CloudTrail Painéis do Lake - AWS CloudTrail
Pré-requisitosLimitaçõesSuporte de regiãoPermissões obrigatórias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail Painéis do Lake

Você pode usar os painéis do CloudTrail Lake para ver as tendências de eventos dos armazenamentos de dados de eventos em sua conta. CloudTrail O Lake oferece os seguintes tipos de painéis:

  • Painéis gerenciados: é possível visualizar um painel gerenciado para ver as tendências de eventos para um datastore de eventos que coleta eventos de gerenciamento, eventos de dados ou eventos do Insights. Esses painéis estão automaticamente disponíveis para você e são gerenciados pelo CloudTrail Lake. CloudTrail oferece 14 painéis gerenciados para você escolher. Você pode atualizar manualmente os painéis gerenciados. Não é possível modificar, adicionar ou remover os widgets desses painéis. Porém, você poderá salvar um painel gerenciado como um painel personalizado se quiser modificar os widgets ou definir uma agenda de atualização.

  • Painéis personalizados: os painéis personalizados possibilitam a consulta de eventos em qualquer tipo de datastore de eventos. Você pode adicionar até dez widgets a um painel personalizado. Você pode atualizar manualmente um painel personalizado ou definir uma agenda de atualização.

  • Painéis de destaques — Ative o painel de destaques para ver uma at-a-glance visão geral da AWS atividade coletada pelos armazenamentos de dados de eventos em sua conta. O painel de Destaques é gerenciado CloudTrail e inclui widgets que são relevantes para sua conta. Os widgets mostrados no painel Destaques são específicos de cada conta. Esses widgets podem revelar atividades anormais ou as anomalias detectadas. Por exemplo, seu painel de Destaques pode incluir o widget Total de acesso entre contas, que mostra se há um aumento na atividade anormal entre contas. CloudTrail atualiza o painel de Destaques a cada 6 horas. O painel mostra os dados das últimas 24 horas a partir da última atualização.

Cada painel consiste em um ou mais widgets e cada widget oferece uma representação gráfica dos resultados de uma consulta SQL. Para visualizar a consulta para um widget, escolha Visualizar e editar consulta para abrir o editor de consultas.

Quando um painel é atualizado, o CloudTrail Lake executa consultas para preencher os widgets do painel. Como a execução de consultas gera custos, CloudTrail solicita que você reconheça os custos associados à execução de consultas. Para obter mais informações sobre CloudTrail preços, consulte CloudTrail Preços.

Tópicos

Pré-requisitos

Os seguintes pré-requisitos se aplicam aos CloudTrail painéis do Lake:

Limitações

As seguintes limitações se aplicam aos painéis CloudTrail do Lake:

  • Você só pode habilitar o painel Destaques para datastores de eventos existentes em sua conta.

  • Você só pode visualizar o painel Destaques para datastores de eventos existentes em sua conta.

  • Em painéis personalizados, você pode adicionar somente exemplos de widgets ou criar novos widgets que consultem datastores de eventos existentes na sua conta.

  • Os administradores delegados de uma AWS Organizations organização não podem visualizar nem gerenciar painéis de propriedade da conta de gerenciamento.

Suporte de região

Os painéis do CloudTrail Lake são compatíveis em todos os Regiões da AWS lugares onde o CloudTrail Lake é suportado.

O widget Resumo da atividade no painel Destaques é compatível com as seguintes regiões:

  • Região da Ásia-Pacífico (Tóquio) (ap-northeast-1)

  • Leste dos EUA (Norte da Virgínia) (us-east-1)

  • Região Oeste dos EUA (Oregon) (us-west-1)

Todos os outros widgets são suportados em todos os Regiões da AWS lugares onde o CloudTrail Lake é suportado.

Para obter informações sobre as regiões suportadas pelo CloudTrail Lake, consulteCloudTrail Regiões suportadas por lagos.

Permissões obrigatórias

Esta seção descreve as permissões necessárias para os painéis do CloudTrail Lake e discute dois tipos de políticas do IAM:

  • As políticas baseadas em identidades que permitem que você execute ações para criar, gerenciar e excluir painéis.

  • Políticas baseadas em recursos que permitem CloudTrail executar consultas em seu armazenamento de dados de eventos quando o painel é atualizado e realizar atualizações programadas de painéis personalizados e do painel Destaques em seu nome. Ao criar painéis usando o CloudTrail console, você tem a opção de anexar políticas baseadas em recursos. Você também pode executar o AWS CLI put-resource-policycomando para adicionar uma política baseada em recursos aos seus repositórios de dados de eventos ou painéis.

Requisitos de políticas baseadas em identidades

As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.

Para visualizar e gerenciar os painéis do CloudTrail Lake, você precisa de uma das seguintes políticas:

  • A política gerenciada CloudTrailFullAccess.

  • A política gerenciada AdministratorAccess.

  • Uma política personalizada que inclui uma ou mais permissões específicas descritas nas próximas seções.

Permissões necessárias para criar painéis

O exemplo de política a seguir contém as permissões mínimas necessárias para criar painéis. Substitua partition regionaccount-id,,, e eds-id pelos valores da sua configuração.

  • A permissão de StartQuery será necessária apenas se a solicitação contiver widgets. Forneça permissões de StartQuery para todos os datastores de eventos incluídos em uma consulta de widget.

  • A permissão de StartDashboardRefresh será necessária apenas se o painel tiver uma agenda de atualização.

  • Para o painel Destaques, o chamador deve ter a permissão de StartQueryem todos os datastores de eventos na conta.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

Permissões necessárias para atualizar os painéis

O exemplo de política a seguir fornece as permissões mínimas necessárias para atualizar os painéis. Substitua partition regionaccount-id,,, e eds-id pelos valores da sua configuração.

  • A permissão de StartQuery será necessária apenas se a solicitação contiver widgets. Forneça permissões de StartQuery para todos os datastores de eventos incluídos em uma consulta de widget.

  • A permissão de StartDashboardRefresh será necessária apenas se o painel tiver uma agenda de atualização.

  • Para o painel Destaques, o chamador deve ter a permissão de StartQueryem todos os datastores de eventos na conta.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

Permissões necessárias para renovar painéis

O exemplo de política a seguir fornece as permissões mínimas necessárias para renovar painéis. Substitua partition regionaccount-id,dashboard-name,, e eds-id pelos valores da sua configuração.

  • Em painéis personalizados e painéis Destaques, o chamador deve ter cloudtrail:StartDashboardRefresh permissions.

  • Em painéis gerenciados, o chamador deve ter permissão de cloudtrail:StartDashboardRefresh e cloudtrail:StartQuery para o datastore do evento envolvido na atualização.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/dashboard-name",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

Políticas baseadas em recursos para painéis e datastores de eventos

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário especificar uma entidade principal em uma política baseada em recursos.

Para executar consultas em um painel durante uma atualização manual ou agendada, é preciso anexar uma política baseada em recurso a cada datastore de eventos associado a um widget no painel. Isso permite que o CloudTrail Lake execute as consultas em seu nome. Quando você cria um painel personalizado ou ativa o painel Destaques usando o CloudTrail console, CloudTrail você tem a opção de escolher em quais armazenamentos de dados de eventos você deseja aplicar permissões. Para obter mais informações sobre políticas baseadas em recursos, consulte Exemplo: permitir CloudTrail a execução de consultas para atualizar um painel.

Para definir um cronograma de atualização para um painel, você deve anexar uma política baseada em recursos ao painel para permitir que o CloudTrail Lake atualize o painel em seu nome. Quando você define um cronograma de atualização para um painel personalizado ou ativa o painel Destaques usando o CloudTrail console, você tem CloudTrail a opção de anexar uma política baseada em recursos ao seu painel. Para visualizar um exemplo de política, consulte Exemplo de política baseada em recurso para um painel.

Você pode anexar uma política baseada em recursos usando o CloudTrail console AWS CLI, o ou a operação da PutResourcePolicyAPI.

Permissões de chave do KMS para descriptografar dados em um datastore de eventos

Se um armazenamento de dados de eventos que está sendo consultado for criptografado com uma chave KMS, certifique-se de que a política de chaves KMS permita CloudTrail descriptografar os dados no armazenamento de dados de eventos. O exemplo de declaração de política a seguir permite que o responsável pelo CloudTrail serviço decifre o armazenamento de dados do evento.

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}