使用主控台為組態項目建立事件資料存放區 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用主控台為組態項目建立事件資料存放區

您可以建立事件資料存放區以包含 AWS Config 組態項目,並使用事件資料存放區來調查您生產環境的不合規變更。使用事件資料存放區,您可以將不合規的規則,和與變更相關的使用者和資源建立關聯。組態項目代表存在於您帳戶中的支援 AWS 資源屬性point-in-time檢視。 會在偵測到正在記錄的資源類型變更時 AWS Config 建立組態項目。 AWS Config 也會在擷取組態快照時建立組態項目。

您可以使用 AWS Config 和 CloudTrail Lake 對組態項目執行查詢。您可以使用 根據單一 AWS 帳戶 和 或多個帳戶和區域的組態屬性 AWS 區域, AWS Config 來查詢 AWS 資源的目前組態狀態。相比之下,您可以使用 CloudTrail Lake 來跨各種資料來源進行查詢,例如 CloudTrail 事件、組態項目和規則評估。CloudTrail Lake 查詢涵蓋所有 AWS Config 組態項目,包括資源組態和合規歷史記錄。

為組態項目建立事件資料存放區不會影響現有的 AWS Config 進階查詢或任何設定的 AWS Config 彙總工具。您可以使用 繼續執行進階查詢 AWS Config,並繼續將歷史記錄檔案 AWS Config 交付至 S3 儲存貯體。

CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

限制

以下限制適用於組態項目的事件資料存放區。

  • 不支援自訂組態項目

  • 不支援使用進階事件選取器進行事件篩選

先決條件

建立事件資料存放區之前,請先為所有帳戶和區域設定 AWS Config 記錄。您可以使用 Quick Setup 功能 AWS Systems Manager,快速建立採用 技術的組態記錄器 AWS Config。

注意

AWS Config 開始記錄組態時,需支付服務費用。如需定價的詳細資訊,請參閱 AWS Config 定價。如需管理組態記錄器的詳細資訊,請參閱《AWS Config 開發人員指南》中的管理組態記錄器

此外,建立事件資料存放區時,建議您執行下列動作,但並非必要。

  • 設定 Amazon S3 儲存貯體於請求時接收組態快照及組態歷史記錄。如需快照的詳細資訊,請參閱《AWS Config 開發人員指南》中的管理交付通道將組態快照交付至 Amazon S3 儲存貯體

  • 指定 AWS Config 您要用來評估所記錄資源類型合規資訊的規則。的數個 CloudTrail Lake 範例查詢 AWS Config 需要 AWS Config 規則 評估 AWS 資源的合規狀態。如需 的詳細資訊 AWS Config 規則,請參閱《 AWS Config 開發人員指南》中的使用 評估資源 AWS Config 規則

若要為組態項目建立事件資料存放區

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/cloudtrail/ 開啟 CloudTrail 主控台。

  2. 在導覽窗格中,選擇 Lake 下方的事件資料存放區

  3. 選擇 Create event data store (建立事件資料存放區)。

  4. 設定事件資料存放區頁面上的一般詳細資訊中,輸入事件資料存放區的名稱。名稱為必填。

  5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

    以下為可用的選項:

    • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。

      • 預設保留期:366 天

      • 最長保留期:3,653 天

    • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。

      • 預設保留期:2,557 天

      • 最長保留期:2,557 天

  6. 指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。

    CloudTrail Lake 會透過檢查事件的 eventTime 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 eventTime 早於 90 天的事件。

  7. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇使用我自己的 AWS KMS key。選擇新增以為您 AWS KMS key 建立 ,或選擇現有以使用現有的 KMS 金鑰。在 Enter KMS alias (輸入 KMS 別名) 中,指定別名,格式為 alias/MyAliasName。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱設定 CloudTrail 的 AWS KMS 金鑰政策。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰

    使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。

    注意

    若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。

  8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 AWS Glue Data Catalog 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

    若要啟用 Lake 查詢聯合,請選擇啟用,然後執行下列動作:

    1. 選擇要建立新角色還是使用現有的 IAM 角色。AWS Lake Formation 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供必要的最低許可

    2. 如果您要建立新角色,請輸入名稱以識別角色。

    3. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。

  9. (選用) 選擇啟用資源政策,將資源型政策新增至您的事件資料存放區。以資源為基礎的政策可讓您控制哪些委託人可以在事件資料存放區上執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 事件資料存放區的資源型政策範例

    以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的委託人,以及委託人可以對事件資料存放區資源執行的動作。

    事件資料存放區的資源型政策支援下列動作:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    對於組織事件資料存放區,CloudTrail 會建立預設資源型政策,列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。

  10. (選用) 在 Tags (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需如何在 中使用標籤的詳細資訊 AWS,請參閱《標記 AWS 資源使用者指南》中的標記 AWS 資源

  11. 選擇下一步

  12. 選擇事件頁面上,選擇 AWS 事件,然後選擇組態項目

  13. CloudTrail 會將事件資料存放區資源儲存在您建立該資源的區域中,但在預設情況下,資料存放區中收集的組態項目來自已啟用記錄的帳戶中的所有區域。或者,您也可以選擇 Include only the current region in my event data store (在我的事件資料存放區中僅包含目前區域) 以僅包括在目前區域中擷取的組態項目。如果未選擇此選項,則事件資料存放區將包含來自已啟用記錄的所有區域的事件。

  14. 若要讓您的事件資料存放區從 AWS Organizations 組織中的所有帳戶收集組態項目,請選取為組織中的所有帳戶啟用。您必須登入到組織的管理帳戶或委派的管理員帳戶,才能建立為組織收集組態項目的事件資料存放區。

  15. 選擇 Next (下一步) 以檢閱您的選項。

  16. Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 Create event data store (建立事件資料存放區)。

  17. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

    從此時開始,事件資料存放區將擷取組態項目。建立事件資料存放區之前發生的組態項目,不會儲存在事件資料存放區中。

組態項目結構描述

下表說明符合組態項目記錄中的必要和選用結構描述元素。eventData 的內容由您的組態項目提供;其他欄位則在擷取後由 CloudTrail 提供。

CloudTrail 記錄管理、資料和網路活動事件的內容 將詳細說明 CloudTrail 事件記錄內容。

擷取後由 CloudTrail 提供的欄位
欄位名稱 輸入類型 需求 描述
eventVersion string 必要

AWS 事件格式的版本。

eventCategory string 必要

事件類別。對於組態項目,有效值為 ConfigurationItem

eventType string 必要

事件類型。對於組態項目,有效值為 AwsConfigurationItem

eventID string 必要

事件的唯一 ID。

eventTime

string

必要

事件時間戳記,採用 yyyy-MM-DDTHH:mm:ss 格式和國際標準時間 (UTC)。

awsRegion string 必要

要指派事件 AWS 區域 的 。

recipientAccountId string 必要

代表收到此事件的 AWS 帳戶 ID。

附錄

附錄

選用

顯示事件延遲原因的相關資訊。如果現有事件中缺少資訊,則附錄區塊會包含缺少的資訊,以及缺失的原因。

eventData 中的欄位由您的組態項目提供
欄位名稱 輸入類型 需求 描述
eventData

-

必要 eventData 中的欄位由您的組態項目提供。
  • configurationItemVersion

string 選用

來自其來源的組態項目版本。

  • configurationItemCaptureTime

string 選用

初始化組態記錄的時間。

  • configurationItemStatus

string 選用

組態項目狀態。有效值為OKResourceDiscoveredResourceNotRecorded ResourceDeletedResourceDeletedNotRecorded

  • accountId

string 選用

與資源相關聯的 12 位數 AWS 帳戶 ID。

  • resourceType

string 選用

AWS 資源的類型。如需有效資源類型的詳細資訊,請參閱 AWS Config API 參考中的 ConfigurationItem

  • resourceId

string 選用

資源的 ID (例如,sg-xxxxxx)。

  • resourceName

string 選用

資源的自訂名稱 (若有)。

  • arn

string 選用

與資源關聯的 Amazon Resource Name (ARN)。

  • awsRegion

string

選用

AWS 區域 資源所在的 。

  • availabilityZone

string

選用

與資源關聯的可用區域。

  • resourceCreationTime

string

選用

建立資源時的時間戳記。

  • 組態

JSON

選用

資源組態的描述。

  • supplementaryConfiguration

JSON

選用

針對特定資源類型 AWS Config 傳回的組態屬性,以補充針對組態參數傳回的資訊。

  • relatedEvents

string

選用

CloudTrail 事件 ID 的清單。

  • relationships

- 選用

相關 AWS 資源的清單。

    • name

string

選用

與相關資源的關係類型。

    • resourceType

string

選用

相關資源的資源類型。

    • resourceId

string

選用

相關資源的 ID (例如,sg-xxxxxx)。

    • resourceName

string

選用

相關資源的自訂名稱 (若有)。

  • 標籤

JSON

選用

與資源相關聯的鍵值標籤對應。

以下範例說明與組態項目記錄相符的結構描述元素的階層。

{ "eventVersion": String, "eventCategory: String, "eventType": String, "eventID": String, "eventTime": String, "awsRegion": String, "recipientAccountId": String, "addendum": Addendum, "eventData": { "configurationItemVersion": String, "configurationItemCaptureTime": String, "configurationItemStatus": String, "configurationStateId": String, "accountId": String, "resourceType": String, "resourceId": String, "resourceName": String, "arn": String, "awsRegion": String, "availabilityZone": String, "resourceCreationTime": String, "configuration": { JSON, }, "supplementaryConfiguration": { JSON, }, "relatedEvents": [ String ], "relationships": [ struct{ "name" : String, "resourceType": String, "resourceId": String, "resourceName": String } ], "tags": { JSON } } } }