Segurança nas investigações do CloudWatch - Amazon CloudWatch
Permissões, retenção e criptografia padrão para as investigações do CloudWatchPermissões de usuário para o grupo de investigações do CloudWatchPermissões adicionais para o Database InsightsComo controlar a quais dados as investigações do CloudWatch têm acesso durante as investigaçõesCriptografia de dados de investigaçãoInferência entre regiões

Segurança nas investigações do CloudWatch

Esta seção inclui tópicos sobre como as investigações do CloudWatch se integram aos recursos de segurança e permissões da AWS.

Permissões, retenção e criptografia padrão para as investigações do CloudWatch

Quando você executa investigações usando as configurações padrão sem nenhuma configuração adicional em sua conta, a investigação usa as permissões disponíveis para a sessão atual do console e acessa os dados de telemetria usando apenas permissões somente leitura. Não é necessária nenhuma configuração de perfil do IAM ou política de permissão de grupo de investigações. Porém, isso significa que o acesso da investigação aos dados é limitado pelas permissões do usuário que fez login.

Essa investigação está disponível somente para o usuário que iniciou a investigação. A investigação fica disponível para visualização somente por 24 horas, depois é excluída e não há nenhuma opção de recuperação disponível.

Os dados da investigação são criptografados em repouso com uma chave de propriedade da AWS. Você não pode visualizar nem gerenciar chaves de propriedade da AWS, tampouco usá-las para outras finalidades ou auditar seu uso. No entanto, você não precisa fazer nada nem alterar nenhuma configuração para usar essas chaves. Para saber mais, consulte Chaves do AWS KMS.

Permissões de usuário para o grupo de investigações do CloudWatch

A AWS criou três políticas gerenciadas do IAM que podem ser usadas para os usuários que vão trabalhar com as suas investigações do CloudWatch.

  • AIOpsConsoleAdminPolicy: concede ao administrador a capacidade de configurar investigações do CloudWatch na conta, acessar as ações de investigações do CloudWatch e gerenciar a propagação de identidade confiável e a integração com o Centro de Identidade do IAM e o acesso organizacional.

  • AIOpsOperatorAccess: concede ao usuário acesso às ações de investigação, incluindo iniciar uma investigação. Também concede permissões adicionais que são necessárias para acessar eventos de investigação.

  • AIOpsReadOnlyAccess: concede permissões somente leitura para investigações do CloudWatch e outros serviços relacionados.

Recomendamos que você use três entidades principais do IAM, concedendo a uma delas a política AIOpsConsoleAdminPolicy do IAM, à outra, a política AIOpsOperatorAccess, e à terceira, a política AIOpsReadOnlyAccess. Essas entidades principais podem ser perfis do IAM (recomendado) ou usuários do IAM. Assim, os usuários que trabalham com as investigações do CloudWatch fariam login usando uma dessas entidades principais.

Permissões para geração de relatórios de incidentes

A geração de relatórios de incidentes requer permissões adicionais para que a IA colete eventos e fatos, e depois crie relatórios.

Os usuários com a política AIOpsConsoleAdminPolicy podem gerar, editar e copiar relatórios de incidentes. Por padrão, a política AIOpsAssistantPolicy é atribuída ao grupo de investigações apenas para conceder acesso ao recurso. Porém, o grupo não tem as permissões necessárias para gerar um relatório de investigação. Para conceder ao grupo de investigações as permissões para compilar os dados da investigação em um relatório do incidente, é necessário adicionar uma política semelhante ao exemplo a seguir que inclui permissões adicionais ou adicionar ao grupo as ações adicionais como uma política integrada:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "IncidentReportOperations",
            "Effect": "Allow",
            "Action": [
                "aiops:GetInvestigation",
                "aiops:ListInvestigationEvents",
                "aiops:GetInvestigationEvent",

                "aiops:CreateReport",
                "aiops:UpdateReport", 
                "aiops:GetReport",

                "aiops:PutFact",
                "aiops:ListFacts",
                "aiops:GetFact",
                "aiops:GetFactVersions"
            ],
            "Resource": [
                "arn:aws:aiops:*:*:investigation-group/*"
            ]
        }
    ]
}

A nova política gerenciada AIOpsAssistantIncidentReportPolicy fornece as permissões necessárias e é adicionada automaticamente aos grupos de investigações criados depois de 10 de outubro de 2025. Para saber mais, consulte AIOpsAssistantIncidentReportPolicy.

Permissões adicionais para o Database Insights

Para usar os recursos do Database Insights durante as investigações, você deve anexar a política gerenciada AmazonRDSPerformanceInsightsFullAccess ao perfil ou ao usuário do IAM que você usa para realizar investigações. As investigações do CloudWatch exigem essas permissões para criar e acessar relatórios de análise de performance para suas instâncias de banco de dados do Amazon RDS.

Para anexar essa política, use o console do IAM para adicionar a política gerenciada AmazonRDSPerformanceInsightsFullAccess à sua entidade principal de investigação. Para obter mais informações sobre essa política gerenciada e suas permissões, consulte AmazonRDSPerformanceInsightsFullAccess.

Como controlar a quais dados as investigações do CloudWatch têm acesso durante as investigações

Ao configurar um grupo de investigações na sua conta, você especifica quais permissões as investigações do CloudWatch têm para acessar seus recursos durante as investigações. Faça isso atribuindo um perfil do IAM ao grupo de investigações.

Para permitir que as investigações do CloudWatch acessem os recursos e possam gerar sugestões e hipóteses, o método recomendado é anexar a política AIOpsAssistantPolicy ao perfil do grupo de investigações. Isso concede ao grupo de investigações permissões para analisar os recursos da AWS durante as investigações. Para obter informações sobre todo o conteúdo dessa política, consulte AIOpsAssistantPolicy.

Você também pode escolher anexar a política geral ReadOnlyAccess da AWS ao perfil do grupo de investigações, além de anexar a AIOpsAssistantPolicy. O motivo para fazer isso é que a AWS atualiza a política ReadOnlyAccess com mais frequência com permissões para novos serviços e ações da AWS que são lançados. A política AIOpsAssistantPolicy também será atualizada para novas ações, mas não com tanta frequência.

Se desejar restringir o escopo das permissões concedidas às investigações do CloudWatch, anexe uma política do IAM personalizada ao perfil do IAM do grupo de investigações em vez de anexar a política AIOpsAssistantPolicy. Para fazer isso, inicie sua política personalizada com o conteúdo da política AIOpsAssistantPolicy e, em seguida, remova as permissões que não deseja conceder às investigações do CloudWatch. Isso impedirá que o grupo de investigações faça sugestões com base nos serviços ou ações da AWS aos quais você não conceder acesso.

nota

Qualquer coisa que as investigações do CloudWatch possam acessar pode ser adicionada à investigação e ser vista pelos operadores da investigação. Recomendamos alinhar as permissões das investigações do CloudWatch com as permissões dos operadores do seu grupo de investigação.

Permitir que as investigações do CloudWatch descriptografem dados durante as investigações

Se você criptografar os dados em um dos serviços a seguir com uma chave gerenciada pelo cliente no AWS KMS e desejar que as investigações do CloudWatch possam descriptografar os dados desses serviços e incluí-los nas investigações, anexe uma ou mais políticas adicionais do IAM ao perfil do IAM do grupo de investigações.

  • AWS Step Functions

A declaração de política deve incluir uma chave de contexto para o contexto de criptografia para ajudar a restringir o escopo das permissões. Por exemplo, a política a seguir permitiria que as investigações do CloudWatch descriptografassem dados de uma máquina de estado do Step Functions.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Para saber mais sobre esses tipos de políticas e o uso dessas chaves de contexto, consulte kms:ViaService e kms:EncryptionContext:context-key no Guia do desenvolvedor do AWS Key Management Service e aws:SourceArn no Guia do usuário do IAM.

Criptografia de dados de investigação

Para a criptografia dos dados da investigação, a AWS oferece duas opções:

  • Chaves pertencentes à AWS: por padrão, o CloudWatch Investigations criptografa dados de investigação em repouso com uma chave pertencente à AWS. Você não pode visualizar nem gerenciar chaves de propriedade da AWS, tampouco usá-las para outras finalidades ou auditar seu uso. No entanto, você não precisa fazer nada nem alterar nenhuma configuração para usar essas chaves. Para obter mais informações sobre chaves de propriedade da AWS, consulte AWS owned keys.

  • Chaves gerenciadas pelo cliente: são chaves que você cria e gerencia por conta própria. Você pode optar por usar uma chave gerenciada pelo cliente em vez de uma chave de propriedade da AWS para os dados de investigação. Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Customer managed keys.

Os relatórios de incidentes gerados a partir de investigações usam as mesmas configurações de criptografia que essas investigações. Isso mantém uma postura de segurança consistente na documentação e nos dados da investigação

nota

As investigações do CloudWatch habilitam automaticamente a criptografia em repouso usando chaves pertencentes à AWS sem nenhum custo. Se você usar uma chave gerenciada pelo cliente, serão aplicadas cobranças do AWS KMS. Para obter mais informações sobre preços, consulte Preços do AWS Key Management Service.

Para obter mais informações sobre AWS KMS, consulte AWS Key Management Service.

Usar uma chave gerenciada pelo cliente para o grupo de investigação

Você pode associar um grupo de investigação a uma chave gerenciada pelo cliente e, em seguida, todas as investigações criadas nesse grupo a usarão para criptografar os dados de investigação em repouso.

As investigações do CloudWatch e o uso da chave gerenciada pelo cliente apresentam as seguintes condições:

  • As investigações do CloudWatch são compatíveis apenas com chaves de criptografia simétricas do AWS KMS com a especificação de chave padrão, SYMMETRIC_DEFAULT, e que tenham o uso definido como ENCRYPT_DECRYPT.

  • Para que um usuário crie ou atualize um grupo de investigação com uma chave gerenciada pelo cliente, esse usuário deverá ter as permissões kms:DescribeKey, kms:GenerateDataKey e kms:Decrypt.

  • Para que um usuário crie ou atualize uma investigação em um grupo de investigação que usa uma chave gerenciada pelo cliente, esse usuário deverá ter as permissões kms:GenerateDataKey e kms:Decrypt.

  • Para que um usuário visualize os dados da investigação em um grupo de investigação que usa uma chave gerenciada pelo cliente, esse usuário deverá ter a permissão kms:Decrypt.

Configurar investigações para usar uma chave gerenciada pelo cliente do AWS KMS

Primeiro, caso ainda não tenha uma chave simétrica que queira usar, crie uma chave com o comando a seguir.

aws kms create-key

A saída do comando inclui o ID e o nome do recurso da Amazon (ARN) da chave. Você precisará deles em etapas posteriores nesta seção. Veja abaixo um exemplo de saída.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Definir permissões na chave

Depois, defina as permissões na chave. Por padrão, todas as chaves do AWS KMS são privadas. Somente o proprietário do recurso pode usá-la para criptografar e descriptografar dados. No entanto, o proprietário do recurso pode conceder permissões para acessar a chave a outros usuários e recursos. Com esta etapa, você fornece à entidade principal do serviço do IA Operations permissão para usar a chave. A entidade principal desse serviço deve estar na mesma região da AWS em que a chave do KMS está armazenada.

Como prática recomendada, recomendamos restringir o uso da chave do KMS somente aos recursos ou contas da AWS que você especificar.

A primeira etapa para definir as permissões é salvar a política padrão da chave como policy.json. Para fazer isso, use o comando a seguir. Substitua key-id pelo ID da chave.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Abra o arquivo policy.json em um editor de texto e adicione as seções de política a seguir a essa política. Separe a declaração existente das novas seções com uma vírgula. Essas novas seções usam as seções Condition para aumentar a segurança da chave do AWS KMS. Para obter mais informações, consulte AWS KMS keys and encryption context.

Essa política fornece permissões para as entidades principais dos serviços pelas seguintes razões:

  • O serviço do aiops precisa de permissões GenerateDataKey para obter a chave de dados e usá-la para criptografar os dados enquanto eles estão armazenados em repouso. A permissão Decrypt é necessária para descriptografar os dados durante a leitura do armazenamento de dados. A descriptografia acontece quando você lê os dados usando APIs do aiops ou quando atualiza a investigação ou o evento de investigação. A operação de atualização busca os dados existentes após descriptografá-los, atualiza-os e armazena os dados atualizados no armazenamento de dados após a criptografia

  • O serviço de alarmes do CloudWatch pode criar investigações ou eventos de investigação. Essas operações de criação verificam se o chamador tem acesso à chave do AWS KMS definida para o grupo de investigação. A declaração de política concede as permissões GenerateDataKey e Decrypt ao serviço de alarmes do CloudWatch para criar investigações em seu nome.

nota

A política a seguir assume que você segue a recomendação de usar três entidades principais do IAM, concedendo a uma delas a política AIOpsConsoleAdminPolicy do IAM, à outra, a política AIOpsOperatorAccess, e à terceira, a política AIOpsReadOnlyAccess. Essas entidades principais podem ser perfis do IAM (recomendado) ou usuários do IAM. Dessa forma, os usuários que trabalham com as investigações do CloudWatch podem fazer login com uma dessas entidades principais.

Para a política a seguir, você precisará dos ARNs das três entidades principais.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Depois de atualizar a política, atribua-a à chave inserindo o comando a seguir.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Associar a chave ao grupo de investigação

Ao usar o console do CloudWatch para criar um grupo de investigação, você pode escolher associar a chave do AWS KMS ao grupo de investigação. Para saber mais, consulte Configurar um grupo de investigações.

Você também pode associar uma chave gerenciada pelo cliente a um grupo de investigação existente.

Alterar a configuração de criptografia

Você pode atualizar um grupo de investigação para alternar entre o uso de uma chave gerenciada pelo cliente ou uma chave de propriedade do serviço. Você também pode deixar de usar uma chave gerenciada pelo cliente para usar outra. Ao fazer essa alteração, ela se aplicará às novas investigações criadas depois dela. As investigações anteriores ainda estarão associadas à configuração de criptografia antiga. As investigações atuais em andamento também continuarão usando a chave original para novos dados.

Desde que uma chave usada anteriormente esteja ativa e o Amazon Q tenha acesso a ela para investigações, você poderá recuperar as investigações mais antigas criptografadas com esse método, bem como os dados das investigações atuais que foram criptografados com a chave anterior. Se você excluir uma chave usada anteriormente ou revogar o acesso a ela, os dados das investigações criptografados com essa chave não poderão ser recuperados.

Inferência entre regiões

As investigações do CloudWatch usam inferência entre regiões para distribuir o tráfego em diferentes regiões da AWS. Embora os dados permaneçam armazenados somente na região primária, ao ser usada a inferência entre regiões, os dados da investigação podem sair da região primária. Todos os dados serão transmitidos criptografados pela rede segura da Amazon.

Para obter detalhes sobre onde ocorre a distribuição de inferência entre regiões para cada região, consulte a tabela a seguir.

Geografia de compatibilidade das investigações do CloudWatch Região de investigação Possíveis regiões de inferência
Estados Unidos (EUA) Leste dos EUA (Norte da Virgínia) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Leste dos EUA (Ohio) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Oeste dos EUA (Oregon) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Europa (EU) Europa (Frankfurt) Europa (Frankfurt), Europa (Irlanda), Europa (Paris), Europa (Estocolmo)
Europa (Irlanda) Europa (Frankfurt), Europa (Irlanda), Europa (Paris), Europa (Estocolmo)
Europa (Espanha) Europa (Frankfurt), Europa (Irlanda), Europa (Paris), Europa (Estocolmo)
Europa (Estocolmo) Europa (Frankfurt), Europa (Irlanda), Europa (Paris), Europa (Estocolmo)
Ásia-Pacífico (AP) Ásia-Pacífico (Hong Kong) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Ásia-Pacífico (Mumbai) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Ásia-Pacífico (Singapura) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Ásia-Pacífico (Sydney) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Ásia-Pacífico (Tóquio) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Ásia-Pacífico (Malásia) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Ásia-Pacífico (Tailândia) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)