Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudTrail Pannello di controllo di Lake
Puoi utilizzare le dashboard di CloudTrail Lake per visualizzare le tendenze degli eventi per gli archivi di dati sugli eventi presenti nel tuo account. CloudTrail Lake offre i seguenti tipi di pannelli di controllo:
-
Pannelli di controllo gestiti: è possibile visualizzare un pannello di controllo gestito per visualizzare le tendenze degli eventi per un datastore di eventiche raccolgono eventi di gestione, eventi di dati o eventi Insights. Queste dashboard sono automaticamente disponibili per te e sono gestite da Lake. CloudTrail CloudTrail offre 14 dashboard gestite tra cui scegliere. Puoi aggiornare manualmente i dashboard gestiti. Non è possibile modificare, aggiungere o rimuovere i widget per questi dashboard, tuttavia, è possibile salvare un dashboard gestito come dashboard personalizzato se si desidera modificare i widget o impostare una pianificazione di aggiornamento.
-
Dashboard personalizzati: i dashboard personalizzati consentono di interrogare gli eventi in qualsiasi tipo di archivio dati di eventi. Puoi aggiungere fino a 10 widget a un pannello di controllo personalizzato. Puoi aggiornare manualmente una dashboard personalizzata oppure impostare una pianificazione di aggiornamento.
-
Dashboard Highlights: abilita la dashboard Highlights per visualizzare una at-a-glance panoramica dell' AWS attività raccolta dagli archivi di dati sugli eventi presenti nel tuo account. La dashboard Highlights è gestita CloudTrail e include widget pertinenti al tuo account. I widget mostrati nella dashboard Highlights sono unici per ogni account. Questi widget potrebbero far emergere attività o anomalie rilevate. Ad esempio, la dashboard Highlights potrebbe includere il widget Total cross-account access, che mostra se c'è un aumento delle attività anomale tra account. CloudTrail aggiorna la dashboard Highlights ogni 6 ore. La dashboard mostra i dati delle ultime 24 ore dall'ultimo aggiornamento.
Ogni dashboard è composta da uno o più widget e ogni widget fornisce una rappresentazione grafica dei risultati di una query SQL. Per visualizzare la query per un widget, scegli Visualizza e modifica query per aprire l'editor di query.
Quando una dashboard viene aggiornata, CloudTrail Lake esegue delle query per compilare i widget della dashboard. Poiché l'esecuzione delle query comporta dei costi, ti CloudTrail chiede di confermare i costi associati. Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione Prezzi. CloudTrail
Argomenti
Prerequisiti
I seguenti prerequisiti si applicano ai pannelli di controllo di CloudTrail Lake:
-
Per visualizzare e utilizzare i pannelli di controllo di Lake, devi creare almeno un datastore di eventi di CloudTrail Lake. Puoi creare datastore di eventi utilizzando la console AWS CLI, o SDKs. Per informazioni sulla creazione di un datastore di eventi utilizzando la console, consulta Creazione di un datastore di CloudTrail eventi per eventi. Per informazioni sulla creazione di un datastore di eventi utilizzando la AWS CLI, consultaCreare un datastore di eventi con la AWS CLI.
-
È necessario disporre delle autorizzazioni adeguate per visualizzare, creare, aggiornare e aggiornare i dashboard. Per ulteriori informazioni, consulta Autorizzazioni richieste.
Limitazioni
I seguenti limiti si applicano ai pannelli di controllo di CloudTrail Lake:
-
Puoi abilitare la dashboard Highlights solo per gli archivi di dati sugli eventi presenti nel tuo account.
-
Puoi visualizzare solo i pannelli di controllo gestiti per i datastore di eventi esistenti nel tuo account.
-
Per i dashboard personalizzati, puoi solo aggiungere widget di esempio o creare nuovi widget per interrogare gli archivi di dati degli eventi esistenti nel tuo account.
-
Gli amministratori delegati di un' AWS Organizations organizzazione non possono visualizzare o gestire i dashboard di proprietà dell'account di gestione.
Supporto delle Regioni
Le dashboard di CloudTrail Lake sono supportate Regioni AWS ovunque CloudTrail sia supportato Lake.
Il widget di riepilogo delle attività nella dashboard Highlights è supportato nelle seguenti regioni:
-
Regione Asia Pacifico (Tokyo) (ap-northeast-1)
-
Stati Uniti orientali (Virginia settentrionale) (us-east-1)
-
Regione Stati Uniti occidentali (Oregon) (us-west-1)
Tutti gli altri widget sono supportati Regioni AWS ovunque CloudTrail sia supportato Lake.
Per ulteriori informazioni sulle Regioni supportate da CloudTrail Lake, consultaCloudTrail Regioni supportate dai laghi.
Autorizzazioni richieste
Questa sezione descrive le autorizzazioni richieste per i dashboard di CloudTrail Lake e discute due tipi di policy IAM:
-
Policy basate sull'identità che consentono di eseguire azioni per creare, gestire ed eliminare dashboard.
-
Policy basate sulle risorse che consentono di CloudTrail eseguire interrogazioni sull'archivio dati degli eventi quando la dashboard viene aggiornata ed eseguire aggiornamenti pianificati delle dashboard personalizzate e della dashboard Highlights per conto dell'utente. Quando crei dashboard utilizzando la CloudTrail console, hai la possibilità di allegare policy basate sulle risorse. Puoi anche eseguire il AWS CLI put-resource-policycomando per aggiungere una politica basata sulle risorse agli archivi di dati o ai dashboard degli eventi.
Requisiti delle policy basate su identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l'utente IAM.
Per visualizzare e gestire i pannelli di controllo di CloudTrail Lake, è necessario uno dei seguenti criteri:
-
La policy gestita
CloudTrailFullAccess. -
La policy gestita
AdministratorAccess. -
Una politica personalizzata che include una o più delle autorizzazioni specifiche descritte nelle sezioni seguenti.
Argomenti
Autorizzazioni necessarie per la creazione di dashboard
La seguente policy di esempio fornisce le autorizzazioni minime richieste per la creazione di pannelli di controllo. Sostituisci partitionregion,account-id, e eds-id con i valori della tua configurazione.
-
StartQueryl'autorizzazione è richiesta solo se la richiesta contiene widget. FornisciStartQueryle autorizzazioni per tutti gli archivi di dati degli eventi inclusi in una query di widget. -
StartDashboardRefreshl'autorizzazione è richiesta solo se la dashboard ha una pianificazione di aggiornamento. -
Per la dashboard Highlights, il chiamante deve disporre dell'
StartQueryautorizzazione per tutti gli archivi di dati sugli eventi dell'account.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:CreateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Autorizzazioni necessarie per l'aggiornamento dei dashboard
La seguente policy di esempio fornisce le autorizzazioni minime richieste per l'aggiornamento dei pannelli di controllo. Sostituisci partitionregion,account-id, e eds-id con i valori della tua configurazione.
-
StartQueryl'autorizzazione è richiesta solo se la richiesta contiene widget. FornisciStartQueryle autorizzazioni per tutti gli archivi di dati degli eventi inclusi in una query di widget. -
StartDashboardRefreshl'autorizzazione è richiesta solo se la dashboard ha una pianificazione di aggiornamento. -
Per la dashboard Highlights, il chiamante deve disporre dell'
StartQueryautorizzazione per tutti gli archivi di dati sugli eventi dell'account.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:UpdateDashboard", "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/*", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Autorizzazioni necessarie per l'aggiornamento dei dashboard
La seguente policy di esempio fornisce le autorizzazioni minime richieste per l'aggiornamento dei pannelli di controllo. Sostituisci partitionregion,account-id,dashboard-name, e eds-id con i valori della tua configurazione.
-
Per le dashboard personalizzate e le dashboard Highlights, il chiamante deve avere.
cloudtrail:StartDashboardRefresh permissions -
Per i dashboard gestiti, il chiamante deve disporre dell'
cloudtrail:StartDashboardRefreshautorizzazione ecloudtrail:StartQuerydelle autorizzazioni per l'Event Data Store coinvolto nell'aggiornamento.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "cloudtrail:StartDashboardRefresh", "cloudtrail:StartQuery" ], "Resource": [ "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name", "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id" ] } ] }
Politiche basate sulle risorse per dashboard e archivi di dati di eventi
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy dei bucket Amazon S3. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario specificare un principale in una policy basata sulle risorse.
Per eseguire interrogazioni su una dashboard durante un aggiornamento manuale o pianificato, devi allegare una policy basata sulle risorse a ogni archivio di dati di eventi associato a un widget sulla dashboard. Ciò consente a CloudTrail Lake di eseguire le query per tuo conto. Quando crei una dashboard personalizzata o abiliti la dashboard Highlights utilizzando la CloudTrail console, CloudTrail hai la possibilità di scegliere a quali archivi di dati di eventi desideri applicare le autorizzazioni. Per ulteriori informazioni sulla policy basata su risorse, consulta. Esempio: consenti CloudTrail di eseguire query per aggiornare una dashboard
Per impostare una pianificazione di aggiornamento per una dashboard, devi allegare alla dashboard una policy basata sulle risorse per consentire a CloudTrail Lake di aggiornare la dashboard per tuo conto. Quando imposti una pianificazione di aggiornamento per una dashboard personalizzata o abiliti la dashboard Highlights utilizzando la CloudTrail console, CloudTrail hai la possibilità di allegare una policy basata sulle risorse alla dashboard. Per un esempio di policy, consulta Esempio di policy basata su risorse per un pannello di controllo.
Puoi allegare una policy basata sulle risorse utilizzando la CloudTrail console, l'operazione o l'API. AWS CLIPutResourcePolicy
Autorizzazioni della chiave KMS per decrittografare i dati in un archivio dati di eventi
Se un data store di eventi oggetto di una query è crittografato con una chiave KMS, assicurati che la politica delle chiavi KMS CloudTrail consenta di decrittografare i dati nell'archivio dati degli eventi. La seguente istruzione di policy di esempio consente al gestore del CloudTrail servizio di decrittografare l'archivio di dati degli eventi.
{ "Sid": "AllowCloudTrailDecryptAccess", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }
