Administración de almacenes de datos de eventos con la AWS CLI - AWS CloudTrail
Obtener un almacén de datos de eventos con la AWS CLIEnumerar todos los almacenes de datos de eventos de una cuenta con la AWS CLIAgregue claves de etiqueta de recurso y claves de condición global de IAM y amplíe el tamaño del evento.Obtenga la configuración de eventos de un almacén de datos de eventosObtenga la política basada en recursos para un almacén de datos de eventos con el AWS CLIAsocie una política basada en recursos a un almacén de datos de eventos con el AWS CLIElimine la política basada en recursos asociada a un almacén de datos de eventos con el AWS CLIDetener la incorporación en un almacén de datos de eventos con la AWS CLIIniciar la incorporación en un almacén de datos de eventos con la AWS CLIHabilitar la federación en un almacén de datos de eventosDeshabilitar la federación en un almacén de datos de eventosRestaurar un almacén de datos de eventos con la AWS CLI

Administración de almacenes de datos de eventos con la AWS CLI

En esta sección se describen otros comandos que puede ejecutar para obtener información sobre los almacenes de datos de eventos, iniciar y detener la ingesta en un almacén de datos de eventos y habilitar y deshabilitar la federación en un almacén de datos de eventos.

Obtener un almacén de datos de eventos con la AWS CLI

El siguiente ejemplo del comando de la AWS CLI get-event-data-store devuelve información sobre el almacén de datos de eventos especificado por el parámetro --event-data-store requerido, el cual acepta un ARN o el sufijo de ID del ARN.

aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp.

{
    "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "s3-data-events-eds",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log DeleteObject API calls for a specific S3 bucket",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "eventName",
                    "Equals": [
                        "DeleteObject"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3:::amzn-s3-demo-bucket"
                    ]
                },
                {
                    "Field": "readOnly",
                    "Equals": [
                        "false"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
    "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}

Enumerar todos los almacenes de datos de eventos de una cuenta con la AWS CLI

El siguiente ejemplo del comando de la AWS CLI list-event-data-stores devuelve información sobre todos los almacenes de datos de eventos de una cuenta en la región actual. Los parámetros opcionales incluyen --max-results para especificar el número máximo de resultados que desea que el comando devuelva en una sola página. Si hay más resultados que el valor --max-results especificado, ejecute el comando de nuevo agregando el valor devuelto NextToken para obtener la siguiente página de resultados.

aws cloudtrail list-event-data-stores

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStores": [
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
            "Name": "management-events-eds"
        },
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
            "Name": "config-items-eds"
        },
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
            "Name": "s3-data-events"
        }
    ]
}

Agregue claves de etiqueta de recurso y claves de condición global de IAM y amplíe el tamaño del evento.

Ejecute el comando AWS CLI put-event-configuration para ampliar el tamaño máximo del evento y agregue hasta 50 claves de etiqueta de recurso y 50 claves de condición global de IAM para ofrecer metadatos adicionales sobre los eventos.

El comando put-event-configuration acepta los argumentos siguientes:

  • --event-data-store: especifique el ARN del almacén de datos de eventos o el sufijo de ID del ARN. Este parámetro es obligatorio.

  • --max-event-size: configúrelo en Large para establecer el tamaño máximo del evento en 1 MB. De manera predeterminada, el valor es Standard, que especifica un tamaño máximo de evento de 256 KB.

    nota

    Para agregar claves de etiqueta de recurso o claves de condición global de IAM, debe establecer el tamaño del evento en Large para garantizar que todas las claves agregadas se incluyan en el evento.

  • --context-key-selectors: especifique el tipo de claves que quiere incluir en los eventos recopilados por el almacén de datos de eventos. Puede incluir claves de etiquetas de recursos y claves de condición global de IAM. La información sobre las etiquetas de recurso agregadas y las claves de condición global de IAM se muestra en el campo eventContext en el evento. Para obtener más información, consulte Enriquecer los eventos de CloudTrail mediante la agregación de etiquetas de recurso y claves de condición global de IAM.

    • Defina el Type a TagContext para pasar una matriz de hasta 50 claves de etiqueta de recurso. Si agrega etiquetas de recurso, los eventos de CloudTrail incluirán las claves de las etiquetas seleccionadas asociadas a los recursos que han participado en la llamada a la API. Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.

    • Configure el Type a RequestContext para pasar una matriz de hasta 50 claves de condición global de IAM. Si agrega claves de condición global de IAM, los eventos de CloudTrail incluirán información sobre las claves de condición seleccionadas que se evaluaron durante el proceso de autorización, como detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.

En el siguiente ejemplo, se establece el tamaño máximo del evento en Large y se agregan dos claves de etiqueta de recurso myTagKey1 y myTagKey2.

aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'

En el siguiente ejemplo, se establece el tamaño máximo del evento en Large y se agrega una clave de condición global de IAM (aws:MultiFactorAuthAge).

aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'

El último ejemplo elimina todas las claves de etiqueta de recurso y las claves de condición global de IAM y establece el tamaño máximo del evento en Standard.

aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Standard \
--context-key-selectors

Obtenga la configuración de eventos de un almacén de datos de eventos

Ejecute el comando AWS CLI get-event-configuration para regresar a la configuración de eventos de un almacén de datos de eventos que recopila los eventos de CloudTrail. Este comando regresa el tamaño máximo del evento y muestra las claves de etiqueta de recurso y las claves de condición global de IAM (si las hubiera) que se incluyen en los eventos de CloudTrail.

aws cloudtrail get-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Obtenga la política basada en recursos para un almacén de datos de eventos con el AWS CLI

En el siguiente ejemplo se ejecuta el comando get-resource-policy en un almacén de datos de eventos de la organización.

aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

Como el comando se ejecutó en un almacén de datos de eventos de la organización, el resultado mostrará tanto la política basada en recursos que se brindó como la DelegatedAdminResourcePolicy generada para las cuentas de los administradores delegados.

Asocie una política basada en recursos a un almacén de datos de eventos con el AWS CLI

Para ejecutar las consultas en un panel durante una actualización manual o programada, debe asociar una política basada en recursos a cada almacén de datos de eventos que esté asociado a un widget en el panel. Esto permite a CloudTrail Lake ejecutar las consultas en su nombre. Para obtener más información sobre la política basada en recursos, consulte Ejemplo: permitir que CloudTrail ejecute consultas para actualizar un panel.

En el siguiente ejemplo, se asocia una política basada en recursos a un almacén de datos de eventos que permite a CloudTrail ejecutar consultas en un panel cuando se lo actualiza. La política se crea en un archivo independiente, policy.json, con el siguiente ejemplo de declaración de la política:

JSON
{ "Version":"2012-10-17",		 	 	  "Statement": [{ "Sid": "EDSPolicy", "Effect":
    "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource":
    "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event_data_store_ID",
    "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn":
    "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "AWS:SourceAccount": "123456789012" } } } ] }

Reemplace 123456789012 por su ID de cuenta, arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event_data_store_ID con el ARN de un almacén de datos de eventos para el que CloudTrail ejecutará las consultas, y arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE con el ARN del panel.

aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy file://policy.json

Lo que sigue es un ejemplo de respuesta.

{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "ResourcePolicy": "policy-statement" }

Para obtener otros ejemplos de políticas, consulte Ejemplos de políticas basadas en recursos para almacenes de datos de eventos.

Elimine la política basada en recursos asociada a un almacén de datos de eventos con el AWS CLI

En los siguientes ejemplos se elimina la política basada en recursos asociada a un almacén de datos de eventos. Reemplace eds-arn por el ARN del almacén de datos de eventos.

aws cloudtrail delete-resource-policy --resource-arn eds-arn

Este comando no genera ningún resultado si se utiliza correctamente.

Detener la incorporación en un almacén de datos de eventos con la AWS CLI

El siguiente comando de ejemplo de la AWS CLI stop-event-data-store-ingestion impide que un almacén de datos de eventos ingiera eventos. Para detener la ingesta, el Status del almacén de datos de eventos debe ser ENABLED, mientras que el valor de eventCategory debe ser Management, Data o ConfigurationItem. --event-data-store o el sufijo de ID del ARN especifican el almacén de datos de eventos, que acepta un ARN de almacén de datos de eventos. Después de ejecutar stop-event-data-store-ingestion, el estado del almacén de datos del evento cambia a STOPPED_INGESTION.

El almacén de datos de eventos se cuenta dentro del máximo de diez almacenes de datos de eventos de su cuenta cuando su estado es STOPPED_INGESTION.

aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Si la operación se realiza correctamente, no se produce ninguna respuesta.

Iniciar la incorporación en un almacén de datos de eventos con la AWS CLI

El siguiente comando de ejemplo de la AWS CLI start-event-data-store-ingestion inicia la ingesta de eventos en un almacén de datos de eventos. Para iniciar la ingesta, el Status del almacén de datos de eventos debe ser STOPPED_INGESTION, mientras que el valor de eventCategory debe ser Management, Data o ConfigurationItem. --event-data-store o el sufijo de ID del ARN especifican el almacén de datos de eventos, que acepta un ARN de almacén de datos de eventos. Después de ejecutar start-event-data-store-ingestion, el estado del almacén de datos del evento cambia a ENABLED.

aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Si la operación se realiza correctamente, no se produce ninguna respuesta.

Habilitar la federación en un almacén de datos de eventos

Para habilitar la federación, ejecute el comando aws cloudtrail enable-federation proporcionando los parámetros --event-data-store y --role necesarios. En --event-data-store, proporcione el ARN del almacén de datos de eventos (o el sufijo de ID del ARN). En --role, proporcione el ARN de su rol de federación. El rol debe existir en su cuenta y proporcionar los permisos mínimos necesarios.

aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

En este ejemplo, se muestra cómo un administrador delegado puede habilitar la federación en un almacén de datos de eventos de la organización especificando el ARN del almacén de datos de eventos en la cuenta de administración y el ARN del rol de federación en la cuenta de administrador delegado.

aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name

Deshabilitar la federación en un almacén de datos de eventos

Para deshabilitar la federación en el almacén de datos de eventos, ejecute el comando aws cloudtrail disable-federation. El almacén de datos de eventos especificado por --event-data-store, que acepta un ARN de almacén de datos de eventos, o el sufijo de ID del ARN.

aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
nota

Si se trata de un almacén de datos de eventos de la organización, utilice el ID de la cuenta que corresponde a la cuenta de administración.

Restaurar un almacén de datos de eventos con la AWS CLI

El siguiente ejemplo del comando de la AWS CLI restore-event-data-store restaura un almacén de datos de eventos que está pendiente de eliminación. El almacén de datos de eventos especificado por --event-data-store, que acepta un ARN de almacén de datos de eventos, o el sufijo de ID del ARN. Únicamente se puede restaurar un almacén de datos de eventos eliminado dentro del periodo de espera de siete días posterior a la eliminación.

aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

La respuesta incluye información sobre el almacén de datos de eventos, incluido su ARN, los selectores de eventos avanzados y el estado de la restauración.