As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CloudTrail Painéis do Lake
Você pode usar os painéis do CloudTrail Lake para ver as tendências de eventos dos armazenamentos de dados de eventos em sua conta. CloudTrail O Lake oferece os seguintes tipos de painéis:
-
Painéis gerenciados — Você pode visualizar um painel gerenciado para ver as tendências de eventos de um armazenamento de dados de eventos que coleta eventos de gerenciamento, eventos de dados ou eventos do Insights. Esses painéis estão automaticamente disponíveis para você e são gerenciados pelo CloudTrail Lake. CloudTrail oferece 14 painéis gerenciados para você escolher. Você pode atualizar manualmente os painéis gerenciados. Você não pode modificar, adicionar ou remover os widgets desses painéis. No entanto, você pode salvar um painel gerenciado como um painel personalizado se quiser modificar os widgets ou definir um cronograma de atualização.
-
Painéis personalizados — Os painéis personalizados permitem que você consulte eventos em qualquer tipo de armazenamento de dados de eventos. Você pode adicionar até 10 widgets a um painel personalizado. Você pode atualizar manualmente um painel personalizado ou definir um cronograma de atualização.
-
Painéis de destaques — Ative o painel de destaques para ver uma at-a-glance visão geral da AWS atividade coletada pelos armazenamentos de dados de eventos em sua conta. O painel de Destaques é gerenciado CloudTrail e inclui widgets que são relevantes para sua conta. Os widgets mostrados no painel de Destaques são exclusivos para cada conta. Esses widgets podem revelar atividades ou anomalias anormais detectadas. Por exemplo, seu painel de Destaques pode incluir o widget Total de acesso entre contas, que mostra se há um aumento na atividade anormal entre contas. CloudTrail atualiza o painel de Destaques a cada 6 horas. O painel mostra as últimas 24 horas de dados da última atualização.
Cada painel consiste em um ou mais widgets e cada widget fornece uma representação gráfica dos resultados de uma SQL consulta. Para visualizar a consulta de um widget, escolha Exibir e editar consulta para abrir o editor de consultas.
Quando um painel é atualizado, o CloudTrail Lake executa consultas para preencher os widgets do painel. Como a execução de consultas gera custos, CloudTrail solicita que você reconheça os custos associados à execução de consultas. Para obter mais informações sobre CloudTrail preços, consulte CloudTrail Preços
Tópicos
- Pré-requisitos
- Limitações
- Suporte de região
- Permissões obrigatórias
- Exibir um painel gerenciado com o CloudTrail console
- Ative o painel de destaques com o CloudTrail console
- Desative o painel de destaques com o CloudTrail console
- Crie um painel personalizado com o CloudTrail console
- Defina um cronograma de atualização para um painel personalizado com o console CloudTrail
- Desative a agenda de atualização de um painel personalizado com o console CloudTrail
- Altere a proteção de rescisão com o CloudTrail console
- Excluir um painel personalizado com o CloudTrail console
- Crie, atualize e gerencie painéis com o AWS CLI
Pré-requisitos
Os seguintes pré-requisitos se aplicam aos CloudTrail painéis do Lake:
-
Para visualizar e usar os painéis do Lake, você deve criar pelo menos um armazenamento de dados de eventos do CloudTrail Lake. Você pode criar armazenamentos de dados de eventos usando o console, AWS CLI, ouSDKs. Para obter informações sobre a criação de armazenamentos de dados de eventos usando o console, consulte Crie um armazenamento de dados de CloudTrail eventos para eventos com o console. Para obter informações sobre como criar um armazenamento de dados de eventos usando o AWS CLI, consulteCrie um armazenamento de dados de eventos com o AWS CLI.
-
Você deve ter permissões adequadas para visualizar, criar, atualizar e atualizar painéis. Para obter mais informações, consulte Permissões obrigatórias.
Limitações
As seguintes limitações se aplicam aos painéis CloudTrail do Lake:
-
Você só pode ativar o painel de Destaques para armazenamentos de dados de eventos existentes em sua conta.
-
Você só pode visualizar painéis gerenciados para armazenamentos de dados de eventos que existem em sua conta.
-
Para painéis personalizados, você só pode adicionar exemplos de widgets ou criar novos widgets que consultem os armazenamentos de dados de eventos existentes na sua conta.
-
Os administradores delegados de uma AWS Organizations organização não podem visualizar nem gerenciar painéis de propriedade da conta de gerenciamento.
Suporte de região
Os painéis do CloudTrail Lake são compatíveis em todos os Regiões da AWS lugares onde o CloudTrail Lake é suportado.
O widget de resumo da atividade no painel Destaques é compatível com as seguintes regiões:
-
Região da Ásia-Pacífico (Tóquio) (ap-northeast-1)
-
Leste dos EUA (Norte da Virgínia) (us-east-1)
-
Região Oeste dos EUA (Oregon) (us-west-1)
Todos os outros widgets são suportados em todos os Regiões da AWS lugares onde o CloudTrail Lake é suportado.
Para obter informações sobre as regiões suportadas pelo CloudTrail Lake, consulteRegiões compatíveis do CloudTrail Lake.
Permissões obrigatórias
Esta seção descreve as permissões necessárias para os painéis do CloudTrail Lake e discute dois tipos de IAM políticas:
-
Políticas baseadas em identidade que permitem que você execute ações para criar, gerenciar e excluir painéis.
-
Políticas baseadas em recursos que permitem CloudTrail executar consultas em seu armazenamento de dados de eventos quando o painel é atualizado e realizar atualizações programadas de painéis personalizados e do painel Destaques em seu nome. Ao criar painéis usando o CloudTrail console, você tem a opção de anexar políticas baseadas em recursos. Você também pode executar o AWS CLI put-resource-policycomando para adicionar uma política baseada em recursos aos seus repositórios de dados de eventos ou painéis.
Requisitos de política baseada em identidade
Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir IAM permissões personalizadas com políticas gerenciadas pelo cliente no Guia do IAMusuário.
Para visualizar e gerenciar os painéis do CloudTrail Lake, você precisa de uma das seguintes políticas:
-
A política gerenciada
CloudTrailFullAccess. -
A política gerenciada
AdministratorAccess. -
Uma política personalizada que inclui uma ou mais das permissões específicas descritas nas seções a seguir.
Tópicos
Permissões necessárias para criar painéis
O exemplo de política a seguir fornece as permissões mínimas necessárias para a criação de painéis. Substitua partition regionaccount-id,,, e eds-id pelos valores da sua configuração.
-
StartQuerya permissão é necessária somente se a solicitação contiver widgets. ForneçaStartQuerypermissões para todos os armazenamentos de dados de eventos incluídos em uma consulta de widget. -
StartDashboardRefresha permissão é necessária somente se o painel tiver um cronograma de atualização. -
Para o painel de Destaques, o chamador deve ter
StartQuerypermissão em todos os armazenamentos de dados do evento na conta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:CreateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Permissões necessárias para atualizar painéis
O exemplo de política a seguir fornece as permissões mínimas necessárias para atualizar painéis. Substitua partition regionaccount-id,,, e eds-id pelos valores da sua configuração.
-
StartQuerya permissão é necessária somente se a solicitação contiver widgets. ForneçaStartQuerypermissões para todos os armazenamentos de dados de eventos incluídos em uma consulta de widget. -
StartDashboardRefresha permissão é necessária somente se o painel tiver um cronograma de atualização. -
Para o painel de Destaques, o chamador deve ter
StartQuerypermissão em todos os armazenamentos de dados do evento na conta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:UpdateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Permissões necessárias para atualizar painéis
O exemplo de política a seguir fornece as permissões mínimas necessárias para atualizar painéis. Substitua partition regionaccount-id,dashboard-name,,, e eds-id pelos valores da sua configuração.
-
Para painéis personalizados e painéis de destaques, o chamador deve ter.
cloudtrail:StartDashboardRefresh permissions -
Para painéis gerenciados, o chamador deve ter
cloudtrail:StartDashboardRefreshpermissão ecloudtrail:StartQuerypermissões para o armazenamento de dados do evento envolvido na atualização.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Políticas baseadas em recursos para painéis e armazenamentos de dados de eventos
Políticas baseadas em recursos são documentos JSON de política que você anexa a um recurso. Exemplos de políticas baseadas em recursos são políticas de confiança de IAM funções e políticas de bucket do Amazon S3. Para o recurso ao qual a política está anexada, a política define quais ações um principal especificado pode executar nesse recurso e em que condições. Você deve especificar uma entidade principal em uma política baseada em recursos.
Para executar consultas em um painel durante uma atualização manual ou programada, você deve anexar uma política baseada em recursos a cada armazenamento de dados de eventos associado a um widget no painel. Isso permite que o CloudTrail Lake execute as consultas em seu nome. Quando você cria um painel personalizado ou ativa o painel Destaques usando o CloudTrail console, CloudTrail você tem a opção de escolher em quais armazenamentos de dados de eventos você deseja aplicar permissões. Para obter mais informações sobre a política baseada em recursos, consulte. Exemplo: permitir CloudTrail a execução de consultas para atualizar um painel
Para definir um cronograma de atualização para um painel, você deve anexar uma política baseada em recursos ao painel para permitir que o CloudTrail Lake atualize o painel em seu nome. Quando você define um cronograma de atualização para um painel personalizado ou ativa o painel Destaques usando o CloudTrail console, você tem CloudTrail a opção de anexar uma política baseada em recursos ao seu painel. Para visualizar um exemplo de política, consulte Exemplo de política baseada em recursos para um painel.
Você pode anexar uma política baseada em recursos usando o CloudTrail console AWS CLI, o ou a PutResourcePolicyAPIoperação.
KMSprincipais permissões para descriptografar dados em um armazenamento de dados de eventos
Se um armazenamento de dados de eventos que está sendo consultado for criptografado com uma KMS chave, certifique-se de que a política de KMS chaves permita CloudTrail descriptografar os dados no armazenamento de dados de eventos. O exemplo de declaração de política a seguir permite que o responsável pelo CloudTrail serviço decifre o armazenamento de dados do evento.
{ "Sid": "AllowCloudTrailDecryptAccess", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }
