a política contenha a AWS conta IDs do parceiro e que você insira a ID externa exclusiva fornecida pelo parceiro. CloudTrail adiciona automaticamente a AWS conta do parceiro IDs à política de recursos quando você cria uma integração usando o CloudTrail console. Consulte a documentação do parceiro para saber como obter os números de AWS conta necessários para a apólice.

    • Para uma integração de soluções, você deve especificar pelo menos uma ID de AWS conta como principal e, opcionalmente, inserir uma ID externa para evitar confusões entre representantes.

    Veja a seguir os requisitos para a política de recursos:

    • O recurso ARN definido na política deve corresponder ao canal ao ARN qual a política está vinculada.

    • A política contém apenas uma ação: cloudtrail-data: PutAuditEvents

    • Cada uma deve incluir pelo menos uma instrução. A política pode ter um máximo de 20 instruções.

    • Cada instrução contém pelo menos uma entidade principal. Uma instrução pode ter um máximo de 50 entidades principais. 

    aws cloudtrail put-resource-policy \
    --resource-arn "channelARN" \
    --policy "{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "ChannelPolicy",
            "Effect": "Allow",
            "Principal":
            {
                "AWS":
                [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root",
                    "arn:aws:iam::123456789012:root"
                ]
            },
            "Action": "cloudtrail-data:PutAuditEvents",
            "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
            "Condition":
            {
                "StringEquals":
                {
                    "cloudtrail:ExternalId": "UniqueExternalIDFromPartner"
                }
            }
        }
    ]
}"

    Para obter mais informações sobre políticas de recursos, consulte AWS CloudTrail exemplos de políticas baseadas em recursos.

  4. Execute o PutAuditEventsAPIpara incluir seus eventos de atividade em CloudTrail. Você precisará da carga de eventos que deseja CloudTrail adicionar. Certifique-se de que não haja informações confidenciais ou de identificação pessoal na carga útil do evento antes de inseri-las. CloudTrail Observe que o PutAuditEvents API usa o cloudtrail-data CLI endpoint, não o cloudtrail endpoint.

    Os exemplos a seguir mostram como usar o put-audit-events CLI comando. Os parâmetros --audit-events e --channel-arn são obrigatórios. O parâmetro --external-id é necessário se um ID externo for definido na política de recursos. Você precisa ARN do canal que você criou na etapa anterior. O valor de --audit-events é uma JSON matriz de objetos de eventos. --audit-eventsinclui uma ID exigida do evento, a carga útil necessária do evento como valor de e uma soma de EventData verificação opcional para ajudar a validar a integridade do evento após a ingestão. CloudTrail

    aws cloudtrail-data put-audit-events \
--channel-arn $ChannelArn \
--external-id $UniqueExternalIDFromPartner \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"

    A seguir há um exemplo de comando com dois exemplos de eventos.

    aws cloudtrail-data put-audit-events \
--channel-arn arn:aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--external-id UniqueExternalIDFromPartner \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"

    O comando de exemplo a seguir adiciona o --cli-input-json parâmetro para especificar um JSON arquivo (custom-events.json) da carga útil do evento.

    aws cloudtrail-data put-audit-events --channel-arn $channelArn --external-id $UniqueExternalIDFromPartner --cli-input-json file://custom-events.json --region us-east-1

    A seguir estão os conteúdos de amostra do JSON arquivo de exemplo,custom-events.json.

    {
    "auditEvents": [
      {
        "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"12.34.56.78\",\"recipientAccountId\":\"152089810396\"}",
        "id": "1"
      }
   ]
}

Você pode verificar se a integração está funcionando e se CloudTrail está ingerindo eventos da fonte corretamente executando o get-channelcomando. A saída de get-channel mostra o registro de data e hora mais recente que CloudTrail recebeu os eventos.

aws cloudtrail get-channel --channel arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE

(Opcional) Calcular um valor de soma de verificação

A soma de verificação que você especifica como o valor de EventDataChecksum em uma PutAuditEvents solicitação ajuda a verificar se CloudTrail recebe o evento que corresponde à soma de verificação; ajuda a verificar a integridade dos eventos. O valor da soma de verificação é um SHA256 algoritmo base64- que você calcula executando o comando a seguir.

printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",
        \"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"}" \
 | openssl dgst -binary -sha256 | base64

O comando retorna a soma de verificação . Veja um exemplo a seguir.

EXAMPLEDHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=

O valor da soma de verificação se torna o valor de EventDataChecksum em sua solicitação PutAuditEvents. Se a soma de verificação não corresponder à do evento fornecido, CloudTrail rejeitará o evento com um InvalidChecksum erro.