Para recursos semelhantes aos do Amazon Timestream para, considere o Amazon Timestream LiveAnalytics para InfluxDB. Ele oferece ingestão de dados simplificada e tempos de resposta de consulta de um dígito em milissegundos para análises em tempo real. Saiba mais [aqui](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Timestream para LiveAnalytics
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Timestream for LiveAnalytics, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.
Esta documentação ajudará você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Timestream para. LiveAnalytics Os tópicos a seguir mostram como configurar o Timestream para atender LiveAnalytics aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que podem ajudá-lo a monitorar e proteger seu Timestream para obter LiveAnalytics recursos.
**Topics**
+ [Proteção de dados no Timestream para LiveAnalytics](data-protection.md)
+ [Gerenciamento de identidade e acesso para o Amazon Timestream para LiveAnalytics](security-iam.md)
+ [Registro e monitoramento no Timestream para LiveAnalytics](monitoring.md)
+ [Resiliência no Amazon Timestream Live Analytics](disaster-recovery-resiliency.md)
+ [Segurança de infraestrutura no Amazon Timestream Live Analytics](infrastructure-security.md)
+ [Análise de vulnerabilidade e configuração no Timestream](ConfigAndVulnerability.md)
+ [Resposta a incidentes no Timestream para LiveAnalytics](IncidentResponse.md)
+ [Endpoints da VPC (AWS PrivateLink)](VPCEndpoints.md)
+ [Melhores práticas de segurança para o Amazon Timestream for LiveAnalytics](best-practices-security.md)
# Proteção de dados no Timestream para LiveAnalytics
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Timestream Live Analytics. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Timestream Live Analytics ou outro Serviços da AWS usando o console, a API ou. AWS CLI AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Para obter informações mais detalhadas sobre o Timestream para tópicos de proteção de LiveAnalytics dados, como criptografia em repouso e gerenciamento de chaves, selecione qualquer um dos tópicos disponíveis abaixo.
**Topics**
+ [Criptografia inativa](EncryptionAtRest.md)
+ [Criptografia em trânsito](EncryptionInTransit.md)
+ [Gerenciamento de chaves](KeyManagement.md)
# Criptografia inativa
[O Timestream para LiveAnalytics criptografia em repouso fornece segurança aprimorada ao criptografar todos os seus dados em repouso usando chaves de criptografia armazenadas em AWS Key Management Service ().AWS KMS](https://aws.amazon.com/kms/) Essa funcionalidade ajuda a reduzir a carga e complexidade operacionais necessárias para proteger dados confidenciais. Com a criptografia de dados em repouso, você pode criar aplicativos confidenciais que atendem a requisitos rigorosos de conformidade e regulamentação de criptografia.
+ A criptografia está ativada por padrão no Timestream para LiveAnalytics banco de dados e não pode ser desativada. O algoritmo de criptografia AES-256 padrão do setor é o algoritmo de criptografia padrão usado.
+ AWS KMS é necessário para criptografia em repouso no Timestream for. LiveAnalytics
+ Não é possível criptografar apenas um subconjunto de itens em uma tabela.
+ Você não precisa modificar suas aplicações cliente de banco de dados para usar a criptografia.
Se você não fornecer uma chave, o Timestream for LiveAnalytics cria e usa uma AWS KMS chave nomeada `alias/aws/timestream` na sua conta.
Você pode usar sua própria chave gerenciada pelo cliente no KMS para criptografar seu Timestream para dados. LiveAnalytics Para obter mais informações sobre chaves no Timestream for LiveAnalytics, consulte. [Gerenciamento de chaves](KeyManagement.md)
Timestream para LiveAnalytics armazenar seus dados em dois níveis de armazenamento, armazenamento de memória e armazenamento magnético. Os dados do armazenamento de memória são criptografados usando um Timestream para chave LiveAnalytics de serviço. Os dados do armazenamento magnético são criptografados usando sua chave AWS KMS.
O serviço de consulta Timestream requer credenciais para acessar seus dados. Essas credenciais são criptografadas usando sua chave KMS.
**nota**
O Timestream for LiveAnalytics não exige todas as operações AWS KMS de descriptografia. Em vez disso, ele mantém um cache local de chaves por 5 minutos com tráfego ativo. Quaisquer alterações de permissão são propagadas pelo Timestream para o LiveAnalytics sistema com consistência eventual em no máximo 5 minutos.
# Criptografia em trânsito
Todos os seus dados do Timestream Live Analytics são criptografados em trânsito. Por padrão, todas as comunicações de e para o Timestream para LiveAnalytics são protegidas usando a criptografia Transport Layer Security (TLS).
# Gerenciamento de chaves
Você pode gerenciar chaves para o Amazon Timestream Live Analytics usando [AWS o Key Management Service AWS](https://docs.aws.amazon.com/kms/latest/developerguide/) (KMS). **O Timestream Live Analytics requer o uso do KMS para criptografar seus dados.** Você tem as seguintes opções para gerenciamento de chaves, dependendo de quanto controle você precisa ter sobre suas chaves:
**Recursos de banco de dados e tabelas**
+ *Chave gerenciada pelo Timestream Live Analytics:* se você não fornecer uma chave, o Timestream Live Analytics criará uma chave usando o `alias/aws/timestream` KMS.
+ *Chave gerenciada pelo cliente:* as chaves gerenciadas pelo cliente KMS são suportadas. Escolha essa opção se precisar de mais controle sobre as permissões e o ciclo de vida de suas chaves, incluindo a capacidade de alterná-las automaticamente anualmente.
**Recurso de consultas agendadas**
+ *Chave de propriedade do Timestream Live Analytics: *se você não fornecer uma chave, o Timestream Live Analytics usará sua própria chave KMS para criptografar o recurso de consulta. Essa chave estará presente na conta do Timestream. Para mais detalhes, consulte [chaves de propriedade do AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no Guia do desenvolvedor do KMS.
+ *Chave gerenciada pelo cliente:* as chaves gerenciadas pelo cliente KMS são suportadas. Escolha essa opção se precisar de mais controle sobre as permissões e o ciclo de vida de suas chaves, incluindo a capacidade de alterná-las automaticamente anualmente.
As chaves KMS em um repositório de chaves externo não são suportadas.
# Gerenciamento de identidade e acesso para o Amazon Timestream para LiveAnalytics
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar o Timestream para obter recursos. LiveAnalytics O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Timestream for funciona com o IAM LiveAnalytics](security_iam_service-with-iam.md)
+ [AWS políticas gerenciadas para o Amazon Timestream Live Analytics](security-iam-awsmanpol.md)
+ [Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Solução de problemas do Amazon Timestream LiveAnalytics para identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas do Amazon Timestream LiveAnalytics para identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Timestream for funciona com o IAM LiveAnalytics](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para obter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Timestream for funciona com o IAM LiveAnalytics
Antes de usar o IAM para gerenciar o acesso ao Timestream LiveAnalytics, você deve entender quais recursos do IAM estão disponíveis para uso com o Timestream. LiveAnalytics Para ter uma visão de alto nível de como o Timestream LiveAnalytics e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) usuário do *IAM*.
**Topics**
+ [Cronograma para LiveAnalytics políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)
+ [Cronograma para LiveAnalytics políticas baseadas em recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada no Timestream para tags LiveAnalytics](#security_iam_service-with-iam-tags)
+ [Cronograma para LiveAnalytics funções do IAM](#security_iam_service-with-iam-roles)
## Cronograma para LiveAnalytics políticas baseadas em identidade
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Timestream for LiveAnalytics suporta ações e recursos específicos e chaves de condição. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Você pode especificar as seguintes ações no elemento Ação de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API, ao comando da CLI ou ao comando SQL com o mesmo nome.
Em alguns casos, uma única ação controla o acesso a uma operação de API e a um comando SQL. Como alternativa, algumas operações exigem várias ações diferentes.
Para obter uma lista de Timestream compatíveis com s LiveAnalytics `Action`, consulte a tabela abaixo:
**nota**
Para todos os `Actions` específicos de bancos de dados, você pode especificar um ARN de banco de dados para limitar a ação a um banco de dados específico.
| Ações | Descrição | Nível de acesso | Tipos de recursos (\$1necessários) |
| --- | --- | --- | --- |
| DescribeEndpoints | Retorna o endpoint do Timestream para o qual as solicitações subsequentes devem ser feitas. | Todos | \$1 |
| Select | Execute consultas no Timestream que selecionam dados de uma ou mais tabelas. [Consulte esta nota para uma explicação detalhada](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | Ler | tabela\$1 |
| CancelQuery | Cancele uma consulta. | Ler | \$1 |
| ListTables | Obtenha a lista de tabelas. | Lista | banco de dados\$1 |
| ListDatabases | Obtenha a lista de bancos de dados. | Lista | \$1 |
| ListMeasures | Obtenha a lista de medidas. | Ler | tabela\$1 |
| DescribeTable | Obtenha a descrição da tabela. | Ler | tabela\$1 |
| DescribeDatabase | Obtenha uma descrição do banco de dados. | Ler | banco de dados\$1 |
| SelectValues | Execute consultas que não exijam a especificação de um recurso específico. [Consulte esta nota para uma explicação detalhada](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues). | Ler | \$1 |
| WriteRecords | Insira os dados no Timestream. | Gravar | tabela\$1 |
| CreateTable | Crie uma tabela. | Gravar | banco de dados\$1 |
| CreateDatabase | Crie um banco de dados. | Gravar | \$1 |
| DeleteDatabase | Exclua um banco de dados. | Gravar | \$1 |
| UpdateDatabase | Atualize um banco de dados. | Gravar | \$1 |
| DeleteTable | Exclua uma tabela. | Gravar | banco de dados\$1 |
| UpdateTable | Atualize uma tabela. | Gravar | banco de dados\$1 |
#### SelectValues versus selecionar:
`SelectValues` é um `Action` que é usado para consultas que *não* exigem um recurso. Veja um exemplo de consulta que não exige um recurso a seguir:
```
SELECT 1
```
Observe que essa consulta não se refere a um determinado Timestream para LiveAnalytics o recurso. Considere outro exemplo:
```
SELECT now()
```
Essa consulta retorna o timestamp atual usando a `now()` função, mas não exige que um recurso seja especificado. `SelectValues`é frequentemente usado para testes, para que o Timestream for LiveAnalytics possa executar consultas sem recursos. Agora, considere uma consulta `Select`:
```
SELECT * FROM database.table
```
Esse tipo de consulta requer um recurso, especificamente um formulário Timestream LiveAnalytics `table`, para que os dados especificados possam ser buscados na tabela.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
No Timestream, LiveAnalytics bancos de dados e tabelas podem ser usados no `Resource` elemento de permissões do IAM.
O recurso Timestream para LiveAnalytics banco de dados tem o seguinte ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
O recurso Timestream for LiveAnalytics table tem o seguinte ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para especificar o espaço de chaves `database` em sua instrução, use o seguinte ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
Para especificar todos os bancos de dados que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
Alguns fluxos de tempo para LiveAnalytics ações, como aqueles para criar recursos, não podem ser executados em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
### Chaves de condição
O Timestream for LiveAnalytics não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
### Exemplos
Para ver exemplos de Timestream para políticas LiveAnalytics baseadas em identidade, consulte. [Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
## Cronograma para LiveAnalytics políticas baseadas em recursos
O Timestream for LiveAnalytics não oferece suporte a políticas baseadas em recursos. Para visualizar um exemplo de uma política baseada em recurso detalhada, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorização baseada no Timestream para tags LiveAnalytics
Você pode gerenciar o acesso ao seu Timestream para LiveAnalytics recursos usando tags. Para gerenciar o acesso a recursos baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as chaves de condição `timestream:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Para obter mais informações sobre como marcar Timestream para LiveAnalytics recursos, consulte. [Adicionar tags e rótulos a recursos](tagging-keyspaces.md)
Para visualizar exemplos de políticas baseadas em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Cronograma para acesso a LiveAnalytics recursos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Cronograma para LiveAnalytics funções do IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usando credenciais temporárias com o Timestream para LiveAnalytics
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
### Perfis vinculados ao serviço
O Timestream for LiveAnalytics não oferece suporte a funções vinculadas a serviços.
### Perfis de serviço
O Timestream for LiveAnalytics não oferece suporte a funções de serviço.
# AWS políticas gerenciadas para o Amazon Timestream Live Analytics
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Topics**
+ [AmazonTimestreamInfluxDBFullAcesso](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [Atualizações da política](#security-iam-awsmanpol-updates)
## AWS política gerenciada: AmazonTimestreamInflux DBFull Acesso
Você pode anexar `AmazonTimestreamInfluxDBFullAccess` aos seus usuários, grupos e funções. O acesso de política para criar, atualizar, excluir e listar instâncias do Amazon Timestream InfluxDB.
**Detalhes de permissões**
Esta política inclui a seguinte permissão:
+ `Amazon Timestream` – fornece acesso administrativo total para criar, atualizar, excluir e listar instâncias do Amazon Timestream InfluxDB e criar e listar grupos de parâmetros.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html).
## AWS política gerenciada: AmazonTimestreamReadOnlyAccess
Você pode anexar `AmazonTimestreamReadOnlyAccess` aos seus usuários, grupos e funções. A política fornece acesso somente leitura ao Amazon Timestream.
**Detalhes de permissões**
Esta política inclui a seguinte permissão:
+ `Amazon Timestream` – fornece acesso somente leitura ao Amazon Timestream. Essa política também concede permissão para cancelar qualquer consulta em execução.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html).
## AWS política gerenciada: AmazonTimestreamConsoleFullAccess
Você pode anexar `AmazonTimestreamConsoleFullAccess` aos seus usuários, grupos e funções.
A política fornece acesso total para gerenciar o Amazon Timestream usando o Console de gerenciamento da AWS. Essa política também concede permissões para determinadas AWS KMS operações e operações para gerenciar suas consultas salvas.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `Amazon Timestream` – Concede às entidades principais acesso total ao Amazon Timestream.
+ `AWS KMS`: permite que as entidades principais listem aliases e descrevam chaves.
+ `Amazon S3` – permite que as entidades principais listem todos os buckets do Amazon S3.
+ `Amazon SNS` – permite que as entidades principais listem e criem tópicos do Amazon SNS.
+ `IAM` – permite que as entidades principais listem os perfis do IAM.
+ `DBQMS`: permite que as entidades principais acessem, criem, excluam, descrevam e atualizem consultas. O Database Query Metadata Service (dbqms) é um serviço somente interno. Ele fornece suas consultas recentes e salvas para o editor de consultas em várias Serviços da AWS, incluindo o Console de gerenciamento da AWS Amazon Timestream.
+ `Pricing` – Permite que as entidades principais acessem a estimativa de preços para a configuração dos recursos do InfluxDB durante a criação.
+ `Marketplace`: Permite que as entidades principais acessem os recursos do mercado e criem contratos para a criação do InfluxDB Cluster com réplicas de leitura.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html).
## AWS política gerenciada: AmazonTimestreamFullAccess
Você pode anexar `AmazonTimestreamFullAccess` aos seus usuários, grupos e funções.
A política fornece acesso total ao Amazon Timestream. Essa política também concede permissões para determinadas AWS KMS operações.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `Amazon Timestream` – Concede às entidades principais acesso total ao Amazon Timestream.
+ `AWS KMS`: permite que as entidades principais listem aliases e descrevam chaves.
+ `Amazon S3` – permite que as entidades principais listem todos os buckets do Amazon S3.
Para revisar essa política no formato JSON, consulte [AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html).
## Atualizações do Timestream Live Analytics para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Timestream Live Analytics desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações nesta página, inscreva-se no RSS feed na página de [histórico de documentos do Timestream Live Analytics](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): atualizar para uma política existente | O Timestream para InfluxDB adicionou o ID do produto do Influx Enterprise Marketplace à política gerenciada `AmazonTimestreamInfluxDBFullAccess` existente para oferecer suporte à assinatura de ofertas do mercado corporativo. Essas permissões são restritas a produtos específicos do AWS Marketplace por meio de uma condição que limita o acesso a apenas alguns`ProductIds`. Consulte [AmazonTimestreamInfluxDBFullAcesso](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies). | 17 de outubro de 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | Foram adicionadas as permissões do AWS Marketplace à política `AmazonTimestreamConsoleFullAccess` gerenciada existente para acessar os recursos do marketplace e criar acordos para a criação do InfluxDB Cluster with Read Replicas. O Timestream Live Analytics também atualizou essa política gerenciada adicionando um campo `Sid`. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 20 de agosto de 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | A ação `pricing:GetProducts` foi adicionada à política gerenciada `AmazonTimestreamConsoleFullAccess` existente para fornecer estimativas de preços para as configurações de recursos do InfluxDB durante a criação. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 10 de junho de 2025 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – atualização para uma política existente | Ação `timestream:DescribeAccountSettings` adicionada à política gerenciada da `AmazonTimestreamReadOnlyAccess` existente. Essa ação é usada para descrever Conta da AWS as configurações. O Timestream Live Analytics também atualizou essa política gerenciada adicionando um campo `Sid`. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamReadOnlyAccess`. | 03 de junho de 2024 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – atualização para uma política existente | Ações `timestream:DescribeBatchLoadTask` e `timestream:ListBatchLoadTasks` adicionadas à política gerenciada da `AmazonTimestreamReadOnlyAccess` existente. Essas ações são usadas ao listar e descrever tarefas de carregamento em lote. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamReadOnlyAccess`. | 24 de fevereiro de 2023 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – atualização para uma política existente | Ações `timestream:DescribeScheduledQuery` e `timestream:ListScheduledQueries` adicionadas à política gerenciada da `AmazonTimestreamReadOnlyAccess` existente. Essas ações são usadas ao listar e descrever consultas agendadas existentes. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamReadOnlyAccess`. | 29 de novembro de 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | Ação `s3:ListAllMyBuckets` adicionada à política gerenciada da `AmazonTimestreamConsoleFullAccess` existente. Essa ação é usada quando você especifica um bucket do Amazon S3 para o Timestream para registrar erros de gravação no armazenamento magnético. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 29 de novembro de 2021 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess) – atualização para uma política existente | Ação `s3:ListAllMyBuckets` adicionada à política gerenciada da `AmazonTimestreamFullAccess` existente. Essa ação é usada quando você especifica um bucket do Amazon S3 para o Timestream para registrar erros de gravação no armazenamento magnético. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamFullAccess`. | 29 de novembro de 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – atualização para uma política existente | Foram removidas ações redundantes da política gerenciada `AmazonTimestreamConsoleFullAccess` existente. Anteriormente, essa política incluía uma ação redundante `dbqms:DescribeQueryHistory`. A política atualizada remove a ação redundante. A atualização da política não afeta o uso da política gerenciada `AmazonTimestreamConsoleFullAccess`. | 23 de abril de 2021 |
| O Timestream Live Analytics começou a monitorar as alterações | O Timestream Live Analytics começou a monitorar as alterações em suas políticas AWS gerenciadas. | 21 de abril de 2021 |
# Amazon Timestream LiveAnalytics para exemplos de políticas baseadas em identidade
Por padrão, os usuários e funções do IAM não têm permissão para criar ou modificar o Timestream para LiveAnalytics recursos. Eles também não podem realizar tarefas usando o Console de gerenciamento da AWS, o CQLSH ou AWS a AWS CLI API. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o Timestream para console LiveAnalytics](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Operações comuns no Timestream para LiveAnalytics](#security_iam_id-based-policy-examples-common-operations)
+ [Cronograma para acesso a LiveAnalytics recursos com base em tags](#security_iam_id-based-policy-examples-tags)
+ [Consultas programadas](#security_iam_id-based-policy-examples-sheduledqueries)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir o Timestream para LiveAnalytics recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o Timestream para console LiveAnalytics
O Timestream for LiveAnalytics não exige permissões específicas para acessar o Amazon Timestream para console. LiveAnalytics Você precisa de pelo menos permissões de somente leitura para listar e visualizar detalhes sobre o Timestream dos LiveAnalytics recursos em sua conta. AWS Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Operações comuns no Timestream para LiveAnalytics
Abaixo estão exemplos de políticas do IAM que permitem operações comuns no Timestream for LiveAnalytics service.
**Topics**
+ [Permitindo todas as operações](#security_iam_id-based-policy-examples-common-operations.all)
+ [Permitindo operações SELECT](#security_iam_id-based-policy-examples-common-operations.select)
+ [Permitindo operações SELECT em vários recursos](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [Permitindo operações de metadados](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [Permitindo operações INSERT](#security_iam_id-based-policy-examples-common-operations.insert)
+ [Permitindo operações CRUD](#security_iam_id-based-policy-examples-common-operations.crud)
+ [Cancelar consultas e selecionar dados sem especificar recursos](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [Criar, descrever, excluir e descrever um banco de dados](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [Limitar bancos de dados listados por tag `{"Owner": "${username}"}`](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [Listar todas as tabelas em um banco de dados](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [Criar, descrever, excluir, atualizar e selecionar em uma tabela](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [Limitar uma consulta por tabela](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### Permitindo todas as operações
A seguir está um exemplo de política que permite todas as operações no Timestream para. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações SELECT
A amostra de política a seguir permite consultas em estilo `SELECT` em um recurso específico.
**nota**
Substitua `` pelo ID da sua conta Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações SELECT em vários recursos
A amostra de política a seguir permite consultas em estilo `SELECT` em vários recursos.
**nota**
Substitua `` pelo ID da sua conta Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações de metadados
O exemplo de política a seguir permite que o usuário realize consultas de metadados, mas não permite que o usuário execute operações que leiam ou gravem dados reais no Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permitindo operações INSERT
A amostra de política a seguir permite que um usuário execute uma operação `INSERT` no `database/sampleDB/table/DevOps` na conta ``.
**nota**
Substitua `` pelo ID da sua conta Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### Permitindo operações CRUD
O exemplo de política a seguir permite que um usuário execute operações CRUD no Timestream para. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### Cancelar consultas e selecionar dados sem especificar recursos
A amostra de política a seguir permite que um usuário cancele consultas e realize consultas `Select` em dados que não exigem especificação de recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Criar, descrever, excluir e descrever um banco de dados
A amostra de política a seguir permite que um usuário crie, descreva, exclua e descreva o banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### Limitar bancos de dados listados por tag `{"Owner": "${username}"}`
A amostra de política a seguir permite que um usuário liste todos os bancos de dados marcados com o par de valor-chave `{"Owner": "${username}"}`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### Listar todas as tabelas em um banco de dados
A amostra de política a seguir lista todas as tabelas no banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### Criar, descrever, excluir, atualizar e selecionar em uma tabela
A amostra de política a seguir permite que um usuário crie tabelas, descreva tabelas, exclua tabelas, atualize tabelas e realize consultas `Select` em uma tabela `DevOps` no banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### Limitar uma consulta por tabela
A amostra de política a seguir permite que um usuário consulte todas as tabelas, exceto `DevOps` no banco de dados `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## Cronograma para acesso a LiveAnalytics recursos com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso ao Timestream para LiveAnalytics recursos com base em tags. Esta seção fornece alguns exemplos.
O exemplo a seguir mostra como você pode criar uma política que conceda permissões a um usuário para visualizar uma tabela se o `Owner` da tabela contiver o valor do nome do usuário em questão.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário chamado `richard-roe` tentar visualizar um Timestream para uma LiveAnalytics tabela, a tabela deverá ser marcada com `Owner=richard-roe` ou. `owner=richard-roe` Caso contrário, ele terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
A política a seguir concede permissões a um usuário para criar tabelas com tags se a tag passada na solicitação tiver uma chave `Owner` e um valor `username`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
A política abaixo permite o uso da API `DescribeDatabase` em qualquer instância de banco de dados que tenha a tag `env` definida como `dev` ou `test`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
Esta política usa uma chave `Condition` para permitir que uma tag com a chave `env` e o valor `test`, `qa` ou `dev` seja adicionada a um recurso.
## Consultas programadas
### Listar, excluir, atualizar, executar ScheduledQuery
A amostra de política a seguir permite que um usuário liste, exclua, atualize e execute consultas agendadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### CreateScheduledQuery usando uma chave KMS gerenciada pelo cliente
O exemplo de política a seguir permite que um usuário crie uma consulta agendada criptografada usando uma chave KMS gerenciada pelo cliente;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### DescribeScheduledQuery usando uma chave KMS gerenciada pelo cliente
O exemplo de política a seguir permite que um usuário descreva uma consulta agendada que foi criada usando uma chave KMS gerenciada pelo cliente;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### Permissões do perfil de execução (usando uma chave KMS gerenciada pelo cliente para consultas agendadas e SSE-KMS para relatórios de erros)
Anexe a amostra de política a seguir ao perfil do IAM especificado no parâmetro `ScheduledQueryExecutionRoleArn`, da API `CreateScheduledQuery` que usa a chave KMS gerenciada pelo cliente para a criptografia da consulta agendada e criptografia `SSE-KMS` para relatórios de erros.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### Relação de confiança do perfil de execução
Veja a seguir a relação de confiança do perfil do IAM especificado no parâmetro `ScheduledQueryExecutionRoleArn` da API `CreateScheduledQuery`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Permitir acesso a todas as consultas agendadas criadas em uma conta
Anexe o exemplo de política a seguir à função do IAM especificada no `ScheduledQueryExecutionRoleArn` parâmetro, da `CreateScheduledQuery` API, para permitir o acesso a todas as consultas agendadas criadas em uma conta*Account\$1ID*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### Permitir acesso a todas as consultas agendadas com um nome específico
Anexe o exemplo de política a seguir à função do IAM especificada no `ScheduledQueryExecutionRoleArn` parâmetro, da `CreateScheduledQuery` API, para permitir o acesso a todas as consultas agendadas com um nome que comece com*Scheduled\$1Query\$1Name*, dentro da conta*Account\$1ID*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Solução de problemas do Amazon Timestream LiveAnalytics para identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Timestream for LiveAnalytics e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no Timestream para LiveAnalytics](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meu Timestream para obter recursos LiveAnalytics](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no Timestream para LiveAnalytics
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O exemplo de erro a seguir ocorre quando o usuário do `mateojackson` IAM tenta usar o console para ver detalhes sobre um*table*, mas não tem `timestream:Select` permissões para a tabela.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `mytable` usando a ação `timestream:Select`.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para a Timestream. LiveAnalytics
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no Timestream for. LiveAnalytics No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meu Timestream para obter recursos LiveAnalytics
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Timestream for LiveAnalytics oferece suporte a esses recursos, consulte. [Como o Amazon Timestream for funciona com o IAM LiveAnalytics](security_iam_service-with-iam.md)
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registro e monitoramento no Timestream para LiveAnalytics
O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho do Timestream LiveAnalytics e de suas AWS soluções. Você deve coletar dados de monitoramento de todas as partes da sua AWS solução para poder depurar com mais facilidade uma falha multiponto, caso ocorra. No entanto, antes de começar a monitorar o Timestream LiveAnalytics, você deve criar um plano de monitoramento que inclua respostas às seguintes perguntas:
+ Quais são seus objetivos de monitoramento?
+ Quais recursos você vai monitorar?
+ Com que frequência você vai monitorar esses recursos?
+ Quais ferramentas de monitoramento você usará?
+ Quem realizará o monitoramento das tarefas?
+ Quem deve ser notificado quando algo der errado?
A próxima etapa é estabelecer uma linha de base para o Timestream normal para LiveAnalytics desempenho em seu ambiente, medindo o desempenho em vários momentos e sob diferentes condições de carga. Ao monitorar o Timestream LiveAnalytics, armazene dados históricos de monitoramento para que você possa compará-los com os dados de desempenho atuais, identificar padrões normais de desempenho e anomalias de desempenho e criar métodos para resolver problemas.
Para estabelecer uma linha de base, você deve, no mínimo, monitorar os seguintes itens:
+ Erros de sistema, para que você possa determinar se qualquer solicitação resultou em um erro.
**Topics**
+ [Ferramentas de monitoramento](monitoring-automated-manual.md)
+ [Registrando o Timestream para chamadas de LiveAnalytics API com AWS CloudTrail](logging-using-cloudtrail.md)
# Ferramentas de monitoramento
AWS fornece várias ferramentas que você pode usar para monitorar o Timestream. LiveAnalytics É possível configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e, ao mesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefas de monitoramento sejam automatizadas ao máximo possível.
**Topics**
+ [Ferramentas de monitoramento automatizadas](#monitoring-automated_tools)
+ [Ferramentas de monitoramento manual](#monitoring-manual-tools)
## Ferramentas de monitoramento automatizadas
Você pode usar as seguintes ferramentas de monitoramento automatizado para assistir ao Timestream LiveAnalytics e relatar quando algo está errado:
+ **Amazon CloudWatch Alarms** — Observe uma única métrica durante um período de tempo especificado por você e execute uma ou mais ações com base no valor da métrica em relação a um determinado limite em vários períodos. A ação é uma notificação enviada para um tópico do Amazon Simple Notification Service (Amazon SNS) ou para uma política do Amazon EC2 Auto Scaling. CloudWatch os alarmes não invocam ações simplesmente porque estão em um determinado estado; o estado deve ter sido alterado e mantido por um determinado número de períodos. Para obter mais informações, consulte [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md).
## Ferramentas de monitoramento manual
Outra parte importante do monitoramento do Timestream LiveAnalytics envolve o monitoramento manual dos itens que os CloudWatch alarmes não cobrem. O Timestream para LiveAnalytics, CloudWatch, Trusted Advisor, e outros Console de gerenciamento da AWS painéis fornecem uma at-a-glance visão do estado do seu ambiente. AWS
+ A página CloudWatch inicial mostra o seguinte:
+ Alertas e status atual
+ Gráficos de alertas e recursos
+ Estado de integridade do serviço
Além disso, você pode usar CloudWatch para fazer o seguinte:
+ Crie [painéis personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) para monitorar os serviços com os quais você se preocupa.
+ Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências
+ Pesquise e navegue em todas as suas métricas AWS de recursos
+ Criar e editar alertas para ser notificado sobre problemas
# Registrando o Timestream para chamadas de LiveAnalytics API com AWS CloudTrail
O Timestream for LiveAnalytics está integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Timestream for. LiveAnalytics CloudTrail captura chamadas da API Data Definition Language (DDL) para Timestream for as events. LiveAnalytics As chamadas capturadas incluem chamadas do Timestream para LiveAnalytics console e chamadas de código para o Timestream para operações de API. LiveAnalytics Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon Simple Storage Service (Amazon S3), incluindo eventos para o Timestream for. LiveAnalytics Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação feita à Timestream LiveAnalytics, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Timestream para obter informações em LiveAnalytics CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. **Quando a atividade ocorre no Timestream for LiveAnalytics, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos.** É possível visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**Atenção**
Atualmente, o Timestream for LiveAnalytics gera CloudTrail eventos para todas as operações de gerenciamento e `Query` API, mas não gera eventos para e. `WriteRecords` `DescribeEndpoints` APIs
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos do Timestream for LiveAnalytics, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, a trilha se aplica a todas as AWS regiões. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros.
Para obter mais informações, consulte os seguintes tópicos no *Guia do usuário do AWS CloudTrail *:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Registrando eventos de dados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM)
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado
+ Se a solicitação foi feita por outro AWS serviço
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Para eventos de API `Query`:
+ Crie uma trilha que receba todos os eventos ou selecione eventos com Timestream para o tipo `AWS::Timestream::Database` de LiveAnalytics recurso ou. `AWS::Timestream::Table`
+ `Query`As solicitações de API que não acessam nenhum banco de dados ou tabela ou que resultam em uma exceção de validação devido a uma string de consulta malformada são registradas CloudTrail com um tipo de recurso `AWS::Timestream::Database` e um valor de ARN de:
```
arn:aws:timestream:(region):(accountId):database/NO_RESOURCE_ACCESSED
```
Esses eventos são entregues somente para trilhas que recebem eventos com o tipo de recurso `AWS::Timestream::Database`.
# Resiliência no Amazon Timestream Live Analytics
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Para obter informações sobre a funcionalidade de proteção de dados do Timestream disponível por meio de AWS Backup, consulte. [Trabalhando com AWS Backup](backups.md)
# Segurança de infraestrutura no Amazon Timestream Live Analytics
Como um serviço gerenciado, o Amazon Timestream Live Analytics é protegido pelos AWS procedimentos globais de segurança de rede descritos no whitepaper [Amazon Web Services: Visão geral dos processos de](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) segurança.
Você usa chamadas de API AWS publicadas para acessar o Timestream Live Analytics pela rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter compatibilidade com conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece compatibilidade com esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
O Timestream Live Analytics é arquitetado para que seu tráfego seja isolado AWS na região específica em que sua instância do Timestream Live Analytics reside.
# Análise de vulnerabilidade e configuração no Timestream
A configuração e os controles de TI são uma responsabilidade compartilhada entre você AWS e você, nosso cliente. Para obter mais informações, consulte o [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/). Além do modelo de responsabilidade compartilhada, o Timestream para LiveAnalytics usuários deve estar ciente do seguinte:
+ É da responsabilidade do cliente corrigir as aplicações de clientes com as dependências relevantes do lado do cliente.
+ Os clientes devem considerar o teste de penetração, se apropriado (consulte testes de [https://aws.amazon.com/security/penetração/](https://aws.amazon.com/security/penetration-testing/).)
# Resposta a incidentes no Timestream para LiveAnalytics
[O Amazon Timestream LiveAnalytics para incidentes de serviço é relatado no Personal Health Dashboard.](https://phd.aws.amazon.com/phd/home#/) Você pode aprender mais sobre o painel e AWS Health [aqui](https://docs.aws.amazon.com//health/latest/ug/what-is-aws-health.html).
Timestream para LiveAnalytics suportar o uso de relatórios. AWS CloudTrail Para obter mais informações, consulte [Registrando o Timestream para chamadas de LiveAnalytics API com AWS CloudTrail](logging-using-cloudtrail.md).
# Endpoints da VPC (AWS PrivateLink)
*Você pode estabelecer uma conexão privada entre sua VPC e o Amazon Timestream LiveAnalytics criando uma interface VPC endpoint.* Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar o Timestream de forma privada LiveAnalytics APIs sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. AWS As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com o Timestream. LiveAnalytics APIs O tráfego entre sua VPC e o Timestream LiveAnalytics não sai da rede Amazon.
Cada endpoint de interface é representado por uma ou mais [Interfaces de Rede Elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nas sub-redes. *Para obter mais informações sobre os endpoints da Interface VPC, consulte os endpoints da Interface [VPC () no Guia do usuário AWS PrivateLink da](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) Amazon VPC.*
Para começar a usar o Timestream for e LiveAnalytics VPC endpoints, fornecemos informações sobre considerações específicas sobre Timestream for with VPC endpoints, criar uma interface LiveAnalytics VPC endpoint para Timestream for, criar uma política de VPC endpoint para Timestream for e usar o cliente Timestream (para LiveAnalytics o Write ou Query SDK) com VPC endpoints. LiveAnalytics
**Topics**
+ [Como os endpoints da VPC trabalham com o Timestream](VPCEndpoints.vpc-endpoint-considerations.md)
+ [Criação de uma interface VPC endpoint para Timestream for LiveAnalytics](VPCEndpoints.vpc-endpoint-create.md)
+ [Criação de uma política de VPC endpoint para Timestream for LiveAnalytics](VPCEndpoints.vpc-endpoint-policy.md)
# Como os endpoints da VPC trabalham com o Timestream
Quando você cria um endpoint da VPC para acessar o SDK de gravação do Timestream Write ou Consulta do Timestream, todas as solicitações são roteadas para endpoints na rede Amazon e não acessam a Internet pública. Mais especificamente, suas solicitações são encaminhadas para os endpoints de gravação e consulta da célula para a qual sua conta foi mapeada em uma determinada região. Para saber mais sobre a arquitetura celular e os endpoints específicos da célula do Timestream, você pode consultar [Arquitetura celular](architecture.md#cells). Por exemplo, suponha que sua conta tenha sido mapeada para `cell1` na `us-west-2` e você tenha configurado endpoints de interface VPC para gravações (`ingest-cell1.timestream.us-west-2.amazonaws.com`) e consultas (`query-cell1.timestream.us-west-2.amazonaws.com`). Nesse caso, todas as solicitações de gravação enviadas usando esses endpoints permanecerão inteiramente dentro da rede da Amazon e não acessarão a Internet pública.
## Considerações sobre endpoints da VPC do Timestream
Considere o seguinte ao criar um endpoint da VPC para o Timestream:
+ *Antes de configurar uma interface de VPC endpoint para Timestream LiveAnalytics, certifique-se de revisar as propriedades [e limitações do endpoint de interface no Guia do usuário da](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) Amazon VPC.*
+ Timestream for LiveAnalytics suporta a realização de chamadas para [todas as suas ações de API a partir de sua](https://docs.aws.amazon.com/timestream/latest/developerguide/API_Reference.html) VPC.
+ As políticas de VPC endpoint são compatíveis com o Timestream for. LiveAnalytics Por padrão, o acesso total ao Timestream for LiveAnalytics é permitido por meio do endpoint. Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
+ Devido à arquitetura do Timestream, o acesso às ações de gravação e consulta exige a criação de dois endpoints de interface VPC, um para cada SDK. Além disso, você deve especificar um endpoint de célula (você só poderá criar um endpoint para a célula Timestream para a qual você está mapeado). Informações detalhadas podem ser encontradas na seção [Criar uma interface VPC endpoint for Timestream for LiveAnalytics](VPCEndpoints.vpc-endpoint-create.md) deste guia.
Agora que você entende como o Timestream for LiveAnalytics funciona com VPC endpoints, crie [uma interface VPC](VPCEndpoints.vpc-endpoint-create.md) endpoint para Timestream for. LiveAnalytics
# Criação de uma interface VPC endpoint para Timestream for LiveAnalytics
Você pode criar uma [interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) para o Timestream for Service LiveAnalytics usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para criar um endpoint da VPC para Timestream, conclua as etapas específicas do Timestream descritas abaixo.
**nota**
Antes de concluir as etapas abaixo, certifique-se de entender as [considerações específicas sobre os endpoints da VPC do Timestream](VPCEndpoints.vpc-endpoint-considerations.md).
## Construir um nome de serviço de endpoint da VPC usando sua célula Timestream
Devido à arquitetura exclusiva do Timestream, endpoints de interface VPC separados devem ser criados para cada SDK (gravação e consulta). Além disso, você deve especificar um endpoint de célula do Timestream (você só poderá criar um endpoint para a célula Timestream para a qual você está mapeado). Para usar o Interface endpoints da VPC para se conectar diretamente ao Timestream de dentro da sua VPC, conclua as etapas abaixo:
1. Primeiro, encontre um endpoint de célula Timestream disponível. Para encontrar um endpoint de célula disponível, use a [`DescribeEndpoints`ação](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) (disponível por meio de Gravação e Consulta APIs) para listar os endpoints de célula disponíveis em sua conta do Timestream. Veja o [exemplo](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example) para obter mais detalhes.
1. Depois de selecionar um endpoint de célula para usar, crie uma string de endpoint da interface VPC para a API de gravação ou consulta do Timestream:
+ *Para a API de gravação:*
```
com.amazonaws..timestream.ingest-
```
+ *Para a API de consulta:*
```
com.amazonaws..timestream.query-
```
[onde ** é um [código de AWS região válido](https://docs.aws.amazon.com/general/latest/gr/rande.html) e ** é um dos endereços de endpoint da célula (como `cell1` ou`cell2`) retornados no [objeto Endpoints](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html#API_query_DescribeEndpoints_ResponseSyntax) pela DescribeEndpoints ação.](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) Veja o [exemplo](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example) para obter mais detalhes.
1. Agora que você criou um nome de serviço de endpoint da VPC, [crie um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Quando solicitado a fornecer um nome de serviço de endpoint da VPC, use o nome de serviço de endpoint da VPC que você criou na Etapa 2.
### Exemplo: criar o nome do serviço do endpoint da VPC
No exemplo a seguir, a `DescribeEndpoints` ação é executada na AWS CLI usando a API de gravação na `us-west-2` região:
```
aws timestream-write describe-endpoints --region us-west-2
```
Esse comando vai retornar a seguinte saída:
```
{
"Endpoints": [
{
"Address": "ingest-cell1.timestream.us-west-2.amazonaws.com",
"CachePeriodInMinutes": 1440
}
]
}
```
Nesse caso, *cell1* é o*| *, e *us-west-2* é ** o. Portanto, o nome do serviço de endpoint da VPC resultante terá a seguinte aparência:
```
com.amazonaws.us-west-2.timestream.ingest-cell1
```
Agora que você criou uma interface VPC endpoint para Timestream for, LiveAnalytics crie [uma política de VPC](VPCEndpoints.vpc-endpoint-policy.md) endpoint para Timestream for. LiveAnalytics
# Criação de uma política de VPC endpoint para Timestream for LiveAnalytics
Você pode anexar uma política de endpoint ao seu VPC endpoint que controla o acesso ao Timestream para. LiveAnalytics Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
**Exemplo: política de VPC endpoint para Timestream for actions LiveAnalytics**
Veja a seguir um exemplo de uma política de endpoint para Timestream for. LiveAnalytics Quando anexada a um endpoint, essa política concede acesso ao Timestream listado para LiveAnalytics ações (nesse caso, [https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html)) para todos os diretores em todos os recursos.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"timestream:ListDatabases"
],
"Resource":"*"
}
]
}
```
# Melhores práticas de segurança para o Amazon Timestream for LiveAnalytics
O Amazon Timestream LiveAnalytics for fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
**Topics**
+ [Timestream para as melhores práticas de LiveAnalytics segurança preventiva](best-practices-security-preventative.md)
# Timestream para as melhores práticas de LiveAnalytics segurança preventiva
As melhores práticas a seguir podem ajudá-lo a antecipar e evitar incidentes de segurança no Timestream for. LiveAnalytics
**Criptografia em repouso**
[O Timestream for LiveAnalytics criptografa em repouso todos os dados do usuário armazenados em tabelas usando chaves de criptografia armazenadas em AWS Key Management Service ().AWS KMS](https://aws.amazon.com/kms/) Isso oferece uma camada de proteção de dados adicional ao proteger seus dados contra acesso não autorizado ao armazenamento subjacente.
O Timestream for LiveAnalytics usa uma única chave padrão de serviço (CMK de AWS propriedade) para criptografar todas as suas tabelas. Se essa chave não existir, ela será criada para você. As chaves padrão do serviço não podem ser desabilitadas. Para obter mais informações, consulte [Timestream para LiveAnalytics criptografia em](https://docs.aws.amazon.com/mcs/latest/devguide/EncryptionAtRest.html) repouso.
**Use funções do IAM para autenticar o acesso ao Timestream para LiveAnalytics**
Para que usuários, aplicativos e outros AWS serviços acessem o Timestream LiveAnalytics, eles devem incluir AWS credenciais válidas em suas AWS solicitações de API. Você não deve armazenar AWS credenciais diretamente no aplicativo ou na instância do EC2. Essas são credenciais de longo prazo que não são automaticamente alternadas e, portanto, podem ter impacto comercial significativo se forem comprometidas. Um perfil do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessar os serviços e recursos da AWS .
Para obter mais informações, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Use políticas do IAM para Timestream para autorização básica LiveAnalytics **
Ao conceder permissões, você decide quem as está recebendo, para qual Timestream LiveAnalytics APIs elas estão recebendo permissões e as ações específicas que você deseja permitir nesses recursos. A implementação do privilégio mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
Anexe políticas de permissões às identidades do IAM (ou seja, usuários, grupos e funções) e, assim, conceda permissões para realizar operações no Timestream para recursos. LiveAnalytics
Para isso, você pode usar o seguinte:
+ [AWS políticas gerenciadas (predefinidas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
+ [Autorização baseada em tags](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)
**Considere utilizar a criptografia do lado do cliente**
Se você armazenar dados sensíveis ou confidenciais no Timestream for LiveAnalytics, talvez queira criptografar esses dados o mais próximo possível de sua origem para que sejam protegidos durante todo o ciclo de vida. A criptografia dos seus dados sensíveis em trânsito e em repouso ajuda você a garantir que os dados em texto simples não estejam disponíveis a terceiros. | | | |