CloudTrail Lake 儀表板 - AWS CloudTrail
必要條件限制區域支援所需的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudTrail Lake 儀表板

您可以使用 CloudTrail Lake 儀表板來查看帳戶中事件資料存放區的事件趨勢。 CloudTrail Lake 提供下列儀表板類型:

  • 受管儀表板 – 您可以檢視受管儀表板,以查看收集管理事件、資料事件或 Insights 事件的事件資料存放區的事件趨勢。這些儀表板會自動提供給您,並由 CloudTrail Lake 管理。 CloudTrail 提供 14 個受管儀表板供您選擇。您可以手動重新整理受管儀表板。您無法修改、新增或移除這些儀表板的小工具,不過,如果您想要修改小工具或設定重新整理排程,您可以將受管儀表板儲存為自訂儀表板。

  • 自訂儀表板 – 自訂儀表板可讓您查詢任何事件資料存放區類型的事件。您最多可以將 10 個小工具新增至自訂儀表板。您可以手動重新整理自訂儀表板,也可以設定重新整理排程。

  • 反白儀表板 – 啟用反白儀表板,以檢視 at-a-glance您帳戶中事件資料存放區所收集的 AWS 活動概觀。醒目提示儀表板由 CloudTrail 管理,並包含與您帳戶相關的小工具。醒目提示儀表板上顯示的小工具對於每個帳戶都是唯一的。這些小工具可能會浮水印偵測到異常活動或異常。例如,您的 Highlights 儀表板可能包含跨帳戶存取總數小工具,顯示異常跨帳戶活動是否有增加。每 6 小時 CloudTrail 更新 Highlights 儀表板。儀表板會顯示上次更新後的最後 24 小時資料。

每個儀表板都包含一或多個小工具,每個小工具提供SQL查詢結果的圖形表示。若要檢視小工具的查詢,請選擇檢視和編輯查詢以開啟查詢編輯器。

重新整理儀表板時, CloudTrail Lake 會執行查詢以填入儀表板的小工具。由於執行查詢會產生成本, CloudTrail 因此 會要求您確認與執行查詢相關聯的成本。如需 CloudTrail 定價的詳細資訊,請參閱CloudTrail 定價

主題

必要條件

下列先決條件適用於 CloudTrail Lake 儀表板:

限制

下列限制適用於 CloudTrail Lake 儀表板:

  • 您只能為帳戶中存在的事件資料存放區啟用反白儀表板。

  • 您只能檢視存在於您帳戶中的事件資料存放區的受管儀表板。

  • 對於自訂儀表板,您只能新增範例小工具或建立新的小工具,以查詢存在於您帳戶中的事件資料存放區。

  • AWS Organizations 組織的委派管理員無法檢視或管理管理帳戶所擁有的儀表板。

區域支援

支援 CloudTrail Lake 的所有 都支援 AWS 區域 CloudTrail Lake 儀表板。

下列 區域支援醒目提示儀表板上的活動摘要小工具:

  • 亞太區域 (東京) 區域 (ap-northeast-1)

  • 美國東部 (維吉尼亞北部) (us-east-1)

  • 美國西部 (奧勒岡) 區域 (us-west-1)

支援 AWS 區域 CloudTrail Lake 的所有 都支援所有其他小工具。

如需 CloudTrail Lake 支援區域的詳細資訊,請參閱 CloudTrail 湖泊支持的地區

所需的許可

本節說明 CloudTrail Lake 儀表板的必要許可,並討論兩種類型的IAM政策:

  • 身分型政策,可讓您執行建立、管理和刪除儀表板的動作。

  • 以資源為基礎的政策, CloudTrail 允許 在重新整理儀表板時在事件資料存放區上執行查詢,並代表您執行自訂儀表板和醒目提示儀表板的排程重新整理。當您使用 CloudTrail 主控台建立儀表板時,您可以選擇連接以資源為基礎的政策。您也可以執行 AWS CLI put-resource-policy命令,將資源型政策新增至您的事件資料存放區或儀表板。

身分型政策需求

以身分為基礎的政策是您可以連接到身分的JSON許可政策文件,例如IAM使用者、使用者群組或角色。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立以身分為基礎的政策,請參閱 IAM 使用者指南中的使用客戶受管政策定義自訂IAM許可

若要檢視和管理 CloudTrail Lake 儀表板,您需要下列其中一個政策:

建立儀表板所需的許可

下列範例政策提供建立儀表板所需的最低許可。eds-idpartitionaccount-idregion和 取代為您的組態值。

  • StartQuery 只有在請求包含小工具時,才需要 許可。為小工具查詢中包含的所有事件資料存放區提供StartQuery許可。

  • StartDashboardRefresh 只有在儀表板有重新整理排程時,才需要 許可。

  • 對於醒目提示儀表板,發起人必須擁有帳戶中所有事件資料存放區的StartQuery許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

更新儀表板所需的許可

下列範例政策提供更新儀表板所需的最低許可。eds-idpartitionaccount-idregion和 取代為您的組態值。

  • StartQuery 只有在請求包含小工具時,才需要 許可。為小工具查詢中包含的所有事件資料存放區提供StartQuery許可。

  • StartDashboardRefresh 只有在儀表板有重新整理排程時,才需要 許可。

  • 對於醒目提示儀表板,發起人必須擁有帳戶中所有事件資料存放區的StartQuery許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

重新整理儀表板所需的許可

下列範例政策提供重新整理儀表板所需的最低許可。eds-idpartitionregiondashboard-nameaccount-id和 取代為您的組態值。

  • 對於自訂儀表板和醒目提示儀表板,發起人必須具有 cloudtrail:StartDashboardRefresh permissions

  • 對於受管儀表板,發起人必須擁有重新整理所涉及事件資料存放區的cloudtrail:StartDashboardRefresh許可和cloudtrail:StartQuery許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

儀表板和事件資料存放區的資源型政策

資源型政策是您附加至資源JSON的政策文件。資源型政策的範例包括IAM角色信任政策和 Amazon S3 儲存貯體政策。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中指定主體。

若要在手動或排程重新整理期間對儀表板執行查詢,您必須將資源型政策連接至與儀表板上的小工具相關聯的每個事件資料存放區。這可讓 CloudTrail Lake 代表您執行查詢。當您建立自訂儀表板,或使用 CloudTrail 主控台啟用醒目提示儀表板時, CloudTrail 可讓您選擇想要套用許可的事件資料存放區。如需資源型政策的詳細資訊,請參閱範例:允許 CloudTrail 執行查詢以重新整理儀表板

若要設定儀表板的重新整理排程,您必須將資源型政策連接至儀表板,以允許 CloudTrail Lake 代表您重新整理儀表板。當您設定自訂儀表板的重新整理排程,或使用 CloudTrail 主控台啟用反白儀表板時, CloudTrail 可讓您選擇將資源型政策連接至儀表板。如需政策範例,請參閱 儀表板的資源型政策範例

您可以使用 CloudTrail 主控台、 AWS CLIPutResourcePolicyAPI操作連接資源型政策。

KMS 解密事件資料存放區中資料的金鑰許可

如果查詢的事件資料存放區使用KMS金鑰加密,請確定KMS金鑰政策允許 CloudTrail 解密事件資料存放區中的資料。下列範例政策陳述式允許 CloudTrail 服務主體解密事件資料存放區。

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}