Cree un almacén de datos de eventos para los elementos de configuración con la consola - AWS CloudTrail
LimitacionesRequisitos previosPara crear un almacén de datos de eventos para elementos de configuraciónEsquema de los elementos de configuración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un almacén de datos de eventos para los elementos de configuración con la consola

Puede crear un almacén de datos de eventos para que incluya elementos de configuración de AWS Config y utilizarlo para investigar los cambios en los entornos de producción que no cumplen con los requisitos. Con un almacén de datos de eventos, puede relacionar las reglas que no cumplen los requisitos con los usuarios y los recursos asociados a los cambios. Un elemento de configuración representa una point-in-time vista de los atributos de un AWS recurso compatible que existe en su cuenta. AWS Config crea un elemento de configuración cada vez que detecta un cambio en un tipo de recurso que está registrando. AWS Config también crea elementos de configuración cuando se captura una instantánea de la configuración.

Puede usar ambos AWS Config y CloudTrail Lake para ejecutar consultas sobre los elementos de configuración. Se puede utilizar AWS Config para consultar el estado de configuración actual de AWS los recursos en función de las propiedades de configuración de una sola Cuenta de AWS cuenta o de varias cuentas y regiones. Región de AWS Por el contrario, puede usar CloudTrail Lake para consultar diversas fuentes de datos, como CloudTrail eventos, elementos de configuración y evaluaciones de reglas. CloudTrail Las consultas de Lake abarcan todos los elementos AWS Config de configuración, incluida la configuración de los recursos y el historial de conformidad.

La creación de un almacén de datos de eventos para los elementos de configuración no afecta a las consultas AWS Config avanzadas existentes ni a AWS Config los agregadores configurados. Puede seguir ejecutando consultas avanzadas utilizando AWS Config y enviando archivos AWS Config de historial a sus buckets de S3.

CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios yGestión de los costos de los CloudTrail lagos.

Limitaciones

A los almacenes de datos de eventos para elementos de configuración se aplican las siguientes limitaciones.

  • No admiten elementos de configuración personalizados.

  • No admiten el filtrado de eventos mediante el uso de selectores de eventos avanzados.

Requisitos previos

Antes de crear el almacén de datos de tus eventos, configura el AWS Config registro de todas tus cuentas y regiones. Puede utilizar Quick Setup, una función de AWS Systems Manager, para crear rápidamente una grabadora de configuración con tecnología AWS Config.

nota

Se le cobrarán tarifas de uso del servicio cuando AWS Config comience a grabar las configuraciones. Para obtener más información sobre los precios, consulte Precios de AWS Config. Para obtener información acerca de la administración del registrador de configuraciones, consulte Managing the Configuration Recorder (Administración del registrador de configuraciones) en la Guía para desarrolladores de AWS Config .

Además, se recomienda llevar a cabo las siguientes acciones, aunque no son obligatorias para crear un almacén de datos de eventos.

  • Configure un bucket de Amazon S3 para recibir una instantánea de configuración a solicitud y el historial de configuración. Para obtener más información acerca de las instantáneas, consulte Managing the Delivery Channel (Administrar el canal de entrega) y Delivering Configuration Snapshot to an Amazon S3 Bucket (Entrega de instantáneas de configuración a un bucket de Amazon S3) en la Guía para desarrolladores de AWS Config .

  • Especifique las reglas que desee utilizar AWS Config para evaluar la información de conformidad de los tipos de recursos registrados. Varios de los ejemplos de consultas de CloudTrail Lake AWS Config requieren Reglas de AWS Config evaluar el estado de cumplimiento de sus AWS recursos. Para obtener más información Reglas de AWS Config, consulte Cómo evaluar los recursos Reglas de AWS Config en la Guía para AWS Config desarrolladores.

Para crear un almacén de datos de eventos para elementos de configuración

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configure event data store (Configurar el almacén de datos de eventos), en General details (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Una vez transcurridos 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

  7. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, selecciona Usar el mío AWS KMS key. Elija Nuevo para que se AWS KMS key cree una para usted, o bien elija Existente para usar una clave KMS existente. En Introducir un alias de KMS, especifique un alias en el formato alias/ MyAliasName. El uso de su propia clave de KMS requiere que edite la política de claves de KMS para permitir el cifrado y el descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. AWS Lake Formation utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En la sección Tags (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

  10. Elija Siguiente.

  11. En la página Elegir eventos, elija Eventos de AWS y, a continuación, Elementos de configuración.

  12. CloudTrail almacena el recurso del almacén de datos de eventos en la región en la que lo creó, pero de forma predeterminada, los elementos de configuración recopilados en el banco de datos provienen de todas las regiones de su cuenta que tienen el registro activado. De forma opcional, puede seleccionar Include only the current region in my event data store (Incluir solo la región actual en el almacén de datos de eventos) para incluir solo los elementos de configuración capturados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá elementos de configuración de todas las regiones que tengan habilitado el registro.

  13. Para que el almacén de datos de eventos recopile los elementos de configuración de todas las cuentas de una AWS Organizations organización, seleccione Activar para todas las cuentas de mi organización. Para crear un almacén de datos de eventos que recopile elementos de configuración para una organización, es necesario haber iniciado sesión con la cuenta de administración o la cuenta de administrador delegado de la organización.

  14. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  15. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  16. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos capturará los elementos de configuración. Aquellos que se generaron antes de crear el almacén de datos de eventos no estarán en él.

Consultas de ejemplo

Ahora puede ejecutar consultas en su nuevo almacén de datos de eventos. La pestaña Consultas de muestra de la CloudTrail consola proporciona consultas de ejemplo para empezar. A continuación, se muestran algunos ejemplos de consultas que puede ejecutar en el almacén de datos de eventos de elementos de configuración.

Descripción Consultar
Busque qué usuario realizó una acción que dio lugar a un estado de incumplimiento uniendo el almacén de datos de eventos de un elemento de configuración a un almacén de datos de CloudTrail eventos. 
SELECT
    element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId,
    element_at(config1.eventData.configuration, 'complianceType') as complianceType,
    config2.eventData.resourceType, cloudtrail.userIdentity
FROM
    config_event_data_store_ID  as config1
JOIN
    config_event_data_store_ID  as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId
JOIN
    cloudtrail_event_data_store_ID  as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn
WHERE
    element_at(config1.eventData.configuration, 'configRuleList') is not null
AND 
    element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT'
AND 
    cloudtrail.eventTime > '2022-11-14 00:00:00'
AND 
    config2.eventData.resourceType = 'AWS::DynamoDB::Table'
Busque todas AWS Config las reglas y devuelva el estado de conformidad de los elementos de configuración generados el día anterior. 
SELECT 
    eventData.configuration, eventData.accountId, eventData.awsRegion, 
    eventData.resourceName, eventData.resourceCreationTime, 
    element_at(eventData.configuration,'complianceType') AS complianceType, 
    element_at(eventData.configuration, 'configRuleList') AS configRuleList, 
    element_at(eventData.configuration, 'resourceId') AS resourceId, 
    element_at(eventData.configuration, 'resourceType') AS resourceType 
FROM 
    config_event_data_store_ID 
WHERE 
    eventData.resourceType = 'AWS::Config::ResourceCompliance' 
AND 
    eventTime > '2022-11-22 00:00:00' 
ORDER BY 
    eventData.resourceCreationTime 
DESC 
    limit 10
Encuentre el recuento total de AWS Config recursos agrupado por tipo de recurso, identificador de cuenta y región. 
SELECT 
    eventData.resourceType, eventData.awsRegion, eventData.accountId, 
COUNT (*) AS resourceCount 
FROM 
    config_event_data_store_ID 
WHERE 
    eventTime > '2022-11-22 00:00:00' 
GROUP BY 
    eventData.resourceType, eventData.awsRegion, eventData.accountId
Encuentre la hora de creación de los recursos para todos los elementos de AWS Config configuración generados en una fecha específica. 
SELECT
    eventData.configuration, eventData.accountId, 
    eventData.awsRegion, eventData.resourceId, 
    eventData.resourceName, eventData.resourceType, 
    eventData.availabilityZone, eventData.resourceCreationTime
FROM 
    config_event_data_store_ID
WHERE 
    eventTime > '2022-11-16 00:00:00' 
AND 
    eventTime < '2022-11-17 00:00:00'  
ORDER BY 
    eventData.resourceCreationTime
DESC 
    limit 10;

Para obtener más información acerca de la creación y la edición de consultas, consulte Cree o edite una consulta con la consola CloudTrail .

Esquema de los elementos de configuración

En la siguiente tabla, se describen los elementos del esquema obligatorios y opcionales que coinciden con los de los registros de elementos de configuración. El contenido de lo eventData proporcionan los elementos de configuración; el resto de los campos se proporcionan CloudTrail después de la ingesta.

CloudTrail el contenido del registro de eventos se describe con más detalle enCloudTrail contenido del registro.

Campos proporcionados por CloudTrail After Ingestion
Nombre del campo Tipo de entrada Requisito Descripción
eventVersion cadena Obligatoria

La versión del formato del AWS evento.
eventCategory cadena Obligatoria

La categoría del evento. Para los elementos de configuración, el valor válido es ConfigurationItem.
eventType cadena Obligatoria

Tipo de evento. Para los elementos de configuración, el valor válido es AwsConfigurationItem.
eventID cadena Obligatoria

El ID único de un evento.
eventTime

cadena

 Obligatoria

La marca de tiempo del evento, en formato yyyy-MM-DDTHH:mm:ss, en Hora Universal Coordinada (UTC).
awsRegion cadena Obligatoria

La Región de AWS a la que se va a asignar un evento.
recipientAccountId cadena Obligatoria

Representa el Cuenta de AWS identificador que recibió este evento.
addendum

addendum

 Opcional

Muestra información sobre el motivo por el cual se retrasó un evento. Si falta información de un evento existente, el bloque addendum incluye la información que falta y el motivo por el cual aquella falta.
Los elementos de configuración proporcionan los campos de eventData
Nombre del campo Tipo de entrada Requisito Descripción
eventData

-

 Obligatoria Los elementos de configuración proporcionan los campos de eventData.

  • configurationItemVersion

 cadena Opcional

La versión del elemento de configuración desde su origen.

  • configurationItemCaptureHora

 cadena Opcional

La hora en que se inició el registro de configuración.

  • configurationItemStatus

 cadena Opcional

El estado del elemento de configuración. Los valores válidos son OK, ResourceDiscovered, ResourceNotRecorded, ResourceDeleted y ResourceDeletedNotRecorded.

  • accountId

 cadena Opcional

El Cuenta de AWS identificador de 12 dígitos asociado al recurso.

  • resourceType

 cadena Opcional

El tipo de AWS recurso. Para obtener más información sobre los tipos de recursos válidos, consulta ConfigurationItemla referencia de la AWS Config API.

  • resourceId

 cadena Opcional

El ID del recurso (por ejemplo, sg-xxxxxx).

  • resourceName

 cadena Opcional

El nombre personalizado del recurso, si está disponible.

  • arn

 cadena Opcional

El Nombre de recurso de Amazon (ARN) asociado al recurso.

  • awsRegion

cadena

 Opcional

El Región de AWS lugar donde reside el recurso.

  • availabilityZone

cadena

 Opcional

La zona de disponibilidad asociada al recurso.

  • resourceCreationTime

cadena

 Opcional

La marca de tiempo en la que se creó el recurso.

  • configuración

JSON

 Opcional

La descripción de la configuración del recurso.

  • supplementaryConfiguration

JSON

 Opcional

Atributos de configuración que se AWS Config devuelven para determinados tipos de recursos para complementar la información devuelta para el parámetro de configuración.

  • relatedEvents

cadena

 Opcional

Una lista de identificadores de CloudTrail eventos.

  • relationships

 - Opcional

Una lista de AWS recursos relacionados.

    • name

cadena

 Opcional

El tipo de relación con el recurso relacionado.

    • resourceType

cadena

 Opcional

El tipo del recurso relacionado.

    • resourceId

cadena

 Opcional

El ID del recurso relacionado (por ejemplo, sg-xxxxxx).

    • resourceName

cadena

 Opcional

El nombre personalizado del recurso relacionado, si está disponible.

  • etiquetas

JSON

 Opcional

Una asignación de las etiquetas de valores de claves asociadas con el recurso.

En el siguiente ejemplo, se muestra la jerarquía de los elementos de esquema que coinciden con los de los registros de elementos de configuración.

{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}