CloudTrail 湖泊仪表板 - AWS CloudTrail
先决条件限制区域支持所需的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 湖泊仪表板

您可以使用 CloudTrail Lake 控制面板查看账户中事件数据存储的事件趋势。 CloudTrail Lake 提供以下类型的仪表板:

  • 托管仪表板-您可以查看托管仪表板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您,并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管仪表板。您无法修改、添加或删除这些仪表板的小组件,但是,如果您要修改微件或设置刷新计划,则可以将托管仪表板另存为自定义仪表板。

  • 自定义仪表板-自定义仪表板允许您查询任何事件数据存储类型的事件。您最多可以向自定义仪表板添加 10 个微件。您可以手动刷新自定义仪表板,也可以设置刷新计划。

  • 亮点仪表板 — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 AWS 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。精彩集锦仪表板上显示的小工具对每个账户来说都是独一无二的。这些小部件可能会显示检测到的异常活动或异常。例如,您的 Highlights 控制面板可能包含跨账户访问权限总额小工具,它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来的最近 24 小时的数据。

每个仪表板由一个或多个小组件组成,每个小组件都提供SQL查询结果的图形表示。要查看小组件的查询,请选择查看并编辑查询以打开查询编辑器。

刷新仪表板后, CloudTrail Lake 会运行查询以填充仪表板的微件。由于运行查询会产生成本,因此 CloudTrail 要求您确认与运行查询相关的成本。有关 CloudTrail 定价的更多信息,请参阅CloudTrail 定价

主题

先决条件

以下先决条件适用于 CloudTrail Lake 仪表板:

限制

以下限制适用于 CloudTrail Lake 仪表板:

  • 您只能为账户中存在的事件数据存储启用亮点控制面板。

  • 您只能查看账户中存在的事件数据存储的托管仪表板。

  • 对于自定义控制面板,您只能添加示例小组件或创建新的微件来查询账户中存在的事件数据存储。

  • AWS Organizations 组织的授权管理员无法查看或管理管理账户拥有的仪表板。

区域支持

所有支持 CloudTrail Lake AWS 区域 的地方都支持 CloudTrail Lake 仪表板。

以下区域支持 “亮点” 仪表板上的 “活动摘要” 控件:

  • 亚太地区(东京)区域 (ap-northeast-1)

  • 美国东部(弗吉尼亚州北部)(us-east-1)

  • 美国西部(俄勒冈)区域 (us-west-1)

所有支持 CloudTrail Lake AWS 区域 的地方都支持所有其他控件。

有关 CloudTrail Lake 支持区域的信息,请参阅CloudTrail Lake 支持的区域

所需的权限

本节介绍了 CloudTrail Lake 控制面板所需的权限,并讨论了两种类型的IAM策略:

  • 基于身份的策略,允许您执行创建、管理和删除仪表板的操作。

  • 基于资源的策略, CloudTrail 允许在刷新仪表板时对事件数据存储进行查询,并代表您按计划刷新自定义仪表板和 Highlights 仪表板。使用 CloudTrail 控制台创建仪表板时,您可以选择附加基于资源的策略。您也可以运行 AWS CLI put-resource-policy命令将基于资源的策略添加到事件数据存储或仪表板。

基于身份的政策要求

基于身份的策略是可以附加到身份(例如IAM用户、用户组或角色)的JSON权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅IAM用户指南中的使用客户托管策略定义自定义IAM权限

要查看和管理 CloudTrail Lake 仪表板,您需要以下策略之一:

创建仪表板所需的权限

以下示例策略提供了创建仪表板所需的最低权限。将partitionregionaccount-id、和,eds-id替换为您的配置值。

  • StartQuery仅当请求包含小组件时才需要权限。为小组件查询中包含的所有事件数据存储提供StartQuery权限。

  • StartDashboardRefresh仅当仪表板有刷新计划时,才需要权限。

  • 对于 Highlights 控制面板,来电者必须拥有账户中所有事件数据存储的StartQuery权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

更新仪表板所需的权限

以下示例策略提供了更新仪表板所需的最低权限。将partitionregionaccount-id、和,eds-id替换为您的配置值。

  • StartQuery仅当请求包含小组件时才需要权限。为小组件查询中包含的所有事件数据存储提供StartQuery权限。

  • StartDashboardRefresh仅当仪表板有刷新计划时,才需要权限。

  • 对于 Highlights 控制面板,来电者必须拥有账户中所有事件数据存储的StartQuery权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

刷新仪表板所需的权限

以下示例策略提供了刷新仪表板所需的最低权限。将partitionregionaccount-iddashboard-name、和eds-id替换为您的配置值。

  • 对于自定义仪表板和亮点仪表板,来电者必须有cloudtrail:StartDashboardRefresh permissions

  • 对于托管仪表板,调用者必须拥有刷新中涉及的事件数据存储的cloudtrail:StartDashboardRefreshcloudtrail:StartQuery权限和权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

仪表板和事件数据存储的基于资源的策略

基于资源的JSON策略是您附加到资源的策略文档。基于资源的策略的示例包括IAM角色信任策略和 Amazon S3 存储桶策略。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中指定主体。

要在手动或计划刷新期间在仪表板上运行查询,必须将基于资源的策略附加到与仪表板上的小组件关联的每个事件数据存储。这允许 CloudTrail Lake 代表您运行查询。当您创建自定义仪表板或使用 CloudTrail 控制台启用 High li ghts 仪表板时, CloudTrail 您可以选择要向哪些事件数据存储应用权限。有关基于资源的策略的更多信息,请参阅示例:允许 CloudTrail 运行查询以刷新仪表板

要为仪表板设置刷新计划,您必须将基于资源的策略附加到仪表板,以允许 CloudTrail Lake 代表您刷新仪表板。当您为自定义仪表板设置刷新计划或使用 CloudTrail 控制台启用 High li ghts 仪表板时, CloudTrail 您可以选择将基于资源的策略附加到仪表板。有关策略示例,请参阅仪表板基于资源的策略示例

您可以使用 CloudTrail 控制台AWS CLI、或PutResourcePolicyAPI操作附加基于资源的策略。

KMS解密事件数据存储中数据的密钥权限

如果正在查询的事件数据存储使用KMS密钥加密,请确保KMS密钥策略 CloudTrail 允许解密事件数据存储中的数据。以下示例策略语句允许 CloudTrail 服务主体解密事件数据存储。

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}