Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione degli archivi dati degli eventi con AWS CLI
Questa sezione descrive diversi altri comandi che è possibile eseguire per ottenere informazioni sui data store degli eventi, avviare e interrompere l'ingestione su un data store di eventi e abilitare e disabilitare la federazione su un data store di eventi.
Argomenti
Elenca tutti gli archivi dati degli eventi in un account con AWS CLI
Ottieni la configurazione degli eventi per un data store di eventi
Ottieni la politica basata sulle risorse per un data store di eventi con AWS CLI
Associa una policy basata sulle risorse a un data store di eventi con AWS CLI
Eliminare la politica basata sulle risorse allegata a un data store di eventi con AWS CLI
Interrompi l'acquisizione su un data store di eventi con AWS CLI
Ottieni un archivio dati di eventi con AWS CLI
Il AWS CLI get-event-data-store comando di esempio seguente restituisce informazioni sull'archivio dati degli eventi specificato dal --event-data-store parametro richiesto, che accetta un ARN o il suffisso ID dell'ARN.
aws cloudtrail get-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Di seguito è riportata una risposta di esempio. L'ora di creazione e dell'ultimo aggiornamento sono espressi nel formato timestamp.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
Elenca tutti gli archivi dati degli eventi in un account con AWS CLI
Il AWS CLI list-event-data-stores comando di esempio seguente restituisce informazioni su tutti gli archivi di dati di eventi in un account, nella regione corrente. I parametri opzionali includono --max-results, che consente di specificare il numero massimo di risultati che desideri che il comando restituisca su una singola pagina. Se ci sono più risultati di quanto specificato dal valore --max-results, esegui nuovamente il comando aggiungendo il valore NextToken restituito per visualizzare la pagina dei risultati successiva.
aws cloudtrail list-event-data-stores
Di seguito è riportata una risposta di esempio.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
Aggiungi le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM ed espandi le dimensioni dell'evento
Esegui il AWS CLI put-event-configuration comando per espandere la dimensione massima dell'evento e aggiungi fino a 50 chiavi di tag di risorsa e 50 chiavi di condizione globali IAM per fornire metadati aggiuntivi sui tuoi eventi.
Il comando put-event-configuration accetta gli argomenti seguenti:
-
--event-data-store— Specificare l'ARN dell'archivio dati dell'evento o il suffisso ID dell'ARN. Questo parametro è obbligatorio. -
--max-event-size— Impostare perLargeimpostare la dimensione massima dell'evento su 1 MB. Per impostazione predefinita, il valore èStandard, che specifica una dimensione massima dell'evento di 256 KB.Nota
Per aggiungere le chiavi dei tag di risorsa o le chiavi delle condizioni globali IAM, è necessario impostare la dimensione dell'evento in modo
Largeda garantire che tutte le chiavi aggiunte siano incluse nell'evento. -
--context-key-selectors— Specificate il tipo di chiavi che desiderate includere negli eventi raccolti dal vostro event data store. Puoi includere chiavi di tag di risorsa e chiavi di condizione globali IAM. Le informazioni sui tag di risorsa aggiunti e sulle chiavi di condizione globali IAM sono mostrate neleventContextcampo dell'evento. Per ulteriori informazioni, consulta Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM.-
Imposta
TypetoTagContextper passare un array di un massimo di 50 chiavi di tag di risorsa. Se aggiungi tag di risorsa, CloudTrail gli eventi includeranno le chiavi dei tag selezionate associate alle risorse coinvolte nella chiamata API. Gli eventi API relativi alle risorse eliminate non avranno tag di risorsa. -
Imposta
TypetoRequestContextper passare un array di un massimo di 50 chiavi di condizione globali IAM. Se aggiungi chiavi di condizione globali IAM, CloudTrail gli eventi includeranno informazioni sulle chiavi di condizione selezionate che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione, sulla rete e sulla richiesta stessa.
-
L'esempio seguente imposta la dimensione massima dell'evento Large e aggiunge due chiavi di tag di risorsa myTagKey1 emyTagKey2.
aws cloudtrail put-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --max-event-size Large \ --context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'
L'esempio successivo imposta la dimensione massima dell'evento Large e aggiunge un IAM; global condition key (aws:MultiFactorAuthAge).
aws cloudtrail put-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --max-event-size Large \ --context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'
L'ultimo esempio rimuove tutte le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM e imposta la dimensione massima dell'evento suStandard.
aws cloudtrail put-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --max-event-size Standard \ --context-key-selectors
Ottieni la configurazione degli eventi per un data store di eventi
Esegui il AWS CLI get-event-configuration comando per restituire la configurazione degli eventi per un data store di eventi che raccoglie CloudTrail eventi. Questo comando restituisce la dimensione massima dell'evento ed elenca le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM (se presenti) incluse negli CloudTrail eventi.
aws cloudtrail get-event-configuration \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Ottieni la politica basata sulle risorse per un data store di eventi con AWS CLI
L'esempio seguente esegue il get-resource-policy comando su un archivio dati di eventi organizzativi.
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
Poiché il comando è stato eseguito su un data store di eventi organizzativi, l'output mostra sia la politica basata sulle risorse fornita sia quella DelegatedAdminResourcePolicygenerata per gli account amministratore delegati e. 333333333333 111111111111
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207", "ResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "EdsPolicyA", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::666666666666:root" }, "Action": [ "cloudtrail:geteventdatastore", "cloudtrail:startquery", "cloudtrail:describequery", "cloudtrail:cancelquery", "cloudtrail:generatequery", "cloudtrail:generatequeryresultssummary" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] }, "DelegatedAdminResourcePolicy": { "Version": "2012-10-17", "Statement": [{ "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement", "Effect": "Allow", "Principal": { "AWS": ["333333333333", "111111111111"] }, "Action": [ "cloudtrail:AddTags", "cloudtrail:CancelQuery", "cloudtrail:CreateEventDataStore", "cloudtrail:DeleteEventDataStore", "cloudtrail:DescribeQuery", "cloudtrail:DisableFederation", "cloudtrail:EnableFederation", "cloudtrail:GenerateQuery", "cloudtrail:GenerateQueryResultsSummary", "cloudtrail:GetEventConfiguration", "cloudtrail:GetEventDataStore", "cloudtrail:GetInsightSelectors", "cloudtrail:GetQueryResults", "cloudtrail:ListEventDataStores", "cloudtrail:ListQueries", "cloudtrail:ListTags", "cloudtrail:RemoveTags", "cloudtrail:RestoreEventDataStore", "cloudtrail:UpdateEventDataStore", "cloudtrail:StartEventDataStoreIngestion", "cloudtrail:StartQuery", "cloudtrail:StopEventDataStoreIngestion", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207" }] } }
Associa una policy basata sulle risorse a un data store di eventi con AWS CLI
Per eseguire query su una dashboard durante un aggiornamento manuale o pianificato, è necessario allegare una policy basata sulle risorse a ogni archivio di dati di eventi associato a un widget sulla dashboard. Ciò consente a CloudTrail Lake di eseguire le query per tuo conto. Per ulteriori informazioni sulla politica basata sulle risorse, consulta. Esempio: consenti CloudTrail di eseguire query per aggiornare una dashboard
L'esempio seguente allega una policy basata sulle risorse a un archivio dati di eventi che consente di CloudTrail eseguire query su un dashboard quando il dashboard viene aggiornato. Sostituiscilo account-id con l'ID del tuo account, eds-arn con l'ARN dell'archivio dati degli eventi per il quale CloudTrail verranno eseguite le query e con dashboard-arn l'ARN della dashboard.
aws cloudtrail put-resource-policy \ --resource-arneds-arn\ --resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource": "eds-arn", "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'
Di seguito è riportato un esempio di risposta.
Per ulteriori esempi di policy, vedereEsempi di policy basate su risorse per archivi di dati di eventi.
Eliminare la politica basata sulle risorse allegata a un data store di eventi con AWS CLI
Gli esempi seguenti eliminano la politica basata sulle risorse allegata a un archivio dati di eventi. Sostituisci eds-arn con l'ARN dell'archivio dati degli eventi.
aws cloudtrail delete-resource-policy --resource-arneds-arn
Se ha esito positivo, questo comando non produrrà alcun output.
Interrompi l'acquisizione su un data store di eventi con AWS CLI
Il AWS CLI stop-event-data-store-ingestion comando di esempio seguente impedisce a un Event Data Store di importare eventi. Per interrompere l'importazione, il datastore di eventi Status deve essere ENABLED e eventCategory deve essere Management, Data o ConfigurationItem. Il datastore di eventi è specificato da --event-data-store, che accetta un ARN del datastore di eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di stop-event-data-store-ingestion, lo stato del datastore di eventi diventerà STOPPED_INGESTION.
Il datastore di eventi conta per il tuo account un massimo di dieci datastore di eventi quando il suo stato è STOPPED_INGESTION.
aws cloudtrail stop-event-data-store-ingestion \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se l'operazione riesce, non verrà generata alcuna risposta.
Avvia l'importazione su un data store di eventi con AWS CLI
Il AWS CLI start-event-data-store-ingestion comando di esempio seguente avvia l'inserimento di eventi in un data store di eventi. Per avviare l'importazione, il datastore di eventi Status deve essere STOPPED_INGESTION e eventCategory deve essere Management, Data o ConfigurationItem. Il datastore di eventi è specificato da --event-data-store, che accetta un ARN del datastore di eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di start-event-data-store-ingestion, lo stato del datastore di eventi diventerà ENABLED.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se l'operazione riesce, non verrà generata alcuna risposta.
Abilitare la federazione in un datastore di eventi
Per abilitare la federazione, esegui il comando aws cloudtrail enable-federation fornendo i parametri --event-data-store e --role richiesti. Per --event-data-store, fornisci l'ARN del datastore di eventi (o il suffisso ID dell'ARN). Per --role, fornisci l'ARN per il tuo ruolo di federazione. Il ruolo deve esistere nel tuo account e fornire le autorizzazioni minime richieste.
aws cloudtrail enable-federation \ --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
Questo esempio mostra come un amministratore delegato può abilitare la federazione in un datastore di eventi dell'organizzazione specificando l'ARN del datastore di eventi nell'account di gestione e l'ARN del ruolo di federazione nell'account amministratore delegato.
aws cloudtrail enable-federation \ --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
Disabilitare la federazione in un datastore di eventi
Per disabilitare la federazione nel datastore di eventi, esegui il comando aws
cloudtrail disable-federation. L'archivio di dati degli eventi è specificato da --event-data-store, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN.
aws cloudtrail disable-federation \ --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
Nota
Se si tratta di un datastore di eventi dell'organizzazione, utilizza l'ID account dell'account di gestione.
Ripristina un archivio dati di eventi con AWS CLI
Il comando di esempio della AWS CLI restore-event-data-store seguente ripristina un archivio di dati degli eventi in attesa di eliminazione. L'archivio di dati degli eventi è specificato da --event-data-store, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN. È possibile ripristinare un archivio di dati degli eventi eliminato solo entro il periodo di attesa di sette giorni dopo l'eliminazione.
aws cloudtrail restore-event-data-store \ --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
La risposta include informazioni sull'archivio di dati degli eventi, inclusi il relativo ARN, i selettori di eventi avanzati e lo stato del ripristino.
