Einschränkungen Voraussetzungen So erstellen Sie einen Ereignisdatenspeicher für Konfigurationselemente Schema für Konfigurationselemente

Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Konfigurationselemente

Sie können einen Ereignisdatenspeicher erstellen, der AWS Config -Konfigurationselemente enthält, und damit nicht-konforme Änderungen an Ihren Produktionsumgebungen untersuchen. Mit einem Ereignisdatenspeicher können Sie nicht-konforme Regeln den Benutzern und Ressourcen zuordnen, die mit den jeweiligen Änderungen im Zusammenhang stehen. Ein Konfigurationselement stellt eine point-in-time Ansicht der Attribute einer unterstützten AWS Ressource dar, die in Ihrem Konto vorhanden ist. AWS Config erstellt ein Konfigurationselement, wenn es eine Änderung an einem Ressourcentyp feststellt, den es aufzeichnet. AWS Config erstellt auch Konfigurationselemente, wenn ein Konfigurations-Snapshot erfasst wird.

Sie können AWS Config sowohl als auch CloudTrail Lake verwenden, um Abfragen für Ihre Konfigurationselemente auszuführen. Sie können AWS Config damit den aktuellen Konfigurationsstatus von AWS Ressourcen auf der Grundlage von Konfigurationseigenschaften für ein einzelnes AWS-Konto und AWS-Region oder für mehrere Konten und Regionen abfragen. Im Gegensatz dazu können Sie CloudTrail Lake verwenden, um verschiedene Datenquellen wie CloudTrail Ereignisse, Konfigurationselemente und Regelauswertungen abzufragen. CloudTrail Lake-Abfragen decken alle AWS Config Konfigurationselemente ab, einschließlich der Ressourcenkonfiguration und des Kompatibilitätsverlaufs.

Das Erstellen eines Ereignisdatenspeichers für Konfigurationselemente hat keine Auswirkungen auf bestehende AWS Config erweiterte Abfragen oder konfigurierte AWS Config Aggregatoren. Sie können weiterhin erweiterte Abfragen mithilfe von AWS Config Verlaufsdateien in Ihren S3-Buckets ausführen und diese AWS Config auch weiterhin an diese senden.

CloudTrail Für Datenspeicher mit Lake-Ereignissen fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise undVerwaltung der CloudTrail Seekosten.

Einschränkungen

Bezüglich der Ereignisdatenspeicher für Konfigurationselemente gelten die folgenden Einschränkungen.

Keine Unterstützung für benutzerdefinierte Konfigurationselemente
Keine Unterstützung für die Ereignisfilterung mit erweiterten Ereignisselektoren

Voraussetzungen

Bevor Sie Ihren Veranstaltungsdatenspeicher erstellen, richten Sie die AWS Config Aufzeichnung für alle Ihre Konten und Regionen ein. Sie können Quick Setup, eine Funktion von, verwenden AWS Systems Manager, um schnell einen Konfigurationsrekorder zu erstellen, der von unterstützt wird AWS Config.

Anmerkung

Wenn Sie mit der Aufzeichnung von Konfigurationen AWS Config beginnen, werden Ihnen Gebühren für die Nutzung des Dienstes berechnet. Weitere Informationen über die Preise finden Sie unter AWS Config – Preise. Weitere Informationen zur Verwaltung des Konfigurations-Recorders finden Sie unter Verwalten des Konfigurations-Recorders im Entwicklerhandbuch zu AWS Config .

Darüber hinaus werden die folgenden Aktionen empfohlen. Sie sind jedoch nicht erforderlich, um einen Ereignisdatenspeicher zu erstellen.

Richten Sie einen Amazon-S3-Bucket für den Empfang eines Konfigurations-Snapshots (auf Anfrage) und eines Konfigurationsverlaufs ein. Weitere Informationen zu Snapshots finden Sie unter Verwalten des Übermittlungskanals und Übermitteln eines Konfigurations-Snapshots an einen Amazon-S3-Bucket im Entwicklerhandbuch zu AWS Config .
Geben Sie die Regeln an, anhand derer Sie AWS Config die Konformitätsinformationen für die aufgezeichneten Ressourcentypen auswerten möchten. Einige der CloudTrail Lake-Beispielabfragen für AWS Config erfordern AWS-Config-Regeln die Bewertung des Konformitätsstatus Ihrer AWS Ressourcen. Weitere Informationen dazu finden Sie AWS-Config-Regeln unter Evaluierung von Ressourcen mit AWS-Config-Regeln im AWS Config Entwicklerhandbuch.

So erstellen Sie einen Ereignisdatenspeicher für Konfigurationselemente

Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.
Wählen Sie im Navigationsbereich unter Lake die Option Ereignisdatenspeicher aus.
Wählen Sie Ereignisdatenspeicher erstellen aus.
Geben Sie auf der Seite Konfigurieren eines Ereignisdatenspeichers in Allgemeine Angaben einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
Wählen Sie die Preisoption aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

Die folgenden Optionen sind verfügbar:
- Preisoption mit verlängerbarer Aufbewahrung für ein Jahr – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine erweiterte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
  - Standardaufbewahrungsdauer: 366 Tage.
  - Maximale Aufbewahrungsdauer: beträgt 3 653 Tage.
- Preisoption für die Aufbewahrung über sieben Jahre – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
  - Standardaufbewahrungsdauer: 2 557 Tage.
  - Maximale Aufbewahrungsdauer: beträgt 2 557 Tage.
Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die Preisoption mit siebenjähriger Aufbewahrungsdauer liegen.

CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb eventTime des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie eventTime älter als 90 Tage sind.
(Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie Eigene verwenden aus AWS KMS key. Wählen Sie „Neu“, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie „Bestehend“, um einen vorhandenen KMS Schlüssel zu verwenden. Geben Sie KMS unter Alias eingeben einen Alias im folgenden Format an alias/MyAliasName. Wenn Sie Ihren eigenen KMS Schlüssel verwenden, müssen Sie Ihre KMS Schlüsselrichtlinie so bearbeiten, dass CloudTrail Protokolle verschlüsselt und entschlüsselt werden können. Weitere Informationen finden Sie unterKonfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail. CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.

Wenn Sie Ihren eigenen KMS Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einem Schlüssel einen Ereignisdatenspeicher zugeordnet haben, kann der KMS KMS Schlüssel nicht mehr entfernt oder geändert werden.

Anmerkung
Um die AWS Key Management Service Verschlüsselung für den Datenspeicher eines Organisationsereignisses zu aktivieren, müssen Sie einen vorhandenen KMS Schlüssel für das Verwaltungskonto verwenden.
(Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie Aktivieren in Lake-Abfrageverbund. Mit Federation können Sie die mit dem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue Datenkatalog anzeigen und SQL Abfragen für die Ereignisdaten in Athena ausführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

Wählen Sie Aktivieren und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine bestehende IAM Rolle verwenden möchten. AWS Lake Formationverwendet diese Rolle, um die Berechtigungen für den Verbunddatenspeicher für Ereignisse zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die erforderlichen Mindestberechtigungen vorsieht.
2. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
3. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
(Optional) Im Bereich Tags können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen zur Verwendung von IAM Richtlinien zur Autorisierung des Zugriffs auf einen Ereignisdatenspeicher auf der Grundlage von Tags finden Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags Sie unter. Weitere Informationen darüber, wie Sie Tags verwenden können AWS, finden Sie unter Tagging Your AWS Resources User Guide unter Tagging AWS Resources User Guide.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Ereignisse auswählen die Option AWS -Ereignisse und dann Konfigurationselemente aus.
CloudTrail speichert die Datenspeicherressource für Ereignisse in der Region, in der Sie sie erstellen. Standardmäßig stammen die im Datenspeicher gesammelten Konfigurationselemente jedoch aus allen Regionen in Ihrem Konto, für die die Aufzeichnung aktiviert ist. Optional können Sie Include only the current region in my event data store (Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen) auswählen, um nur Konfigurationselemente einzubeziehen, die in der aktuellen Region erfasst werden. Wenn Sie diese Option nicht auswählen, enthält Ihr Ereignisdatenspeicher Konfigurationselemente aus allen Regionen, für die die Aufzeichnung aktiviert ist.
Damit Ihr Event-Datenspeicher Konfigurationselemente von allen Konten in einer AWS Organizations Organisation sammelt, wählen Sie Für alle Konten in meiner Organisation aktivieren aus. Sie müssen beim Verwaltungskonto oder beim Konto eines delegierten Administrators der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Konfigurationselemente für eine Organisation erfasst.
Wählen Sie Next (Weiter) aus, um Ihre Auswahl zu überprüfen.
Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie Ereignisdatenspeicher erstellen aus.
Der neue Ereignisdatenspeicher ist in der Tabelle Ereignisdatenspeicher auf der Seite Ereignisdatenspeicher sichtbar.

Konfigurationselemente werden ab diesem Zeitpunkt vom Ereignisdatenspeicher erfasst. Konfigurationselemente, die vor der Erstellung des Ereignisdatenspeichers aufgetreten sind, befinden sich nicht darin.

Beispielabfragen

Nun können Sie Abfragen in Ihrem neuen Ereignisdatenspeicher ausführen. Auf der Registerkarte Beispielabfragen in der CloudTrail Konsole finden Sie Beispielabfragen, um Ihnen den Einstieg zu erleichtern. Im Folgenden sind einige der Beispielabfragen aufgeführt, die Sie in Ihrem Ereignisdatenspeicher für Konfigurationselemente ausführen können.

Beschreibung	Abfrage
Finden Sie heraus, welcher Benutzer eine Aktion ausgeführt hat, die zu einem Status „Nicht konform“ geführt hat, indem Sie einen Ereignisdatenspeicher für ein Konfigurationselement mit einem CloudTrail Ereignisdatenspeicher verknüpfen.	SELECT element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId, element_at(config1.eventData.configuration, 'complianceType') as complianceType, config2.eventData.resourceType, cloudtrail.userIdentity FROM config_event_data_store_ID as config1 JOIN config_event_data_store_ID as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId JOIN cloudtrail_event_data_store_ID as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn WHERE element_at(config1.eventData.configuration, 'configRuleList') is not null AND element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT' AND cloudtrail.eventTime > '2022-11-14 00:00:00' AND config2.eventData.resourceType = 'AWS::DynamoDB::Table'
Finden Sie alle AWS Config Regeln und geben Sie den Konformitätsstatus anhand der am letzten Tag generierten Konfigurationselemente zurück.	SELECT eventData.configuration, eventData.accountId, eventData.awsRegion, eventData.resourceName, eventData.resourceCreationTime, element_at(eventData.configuration,'complianceType') AS complianceType, element_at(eventData.configuration, 'configRuleList') AS configRuleList, element_at(eventData.configuration, 'resourceId') AS resourceId, element_at(eventData.configuration, 'resourceType') AS resourceType FROM config_event_data_store_ID WHERE eventData.resourceType = 'AWS::Config::ResourceCompliance' AND eventTime > '2022-11-22 00:00:00' ORDER BY eventData.resourceCreationTime DESC limit 10
Finden Sie die Gesamtzahl der AWS Config Ressourcen, gruppiert nach Ressourcentyp, Konto-ID und Region.	`SELECT eventData.resourceType, eventData.awsRegion, eventData.accountId, COUNT (*) AS resourceCount FROM config_event_data_store_ID WHERE eventTime > '2022-11-22 00:00:00' GROUP BY eventData.resourceType, eventData.awsRegion, eventData.accountId`
Ermitteln Sie die Erstellungszeit der Ressourcen für alle AWS Config Konfigurationselemente, die an einem bestimmten Datum generiert wurden.	`SELECT eventData.configuration, eventData.accountId, eventData.awsRegion, eventData.resourceId, eventData.resourceName, eventData.resourceType, eventData.availabilityZone, eventData.resourceCreationTime FROM config_event_data_store_ID WHERE eventTime > '2022-11-16 00:00:00' AND eventTime < '2022-11-17 00:00:00' ORDER BY eventData.resourceCreationTime DESC limit 10;`

Weitere Informationen zum Erstellen und Bearbeiten von Abfragen finden Sie unter Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail .

Schema für Konfigurationselemente

In der folgenden Tabelle werden die erforderlichen und optionalen Schemaelemente beschrieben, die denen in den Aufzeichnungen der Konfigurationselemente entsprechen. Der Inhalt von eventData wird durch Ihre Konfigurationselemente bereitgestellt; andere Felder werden von CloudTrail nach der Aufnahme bereitgestellt.

CloudTrail Der Inhalt des Ereignisdatensatzes wird unter ausführlicher beschrieben. CloudTrail Inhalt aufzeichnen

Felder, die CloudTrail nach der Aufnahme bereitgestellt werden
Felder, die durch Ihre Ereignisse bereitgestellt werden

Felder, die von after ingestion bereitgestellt werden CloudTrail
Feldname	Eingabetyp	Anforderung	Beschreibung
eventVersion	Zeichenfolge	Erforderlich	Die Version des AWS Ereignisformats.
eventCategory	Zeichenfolge	Erforderlich	Die Kategorie des Ereignisses. Für Konfigurationselemente lautet der gültige Wert `ConfigurationItem`.
eventType	Zeichenfolge	Erforderlich	Der Ereignistyp. Für Konfigurationselemente lautet der gültige Wert `AwsConfigurationItem`.
eventID	Zeichenfolge	Erforderlich	Eine eindeutige ID für ein Ereignis.
eventTime	Zeichenfolge	Erforderlich	Der Zeitstempel des Ereignisses im `yyyy-MM-DDTHH:mm:ss` Format Universal Coordinated Time (UTC).
awsRegion	Zeichenfolge	Erforderlich	Der AWS-Region , dem ein Ereignis zugewiesen werden soll.
recipientAccountId	Zeichenfolge	Erforderlich	Stellt die AWS-Konto ID dar, die dieses Ereignis empfangen hat.
addendum	addendum	Optional	Zeigt Informationen dazu an, warum sich ein Ereignis verzögert hat. Wenn Informationen zu einem bestehenden Ereignis fehlten, enthält der Nachtragsblock die fehlenden Informationen und einen Grund für das Fehlen.

Die Felder in `eventData` werden durch Ihre Konfigurationselemente bereitgestellt.
Feldname	Eingabetyp	Anforderung	Beschreibung
eventData	-	Erforderlich	Die Felder in eventData werden von Ihren Konfigurationselementen bereitgestellt.
configurationItemVersion	Zeichenfolge	Optional	Die Version des Konfigurationselements aus der zugehörigen Quelle.
configurationItemCaptureZeit	Zeichenfolge	Optional	Die Uhrzeit, zu der die Konfigurationsaufzeichnung initiiert wurde.
configurationItemStatus	Zeichenfolge	Optional	Der Status des Konfigurationselements. Gültige Werte sind `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, `ResourceDeleted` und `ResourceDeletedNotRecorded`.
accountId	Zeichenfolge	Optional	Die 12-stellige AWS-Konto ID, die der Ressource zugeordnet ist.
resourceType	Zeichenfolge	Optional	Der Typ der AWS Ressource. Weitere Informationen zu gültigen Ressourcentypen finden Sie ConfigurationItemin der AWS Config APIReferenz.
resourceId	Zeichenfolge	Optional	Die ID der Ressource (z. B. sg-`xxxxxx`).
resourceName	Zeichenfolge	Optional	Der benutzerdefinierte Name der Ressource, sofern verfügbar.
arn	Zeichenfolge	Optional	Amazon-Ressourcenname (ARN), der der Ressource zugeordnet ist.
awsRegion	Zeichenfolge	Optional	Der AWS-Region Ort, an dem sich die Ressource befindet.
availabilityZone	Zeichenfolge	Optional	Die Availability Zone, die der Ressource zugeordnet ist.
resourceCreationTime	Zeichenfolge	Optional	Der Zeitstempel für die Erstellung der Ressource.
Konfiguration	JSON	Optional	Die Beschreibung der Ressourcenkonfiguration.
supplementaryConfiguration	JSON	Optional	Konfigurationsattribute, die für bestimmte Ressourcentypen AWS Config zurückgegeben werden, um die für den Konfigurationsparameter zurückgegebenen Informationen zu ergänzen.
relatedEvents	Zeichenfolge	Optional	Eine Liste von CloudTrail EreignissenIDs.
relationships	-	Optional	Eine Liste verwandter AWS Ressourcen.
Name	Zeichenfolge	Optional	Die Art der Beziehung mit der zugehörigen Ressource.
resourceType	Zeichenfolge	Optional	Der Ressourcentyp der zugehörigen Ressource.
resourceId	Zeichenfolge	Optional	Die ID der zugehörigen Ressource (zum Beispiel sg-`xxxxxx`).
resourceName	Zeichenfolge	Optional	Der benutzerdefinierte Name der zugehörigen Ressource, sofern verfügbar.
tags	JSON	Optional	Schlüssel-Wert-Tags, die der Ressource zugeordnet sind.

Das folgende Beispiel zeigt die Hierarchie von Schemaelementen, die denen in den Aufzeichnungen von Konfigurationselementen entsprechen.


{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen Sie einen Ereignisdatenspeicher für Insights-Ereignisse

Erstellen Sie einen Ereignisdatenspeicher für Ereignisse außerhalb von AWS