Verwaltung von Ereignisdatenspeichern mit dem AWS CLI

In diesem Abschnitt werden mehrere andere Befehle beschrieben, die Sie ausführen können, um Informationen zu Ihren Ereignisdatenspeichern abzurufen, die Aufnahme in einen Ereignisdatenspeicher zu starten und zu beenden und den Verbund in einem Ereignisdatenspeicher zu aktivieren und zu deaktivieren.

Themen

Holen Sie sich einen Ereignisdatenspeicher mit dem AWS CLI
Listet alle Ereignisdatenspeicher in einem Konto auf mit AWS CLI
Fügen Sie Ressourcen-Tag-Schlüssel und IAM-Schlüssel für globale Bedingungen hinzu und erweitern Sie die Eventgröße
Ruft die Ereigniskonfiguration für einen Ereignisdatenspeicher ab
Rufen Sie die ressourcenbasierte Richtlinie für einen Ereignisdatenspeicher mit dem AWS CLI
Ordnen Sie einem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie mit dem AWS CLI
Löschen Sie die ressourcenbasierte Richtlinie, die an einen Ereignisdatenspeicher angehängt ist, mit dem AWS CLI
Stoppen Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI
Starten Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI
Aktivieren eines Verbunds zu einem Ereignisdatenspeicher
Deaktivieren eines Verbunds zu einem Ereignisdatenspeicher
Stellen Sie einen Ereignisdatenspeicher wieder her mit AWS CLI

Holen Sie sich einen Ereignisdatenspeicher mit dem AWS CLI

Der folgende AWS CLI get-event-data-store Beispielbefehl gibt Informationen über den durch den erforderlichen --event-data-store Parameter angegebenen Ereignisdatenspeicher zurück, der einen ARN oder das ID-Suffix des ARN akzeptiert.


aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Nachfolgend finden Sie eine Beispielantwort. Die Erstellung und die letzten aktualisierten Zeiten sind im timestamp-Format.


{
    "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "s3-data-events-eds",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log DeleteObject API calls for a specific S3 bucket",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "eventName",
                    "Equals": [
                        "DeleteObject"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3:::amzn-s3-demo-bucket"
                    ]
                },
                {
                    "Field": "readOnly",
                    "Equals": [
                        "false"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
    "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}

Listet alle Ereignisdatenspeicher in einem Konto auf mit AWS CLI

Der folgende AWS CLI list-event-data-stores Beispielbefehl gibt Informationen über alle Ereignisdatenspeicher in einem Konto in der aktuellen Region zurück. Optionale Parameter umfassen --max-results, um eine maximale Anzahl von Ergebnissen anzugeben, die der Befehl auf einer einzelnen Seite zurückgeben soll. Wenn es mehr Ergebnisse als den von Ihnen angegebenen --max-results-Wert gibt, führen Sie den Befehl NextToken erneut aus und fügen den zurückgegebenen Wert hinzu, um die nächste Seite mit Ergebnissen zu erhalten.


aws cloudtrail list-event-data-stores

Nachfolgend finden Sie eine Beispielantwort.


{
    "EventDataStores": [
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
            "Name": "management-events-eds"
        },
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
            "Name": "config-items-eds"
        },
        {
            "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
            "Name": "s3-data-events"
        }
    ]
}

Fügen Sie Ressourcen-Tag-Schlüssel und IAM-Schlüssel für globale Bedingungen hinzu und erweitern Sie die Eventgröße

Führen Sie den AWS CLI put-event-configuration Befehl aus, um die maximale Ereignisgröße zu erhöhen und bis zu 50 Ressourcen-Tag-Schlüssel und 50 globale IAM-Bedingungsschlüssel hinzuzufügen, um zusätzliche Metadaten zu Ihren Ereignissen bereitzustellen.

Der Befehl put-event-configuration akzeptiert die folgenden Argumente:

--event-data-store— Geben Sie den ARN des Event-Datenspeichers oder das ID-Suffix des ARN an. Dieser Parameter muss angegeben werden.
--max-event-size— Stellen Sie auf einLarge, um die maximale Eventgröße auf 1 MB festzulegen. Standardmäßig ist der WertStandard, was eine maximale Eventgröße von 256 KB angibt.

Anmerkung
Um Schlüssel für Ressourcen-Tags oder Schlüssel für globale IAM-Bedingungen hinzuzufügen, müssen Sie die Eventgröße so einstellen, dass alle hinzugefügten Schlüssel in dem Ereignis enthalten sind. Large
--context-key-selectors— Geben Sie die Art der Schlüssel an, die in den von Ihrem Ereignisdatenspeicher gesammelten Ereignissen enthalten sein sollen. Sie können Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel einbeziehen. Informationen zu den hinzugefügten Ressourcen-Tags und globalen IAM-Bedingungsschlüsseln werden im eventContext Feld des Ereignisses angezeigt. Weitere Informationen finden Sie unter Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen.
- Stellen Sie Type auf einTagContext, um ein Array von bis zu 50 Ressourcen-Tag-Schlüsseln zu übergeben. Wenn Sie Ressourcen-Tags hinzufügen, enthalten die CloudTrail Ereignisse die ausgewählten Tag-Schlüssel, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren. API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.
- Setzen Sie den Type Wert RequestContext auf, um ein Array von bis zu 50 globalen IAM-Bedingungsschlüsseln zu übergeben. Wenn Sie globale IAM-Bedingungsschlüssel hinzufügen, enthalten die CloudTrail Ereignisse Informationen zu den ausgewählten Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details über den Prinzipal, die Sitzung, das Netzwerk und die Anfrage selbst.

Im folgenden Beispiel wird die maximale Ereignisgröße auf festgelegt Large und zwei Ressourcen-Tag-Schlüssel myTagKey1 und myTagKey2 hinzugefügt.


aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'

Im nächsten Beispiel wird die maximale Ereignisgröße auf „IAM; global condition key (aws:MultiFactorAuthAge)“ festgelegt Large und ein weiterer Wert hinzugefügt.


aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'

Das letzte Beispiel entfernt alle Ressourcen-Tag-Schlüssel und globalen IAM-Bedingungsschlüssel und legt die maximale Eventgröße auf fest. Standard


aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Standard \
--context-key-selectors

Ruft die Ereigniskonfiguration für einen Ereignisdatenspeicher ab

Führen Sie den AWS CLI get-event-configuration Befehl aus, um die Ereigniskonfiguration für einen Ereignisdatenspeicher zurückzugeben, der CloudTrail Ereignisse sammelt. Dieser Befehl gibt die maximale Ereignisgröße zurück und listet die Ressourcen-Tag-Schlüssel und globalen IAM-Bedingungsschlüssel (falls vorhanden) auf, die in CloudTrail Ereignissen enthalten sind.


aws cloudtrail get-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Rufen Sie die ressourcenbasierte Richtlinie für einen Ereignisdatenspeicher mit dem AWS CLI

Im folgenden Beispiel wird der get-resource-policy Befehl für einen Ereignisdatenspeicher einer Organisation ausgeführt.


aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

Da der Befehl auf einem Organisationsereignisdatenspeicher ausgeführt wurde, zeigt die Ausgabe sowohl die bereitgestellte ressourcenbasierte Richtlinie als auch die für die delegierten Administratorkonten und DelegatedAdminResourcePolicygenerierten. 333333333333 111111111111


{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Ordnen Sie einem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie mit dem AWS CLI

Um Abfragen in einem Dashboard während einer manuellen oder geplanten Aktualisierung auszuführen, müssen Sie jedem Ereignisdatenspeicher, der einem Widget auf dem Dashboard zugeordnet ist, eine ressourcenbasierte Richtlinie anhängen. Dadurch kann CloudTrail Lake die Abfragen in Ihrem Namen ausführen. Weitere Informationen zur ressourcenbasierten Richtlinie finden Sie unter. Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards

Im folgenden Beispiel wird eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher angehängt, mit der Abfragen auf einem Dashboard ausgeführt werden können CloudTrail , wenn das Dashboard aktualisiert wird. account-idErsetzen Sie es durch Ihre Konto-ID, eds-arn durch den ARN des Ereignisdatenspeichers, für den Abfragen ausgeführt CloudTrail werden, und dashboard-arn durch den ARN des Dashboards.


aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource": "eds-arn", "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'

Im Folgenden finden Sie ein Beispiel für eine Antwort.

Weitere Richtlinienbeispiele finden Sie unterBeispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher.

Löschen Sie die ressourcenbasierte Richtlinie, die an einen Ereignisdatenspeicher angehängt ist, mit dem AWS CLI

In den folgenden Beispielen wird die ressourcenbasierte Richtlinie gelöscht, die einem Ereignisdatenspeicher zugeordnet ist. eds-arnErsetzen Sie durch den ARN des Ereignisdatenspeichers.


aws cloudtrail delete-resource-policy --resource-arn eds-arn

Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

Stoppen Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI

Mit dem folgenden AWS CLI stop-event-data-store-ingestion Beispielbefehl wird verhindert, dass ein Ereignisdatenspeicher Ereignisse aufnimmt. Um die Aufnahme zu beenden, muss der Status-Ereignisdatenspeicher ENABLED sein und eventCategory muss Management, Data oder ConfigurationItem sein. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Nach der Ausführung von stop-event-data-store-ingestion ändert sich der Status des Ereignisdatenspeichers zu STOPPED_INGESTION.

Der Ereignisdatenspeicher wird auf die maximale Anzahl von zehn Ereignisdatenspeichern in Ihrem Konto angerechnet, wenn dessen Status STOPPED_INGESTION ist.


aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.

Starten Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI

Mit dem folgenden AWS CLI start-event-data-store-ingestion Beispielbefehl wird die Ereignisaufnahme in einem Ereignisdatenspeicher gestartet. Um die Aufnahme zu starten, muss der Status-Ereignisdatenspeicher STOPPED_INGESTION sein und eventCategory muss Management, Data oder ConfigurationItem sein. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Nach der Ausführung von start-event-data-store-ingestion ändert sich der Status des Ereignisdatenspeichers zu ENABLED.


aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.

Aktivieren eines Verbunds zu einem Ereignisdatenspeicher

Um den Verbund zu aktivieren, führen Sie den Befehl aws cloudtrail enable-federation aus und geben Sie die erforderlichen Parameter --event-data-store und --role ein. Geben Sie für --event-data-store den ARN des Ereignisdatenspeichers (oder das ID-Suffix des ARN) an. Geben Sie für --role den ARN für Ihre Verbundrolle an. Die Rolle muss in Ihrem Konto vorhanden sein und über die erforderlichen Mindestberechtigungen verfügen.


aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

Dieses Beispiel zeigt, wie ein delegierter Administrator den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren kann, indem er den ARN des Ereignisdatenspeichers im Verwaltungskonto und den ARN der Verbundrolle im delegierten Administratorkonto angibt.


aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name

Deaktivieren eines Verbunds zu einem Ereignisdatenspeicher

Führen Sie den Befehl aws cloudtrail disable-federation aus, um den Verbund im Ereignisdatenspeicher zu deaktivieren. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert.


aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id

Anmerkung

Wenn es sich um den Ereignisdatenspeicher einer Organisation handelt, geben Sie die Konto-ID für das Verwaltungskonto an.

Stellen Sie einen Ereignisdatenspeicher wieder her mit AWS CLI

Der folgende AWS CLI restore-event-data-store-Beispielbefehl stellt einen Ereignisdatenspeicher wieder her, der zum Löschen ansteht. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Sie können einen gelöschten Ereignisdatenspeicher nur innerhalb der siebentägigen Wartezeit nach dem Löschen wiederherstellen.


aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Die Antwort enthält Informationen über den Ereignisdatenspeicher, einschließlich des ARN, der erweiterten Ereignisselektoren und des Status der Wiederherstellung.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktualisieren Sie einen Ereignisdatenspeicher mit dem AWS CLI

Löschen Sie einen Ereignisdatenspeicher mit dem AWS CLI