Criar um armazenamento de dados de eventos para eventos do Insights com o console

Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

No painel de navegação, abra o submenu Lake e escolha Event data stores (Armazenamentos de dados de eventos).

Selecione Create event data store (Criar armazenamento de dados de eventos).

Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.

Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciar custos do CloudTrail Lake.

As seguintes opções estão disponíveis:

Especifique um período de retenção para o armazenamento de dados de eventos em dias. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos. O armazenamento de dados de eventos retém os dados de eventos pelo número especificado de dias.

(Opcional) Para ativar a criptografia com o AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha New (Novo) para que o sistema crie uma AWS KMS key para você ou escolha Existing (Existente) para usar uma chave existente do KMS. Em Enter KMS alias (Inserir alias do KMS), especifique um alias no formato alias/MyAliasName. O uso da sua própria chave do KMS exige que você edite sua política de chaves do KMS para permitir que os logs do CloudTrail sejam criptografados e descriptografados. Para obter mais informações, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail. O CloudTrail também é compatível com chaves multirregionais do AWS KMS. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service.

O uso da sua própria chave do KMS gera custos de criptografia e decodificação do AWS KMS. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.

(Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados de eventos no Catálogo de Dados do AWS Glue e execute consultas SQL nos dados do evento no Athena. Os metadados da tabela que estão armazenados no Catálogo de Dados do AWS Glue permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.

Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

1. Escolha se deseja criar um perfil ou usar um perfil do IAM existente. O AWS Lake Formation usa esse perfil para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria um novo perfil usando o console do CloudTrail, o CloudTrail cria automaticamente um perfil com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

2. Se você estiver criando um perfil, insira um nome para identificá-lo.

3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

(Opcional) Escolha Habilitar política de recursos para adicionar uma política baseada em recurso ao seu datastore de eventos. As políticas baseadas em recursos permitem que você controle quais entidades principais podem realizar ações no datastore de eventos. Por exemplo, você pode adicionar uma política baseada em recurso que permita que os usuários-raiz de outras contas consultem esse datastore de eventos e visualizem os resultados da consulta. Para obter exemplos de políticas, consulte Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos.

Uma política baseada em recurso inclui uma ou mais instruções. Cada instrução da política define as entidades principais que têm acesso permitido ou negado ao datastore de eventos, e as ações que as entidades principais podem realizar no recurso de datastore de eventos.

As seguintes ações são compatíveis com políticas baseadas em recursos para datastores de eventos:

Para datastores de eventos da organização, o CloudTrail cria uma política baseada em recurso padrão que lista as ações que as contas de administrador delegado podem realizar nos datastores de eventos da organização. As permissões dessa política são derivadas das permissões de administrador delegado no AWS Organizations. Essa política é atualizada automaticamente após alterações no datastore de eventos da organização ou na organização (por exemplo, uma conta de administrador delegado do CloudTrail é registrada ou removida).

(Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar políticas do IAM para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulte Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como usar tags na AWS, consulte Marcação de recursos da AWS no Guia do usuário de marcação de recursos da AWS.

Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.

Na página Escolher eventos, escolha Eventos da AWS e, em seguida, escolha Eventos do CloudTrail Insights.

Em Eventos do CloudTrail Insights, faça o seguinte.

1. Escolha Permitir acesso de administrador delegado se quiser dar acesso ao administrador delegado da sua organização a esse armazenamento de dados de eventos. Essa opção só estará disponível se você estiver conectado com a conta de gerenciamento de uma organização do AWS Organizations.

2. (Opcional) Escolha um armazenamento de dados de eventos de origem existente que registre eventos de gerenciamento e especifique os tipos de Insights que deseja receber.

   Para adicionar um armazenamento de dados de eventos de origem, faça o seguinte:

   1. Escolha Adicionar armazenamento de dados de eventos de origem.

   2. Escolha o armazenamento de dados de eventos de origem.

   3. Escolha o Tipo de insights que deseja receber.

      • ApiCallRateInsight: o tipo de insight ApiCallRateInsight analisa as chamadas à API de gerenciamento somente de gravação que são agregadas por minuto em relação a um volume de chamadas à API de linha de base. Para receber insights de ApiCallRateInsight, o armazenamento de dados de eventos de origem deve registrar os eventos de gerenciamento de gravação.

      • ApiErrorRateInsight: o tipo de insight ApiErrorRateInsight analisa as chamadas à API de gerenciamento que resultam em códigos de erro. O erro será exibido se a chamada à API não for bem-sucedida. Para receber insights de ApiErrorRateInsight, o armazenamento de dados de eventos de origem deve registrar os eventos de gerenciamento de gravação ou de leitura.

   4. Repita as duas etapas anteriores (ii e iii) para adicionar outros tipos de insights que você deseja receber.

Selecione Next (Próximo) para revisar suas escolhas.

Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

Se você não escolheu um armazenamento de dados de eventos de origem na etapa 10, siga as etapas em Para criar um armazenamento de dados de eventos de origem que registra eventos do Insights para criar um armazenamento de dados de eventos de origem.

Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

No painel de navegação, abra o submenu Lake e escolha Event data stores (Armazenamentos de dados de eventos).

Selecione Create event data store (Criar armazenamento de dados de eventos).

Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.

Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciar custos do CloudTrail Lake.

As seguintes opções estão disponíveis:

Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.

O CloudTrail Lake determina se um evento deve ser mantido ao verificar se o eventTime do evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, o CloudTrail removerá eventos quando o eventTime for superior a 90 dias.

(Opcional) Para ativar a criptografia com o AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha New (Novo) para que o sistema crie uma AWS KMS key para você ou escolha Existing (Existente) para usar uma chave existente do KMS. Em Enter KMS alias (Inserir alias do KMS), especifique um alias no formato alias/MyAliasName. O uso da sua própria chave do KMS exige que você edite sua política de chaves do KMS para permitir que os logs do CloudTrail sejam criptografados e descriptografados. Para obter mais informações, consulte Configure as políticas de chaves do AWS KMS para o CloudTrail. O CloudTrail também é compatível com chaves multirregionais do AWS KMS. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service.

O uso da sua própria chave do KMS gera custos de criptografia e decodificação do AWS KMS. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.

(Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados de eventos no Catálogo de Dados do AWS Glue e execute consultas SQL nos dados do evento no Athena. Os metadados da tabela que estão armazenados no Catálogo de Dados do AWS Glue permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.

Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

1. Escolha se deseja criar um perfil ou usar um perfil do IAM existente. O AWS Lake Formation usa esse perfil para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria um novo perfil usando o console do CloudTrail, o CloudTrail cria automaticamente um perfil com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

2. Se você estiver criando um perfil, insira um nome para identificá-lo.

3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

(Opcional) Escolha Habilitar política de recursos para adicionar uma política baseada em recurso ao seu datastore de eventos. As políticas baseadas em recursos permitem que você controle quais entidades principais podem realizar ações no datastore de eventos. Por exemplo, você pode adicionar uma política baseada em recurso que permita que os usuários-raiz de outras contas consultem esse datastore de eventos e visualizem os resultados da consulta. Para obter exemplos de políticas, consulte Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos.

Uma política baseada em recurso inclui uma ou mais instruções. Cada instrução da política define as entidades principais que têm acesso permitido ou negado ao datastore de eventos, e as ações que as entidades principais podem realizar no recurso de datastore de eventos.

As seguintes ações são compatíveis com políticas baseadas em recursos para datastores de eventos:

Para datastores de eventos da organização, o CloudTrail cria uma política baseada em recurso padrão que lista as ações que as contas de administrador delegado podem realizar nos datastores de eventos da organização. As permissões dessa política são derivadas das permissões de administrador delegado no AWS Organizations. Essa política é atualizada automaticamente após alterações no datastore de eventos da organização ou na organização (por exemplo, uma conta de administrador delegado do CloudTrail é registrada ou removida).

(Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar políticas do IAM para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulte Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como usar tags na AWS, consulte Marcação de recursos da AWS no Guia do usuário de marcação de recursos da AWS.

Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.

Na página Choose events (Escolher eventos), escolha AWS events (Eventos da ) e, em seguida, escolha CloudTrail events (Eventos do CloudTrail).

Em Eventos do CloudTrail, mantenha a opção Eventos de gerenciamento selecionada.

Para que o armazenamento de dados do seu evento colete eventos de todas as contas em uma organização do AWS Organizations, selecione Enable for all accounts in my organization (Habilitar para todas as contas na minha organização). Você deve estar conectado à conta de gerenciamento da organização para criar um armazenamento de dados de eventos que habilite o Insights.

Expanda Configurações adicionais para escolher se você deseja que seu armazenamento de dados de eventos colete eventos para todas as Regiões da AWS ou somente para a Região da AWS atual e escolha se o armazenamento de dados de eventos ingere eventos. Por padrão, seu armazenamento de dados de eventos coleta eventos de todas as regiões em sua conta e começa a ingerir eventos ao ser criado.

1. Opcionalmente, selecione Incluir somente a região atual no meu armazenamento de dados de eventos para incluir somente eventos que são registrados em log na região atual. Se você não escolher essa opção, o armazenamento de dados de eventos incluirá eventos de todas as regiões.

2. Mantenha a opção Ingerir eventos selecionada.

Escolha entre Coleta de eventos simples e Coleta de eventos avançados:

Escolha Coleta de eventos simples, escolha se deseja registrar em log todos os eventos, apenas eventos de leitura ou apenas eventos de gravação. Você também pode escolher excluir eventos da API de dados do AWS KMS e do Amazon RDS.

Se você selecionou Coleta de eventos avançados, faça as seguintes seleções:

1. Em Modelo do seletor de logs, escolha um modelo predefinido ou escolha Personalizado para escrever suas próprias condições de coleta de eventos com base nos campos do seletor de eventos avançados.

   Você pode escolher entre os seguintes modelos predefinidos:

   • Registrar em log todos os eventos: escolha esse modelo para registrar em log todos os eventos.

   • Registrar em log apenas eventos de leitura: escolha esse modelo para registrar em log apenas os eventos de leitura. Eventos somente leitura são eventos que não alteram o estado de um recurso, como eventos Get* ou Describe*.

   • Registrar em log apenas eventos de gravação: escolha esse modelo para registrar em log apenas os eventos de gravação. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*.

   • Registrar em log apenas eventos do Console de gerenciamento da AWS: escolha esse modelo para registrar em log apenas os eventos originários do Console de gerenciamento da AWS.

   • Excluir eventos iniciados pelo AWS service (Serviço da AWS): escolha esse modelo para excluir os eventos do AWS service (Serviço da AWS), que têm um eventType de AwsServiceEvent, e eventos iniciados com perfis vinculados ao AWS service (Serviço da AWS) (SLRs).

2. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançados, como “Registrar em log eventos de gerenciamento das sessões do Console de gerenciamento da AWS”. O nome do seletor é listado como Name no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.

3. Se você escolheu Personalizado, em Seletores de eventos avançados, compile uma expressão com base nos valores dos campos do seletor de eventos avançados.

   nota

   Os seletores não são compatíveis com o uso de curingas, como *. Para combinar vários valores com uma única condição, você pode usar StartsWith, EndsWith, NotStartsWith ou NotEndsWith para corresponder explicitamente ao início ou ao fim do campo do evento.

   1. Escolha um dos seguintes campos:

      • readOnly: readOnly pode ser definido como igual a um valor de true ou false. Quando definido como false, o datastore de eventos registra em log os eventos de gerenciamento somente gravação. Eventos de gerenciamento somente leitura são eventos que não alteram o estado de um recurso, como os eventos Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar em log os eventos de leitura e gravação, não adicione um seletor readOnly.

      • eventName – eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de gerenciamento, como CreateAccessPoint ou GetAccessPoint.

      • userIdentity.arn: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

      • sessionCredentialFromConsole: inclua ou exclua eventos originários de uma sessão do Console de gerenciamento da AWS. Esse campo pode ser definido como igual a ou não igual a um valor de true.

      • eventSource: você pode usá-lo para incluir ou excluir origens de eventos específicas. A eventSource normalmente é uma forma abreviada do nome do serviço sem espaços acrescida de .amazonaws.com. Por exemplo, você pode definir eventSource equals to ec2.amazonaws.com para registrar em log apenas eventos de gerenciamento do Amazon EC2.

      • eventType: o eventType a ser incluído ou excluído. Por exemplo, é possível definir esse campo como não igual a AwsServiceEvent para excluir eventos do AWS service (Serviço da AWS).

   2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.

      Para obter informações sobre como o CloudTrail avalia várias condições, consulte Como o CloudTrail avalia várias condições para um campo.

      nota

      É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

   3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.

4. Opcionalmente, expanda a JSON view (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.

Escolha Habilitar a captura de eventos do Insights.

Escolha o armazenamento de eventos de destino que registrará em log os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.

Escolha os tipos de Insights. É possível escolher a Taxa de chamadas à API, a Taxa de erros da API ou ambas. Você deve registrar eventos de gerenciamento de gravação para registrar em log eventos do Insights sobre a taxa de chamadas à API. É necessário registrar eventos de gerenciamento de leitura ou gravação para registrar em log eventos do Insights sobre a taxa de erros da API.

Escolha Avançar para enriquecer os eventos adicionando chaves de tags de recurso e chaves de condição globais do IAM.

Em Enriquecer eventos, adicione até 50 chaves de tags de recurso e 50 chaves de condição globais do IAM para fornecer metadados adicionais sobre os eventos. Isso ajuda a categorizar e agrupar eventos relacionados.

Se você adicionar chaves de tag, o CloudTrail incluirá as chaves de tags selecionadas associadas aos recursos envolvidos na chamada de API. Os eventos de API relacionados a recursos excluídos não terão tags de recurso.

Se você adicionar chaves de condição globais do IAM, o CloudTrail incluirá informações sobre as chaves de condição selecionadas que foram avaliadas durante o processo de autorização, incluindo detalhes adicionais sobre a entidade principal, a sessão, a rede e a solicitação em si.

As informações sobre as chaves de tags de recurso e as chaves de condição globais do IAM são mostradas no campo eventContext do evento. Para obter mais informações, consulte É possível enriquecer eventos do CloudTrail adicionando chaves de tags de recurso e chaves de condição globais do IAM.

Escolha Expandir tamanho do evento para expandir a carga útil do evento de 256 KB para até 1 MB. Essa opção é habilitada automaticamente quando você adiciona chaves de tags de recurso ou chaves de condição globais do IAM para garantir que todas as chaves adicionadas sejam incluídas no evento.

Expandir o tamanho do evento é útil para analisar e solucionar problemas de eventos, porque permite que você veja todo o conteúdo dos seguintes campos, desde que a carga útil do evento seja inferior a 1 MB:

Para obter mais informações sobre esses campos, consulte Conteúdo dos registros do CloudTrail.

Selecione Next (Próximo) para revisar suas escolhas.

Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

Deste ponto em diante, o armazenamento de dados de eventos captura eventos que correspondem aos seletores de eventos avançados. Após você habilitar o CloudTrail Insights a primeira vez no datastore de eventos de origem, o CloudTrail pode levar até sete dias para começar a entregar eventos do Insights, desde que alguma atividade pouco usual seja detectada durante esse período.

É possível visualizar os painéis do CloudTrail Lake para ver os eventos do Insights em seu armazenamento de dados de eventos de destino. Para obter mais informações sobre painéis do Lake, consulte Painéis do CloudTrail Lake.