Batasan Prasyarat Untuk membuat penyimpanan data acara untuk item konfigurasi Skema item konfigurasi

Buat penyimpanan data acara untuk item konfigurasi dengan konsol

Anda dapat membuat penyimpanan data peristiwa untuk menyertakan item AWS Config konfigurasi, dan menggunakan penyimpanan data peristiwa untuk menyelidiki perubahan yang tidak sesuai pada lingkungan produksi Anda. Dengan penyimpanan data acara, Anda dapat menghubungkan aturan yang tidak sesuai dengan pengguna dan sumber daya yang terkait dengan perubahan. Item konfigurasi mewakili point-in-time tampilan atribut AWS sumber daya yang didukung yang ada di akun Anda. AWS Config membuat item konfigurasi setiap kali mendeteksi perubahan pada jenis sumber daya yang direkam. AWS Config juga membuat item konfigurasi saat snapshot konfigurasi ditangkap.

Anda dapat menggunakan keduanya AWS Config dan CloudTrail Lake untuk menjalankan kueri terhadap item konfigurasi Anda. Anda dapat menggunakan AWS Config untuk menanyakan status konfigurasi sumber AWS daya saat ini berdasarkan properti konfigurasi untuk satu Akun AWS dan Wilayah AWS, atau di beberapa akun dan Wilayah. Sebaliknya, Anda dapat menggunakan CloudTrail Lake untuk melakukan kueri di berbagai sumber data seperti CloudTrail peristiwa, item konfigurasi, dan evaluasi aturan. CloudTrail Kueri danau mencakup semua item AWS Config konfigurasi termasuk konfigurasi sumber daya dan riwayat kepatuhan.

Membuat penyimpanan data peristiwa untuk item konfigurasi tidak memengaruhi kueri AWS Config lanjutan yang ada, atau AWS Config agregator yang dikonfigurasi. Anda dapat terus menjalankan kueri lanjutan menggunakan AWS Config, dan AWS Config terus mengirimkan file riwayat ke bucket S3 Anda.

CloudTrail Penyimpanan data acara danau dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Danau, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Batasan

Batasan berikut berlaku untuk penyimpanan data acara untuk item konfigurasi.

Tidak ada dukungan untuk item konfigurasi khusus
Tidak ada dukungan untuk pemfilteran acara menggunakan pemilih acara tingkat lanjut

Prasyarat

Sebelum Anda membuat penyimpanan data acara, siapkan AWS Config rekaman untuk semua akun dan Wilayah Anda. Anda dapat menggunakan Pengaturan Cepat, kemampuan AWS Systems Manager, untuk dengan cepat membuat perekam konfigurasi yang didukung oleh AWS Config.

catatan

Anda dikenakan biaya penggunaan layanan saat AWS Config mulai merekam konfigurasi. Untuk informasi selengkapnya tentang harga, lihat AWS Config Harga. Untuk informasi tentang mengelola perekam konfigurasi, lihat Mengelola Perekam Konfigurasi di Panduan AWS Config Pengembang.

Selain itu, tindakan berikut direkomendasikan, tetapi tidak diperlukan untuk membuat penyimpanan data acara.

Siapkan bucket Amazon S3 untuk menerima snapshot konfigurasi berdasarkan permintaan dan riwayat konfigurasi. Untuk informasi selengkapnya tentang snapshot, lihat Mengelola Saluran Pengiriman dan Mengirimkan Snapshot Konfigurasi ke Bucket Amazon S3 di AWS Config Panduan Pengembang.
Tentukan aturan yang ingin Anda gunakan AWS Config untuk mengevaluasi informasi kepatuhan untuk jenis sumber daya yang direkam. Beberapa pertanyaan sampel CloudTrail Danau AWS Config diperlukan Aturan AWS Config untuk mengevaluasi status kepatuhan AWS sumber daya Anda. Untuk informasi selengkapnya Aturan AWS Config, lihat Mengevaluasi Sumber Daya dengan Aturan AWS Config di Panduan AWS Config Pengembang.

Untuk membuat penyimpanan data acara untuk item konfigurasi

Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.
Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.
Pilih Buat penyimpanan data acara.
Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.
Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Berikut ini adalah opsi yang tersedia:
- Harga retensi yang dapat diperpanjang satu tahun - Umumnya direkomendasikan jika Anda mengharapkan untuk menelan kurang dari 25 TB data acara per bulan dan menginginkan periode retensi yang fleksibel hingga 10 tahun. Untuk 366 hari pertama (periode retensi default), penyimpanan disertakan tanpa biaya tambahan dengan harga konsumsi. Setelah 366 hari, retensi diperpanjang tersedia dengan pay-as-you-go harga. Ini adalah pilihan default.
  - Periode retensi default: 366 hari
  - Periode retensi maksimum: 3,653 hari
- Harga retensi tujuh tahun - Direkomendasikan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 7 tahun. Retensi disertakan dengan harga konsumsi tanpa biaya tambahan.
  - Periode retensi default: 2,557 hari
  - Periode retensi maksimum: 2.557 hari
Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.
(Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan kunci KMS yang ada. Di Masukkan alias KMS, tentukan alias, dalam format. alias/ MyAliasName Menggunakan kunci KMS Anda sendiri mengharuskan Anda mengedit kebijakan kunci KMS Anda untuk memungkinkan CloudTrail log dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

Menggunakan kunci KMS Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah.

catatan
Untuk mengaktifkan AWS Key Management Service enkripsi untuk penyimpanan data acara organisasi, Anda harus menggunakan kunci KMS yang ada untuk akun manajemen.
(Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan kueri SQL terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:
1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran IAM yang sudah ada. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.
2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.
3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.
(Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihat. Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Sumber AWS Daya Penandaan.
Pilih Selanjutnya.
Pada halaman Pilih acara, pilih AWS acara, lalu pilih item Konfigurasi.
CloudTrail menyimpan sumber daya penyimpanan data peristiwa di Wilayah tempat Anda membuatnya, tetapi secara default, item konfigurasi yang dikumpulkan di penyimpanan data berasal dari semua Wilayah di akun Anda yang telah mengaktifkan rekaman. Secara opsional, Anda dapat memilih Sertakan hanya wilayah saat ini di penyimpanan data acara saya untuk menyertakan hanya item konfigurasi yang ditangkap di Wilayah saat ini. Jika Anda tidak memilih opsi ini, penyimpanan data acara Anda menyertakan item konfigurasi dari semua Wilayah yang telah mengaktifkan perekaman.
Agar penyimpanan data acara Anda mengumpulkan item konfigurasi dari semua akun di AWS Organizations organisasi, pilih Aktifkan untuk semua akun di organisasi saya. Anda harus masuk ke akun manajemen atau akun administrator yang didelegasikan agar organisasi dapat membuat penyimpanan data peristiwa yang mengumpulkan item konfigurasi untuk organisasi.
Pilih Berikutnya untuk meninjau pilihan Anda.
Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.
Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

Dari titik ini ke depan, penyimpanan data acara menangkap item konfigurasi. Item konfigurasi yang terjadi sebelum Anda membuat penyimpanan data acara tidak ada di penyimpanan data acara.

Kueri Sampel

Anda sekarang dapat menjalankan kueri di penyimpanan data acara baru Anda. Tab Contoh kueri di CloudTrail konsol menyediakan contoh kueri untuk memulai. Berikut ini adalah beberapa contoh kueri yang dapat Anda jalankan terhadap penyimpanan data peristiwa item konfigurasi Anda.

Deskripsi	Kueri
Temukan pengguna mana yang melakukan tindakan yang menghasilkan status tidak sesuai dengan menggabungkan penyimpanan data peristiwa item konfigurasi dengan penyimpanan data CloudTrail peristiwa.	SELECT element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId, element_at(config1.eventData.configuration, 'complianceType') as complianceType, config2.eventData.resourceType, cloudtrail.userIdentity FROM config_event_data_store_ID as config1 JOIN config_event_data_store_ID as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId JOIN cloudtrail_event_data_store_ID as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn WHERE element_at(config1.eventData.configuration, 'configRuleList') is not null AND element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT' AND cloudtrail.eventTime > '2022-11-14 00:00:00' AND config2.eventData.resourceType = 'AWS::DynamoDB::Table'
Temukan semua AWS Config aturan dan kembalikan status kepatuhan dari item konfigurasi yang dihasilkan dalam satu hari terakhir.	SELECT eventData.configuration, eventData.accountId, eventData.awsRegion, eventData.resourceName, eventData.resourceCreationTime, element_at(eventData.configuration,'complianceType') AS complianceType, element_at(eventData.configuration, 'configRuleList') AS configRuleList, element_at(eventData.configuration, 'resourceId') AS resourceId, element_at(eventData.configuration, 'resourceType') AS resourceType FROM config_event_data_store_ID WHERE eventData.resourceType = 'AWS::Config::ResourceCompliance' AND eventTime > '2022-11-22 00:00:00' ORDER BY eventData.resourceCreationTime DESC limit 10
Temukan jumlah total AWS Config sumber daya yang dikelompokkan berdasarkan jenis sumber daya, ID akun, dan Wilayah.	`SELECT eventData.resourceType, eventData.awsRegion, eventData.accountId, COUNT (*) AS resourceCount FROM config_event_data_store_ID WHERE eventTime > '2022-11-22 00:00:00' GROUP BY eventData.resourceType, eventData.awsRegion, eventData.accountId`
Temukan waktu pembuatan sumber daya untuk semua item AWS Config konfigurasi yang dihasilkan pada tanggal tertentu.	`SELECT eventData.configuration, eventData.accountId, eventData.awsRegion, eventData.resourceId, eventData.resourceName, eventData.resourceType, eventData.availabilityZone, eventData.resourceCreationTime FROM config_event_data_store_ID WHERE eventTime > '2022-11-16 00:00:00' AND eventTime < '2022-11-17 00:00:00' ORDER BY eventData.resourceCreationTime DESC limit 10;`

Untuk informasi selengkapnya tentang membuat dan mengedit kueri, lihatMembuat atau mengedit kueri dengan CloudTrail konsol.

Skema item konfigurasi

Tabel berikut menjelaskan elemen skema wajib dan opsional yang cocok dengan yang ada dalam catatan item konfigurasi. Isi eventData disediakan oleh item konfigurasi Anda; bidang lain disediakan oleh CloudTrail setelah konsumsi.

CloudTrail isi catatan acara dijelaskan secara lebih rinci dalamCloudTrail isi rekam.

Bidang yang disediakan oleh CloudTrail setelah konsumsi
Bidang yang disediakan oleh acara Anda

Bidang yang disediakan oleh CloudTrail setelah konsumsi
Nama bidang	Jenis masukan	Persyaratan	Deskripsi
eventVersion	string	Diperlukan	Versi format AWS acara.
EventKategori	string	Diperlukan	Kategori acara. Untuk item konfigurasi, nilai yang valid adalah`ConfigurationItem`.
eventType	string	Diperlukan	Jenis peristiwa. Untuk item konfigurasi, nilai yang valid adalah`AwsConfigurationItem`.
EventID	string	Diperlukan	ID unik untuk suatu acara.
eventTime	string	Diperlukan	Stempel waktu acara, dalam `yyyy-MM-DDTHH:mm:ss` format, dalam Waktu Terkoordinasi Universal (UTC).
awsRegion	string	Diperlukan	Tempat Wilayah AWS untuk menetapkan suatu acara.
recipientAccountId	string	Diperlukan	Merupakan Akun AWS ID yang menerima acara ini.
addendum	addendum	Opsional	Menampilkan informasi tentang mengapa suatu acara ditunda. Jika informasi hilang dari peristiwa yang ada, blok addendum mencakup informasi yang hilang dan alasan mengapa itu hilang.

`eventData`Bidang di disediakan oleh item konfigurasi Anda
Nama bidang	Jenis masukan	Persyaratan	Deskripsi
EventData	-	Diperlukan	Bidang di EventData disediakan oleh item konfigurasi Anda.
configurationItemVersion	string	Opsional	Versi item konfigurasi dari sumbernya.
configurationItemCaptureWaktu	string	Opsional	Waktu ketika perekaman konfigurasi dimulai.
configurationItemStatus	string	Opsional	Status item konfigurasi. Nilai yang valid adalah `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, `ResourceDeleted`, dan `ResourceDeletedNotRecorded`.
accountId	string	Opsional	Akun AWS ID 12 digit yang terkait dengan sumber daya.
resourceType	string	Opsional	Jenis sumber AWS daya. Untuk informasi selengkapnya tentang jenis sumber daya yang valid, lihat ConfigurationItemdi Referensi AWS Config API.
resourceId	string	Opsional	ID sumber daya (misalnya., sg- `xxxxxx`).
ResourceName	string	Opsional	Nama kustom sumber daya, jika tersedia.
arn	string	Opsional	Nama Sumber Daya Amazon (ARN) yang terkait dengan sumber daya.
awsRegion	string	Opsional	Di Wilayah AWS mana sumber daya berada.
availabilityZone	string	Opsional	Availability Zone yang terkait dengan sumber daya.
resourceCreationTime	string	Opsional	Cap waktu saat sumber daya dibuat.
konfigurasi	JSON	Opsional	Deskripsi konfigurasi sumber daya.
SuplementaryConfiguration	JSON	Opsional	Atribut konfigurasi yang AWS Config mengembalikan jenis sumber daya tertentu untuk melengkapi informasi yang dikembalikan untuk parameter konfigurasi.
RelateDevents	string	Opsional	Daftar ID CloudTrail acara.
hubungan	-	Opsional	Daftar sumber AWS daya terkait.
name	string	Opsional	Jenis hubungan dengan sumber daya terkait.
resourceType	string	Opsional	Jenis sumber daya dari sumber daya terkait.
resourceId	string	Opsional	ID sumber daya terkait (misalnya, sg- `xxxxxx`).
ResourceName	string	Opsional	Nama kustom sumber daya terkait, jika tersedia.
tag	JSON	Opsional	Pemetaan tag nilai kunci yang terkait dengan sumber daya.

Contoh berikut menunjukkan hierarki elemen skema yang cocok dengan yang ada dalam catatan item konfigurasi.


{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat penyimpanan data acara untuk acara Insights

Buat penyimpanan data acara untuk acara di luar AWS