(Facoltativo) Calcolo di un valore di checksum

Crea un'integrazione personalizzata con la console

Puoi utilizzarli CloudTrail per registrare e archiviare i dati sulle attività degli utenti da qualsiasi fonte nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o contenitori. Esegui la prima metà di questa procedura nella console CloudTrail Lake, quindi chiamala per PutAuditEventsAPIimportare gli eventi, fornendo il payload del canale ARN e dell'evento. Dopo aver utilizzato il PutAuditEvents API per importare l'attività dell'applicazione CloudTrail, puoi utilizzare CloudTrail Lake per cercare, interrogare e analizzare i dati registrati dalle tue applicazioni.

Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo. https://console.aws.amazon.com/cloudtrail/
Dal pannello di navigazione, in Lake, scegli Integrazioni.
Nella pagina Add integration (Aggiungi integrazione), inserisci un nome per il tuo canale. Il nome può contenere da 3 a 128 caratteri. Sono consentiti soltanto lettere, numeri, punti, e caratteri di sottolineatura e trattini.
Scegli My custom integration (La mia integrazione personalizzata).
In Event delivery location (Luogo di distribuzione dell'evento), puoi scegliere se registrare gli stessi eventi delle attività negli archivi di dati degli eventi esistenti oppure creare un nuovo archivio di dati degli eventi.

Se scegli di creare un nuovo archivio di dati degli eventi, inserisci un nome per tale archivio e specifica il periodo di conservazione in giorni. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione Prezzo per la conservazione estendibile di un anno o di 2.557 giorni (circa 7 anni) se scegli l'opzione Prezzo per la conservazione di sette anni.

Se scegli di registrare gli eventi delle attività in uno o più archivi di dati degli eventi esistenti, scegli tali archivi dall'elenco. Gli archivi di dati degli eventi possono includere solo eventi delle attività. Il tipo di evento nella console deve essere Events from integrations (Eventi dalle integrazioni). NelAPI, il eventCategory valore deve essereActivityAuditLog.
In Resource policy (Policy delle risorse), configura la policy delle risorse per il canale dell'integrazione. Le JSON politiche relative alle risorse sono documenti politici che specificano quali azioni un determinato responsabile può eseguire sulla risorsa e in quali condizioni. Gli account definiti come responsabili nella politica delle risorse possono chiamarti PutAuditEvents API per fornire eventi al tuo canale.

Nota
Se non crei una politica delle risorse per il canale, solo il proprietario del canale può chiamarla PutAuditEvents API sul canale.
1. (Facoltativo) Inserisci un ID esterno univoco per aggiungere un ulteriore livello di protezione. L'ID esterno univoco è una stringa univoca, come un ID account o una stringa generata casualmente, che evita il problema "confused deputy".
  
  Nota
  Se la politica delle risorse include un ID esterno, tutte le chiamate a tale ID PutAuditEvents API devono includere l'ID esterno. Tuttavia, se la policy non definisce un ID esterno, è comunque possibile chiamare PutAuditEvents API e specificare un externalId parametro.
2. Scegli Aggiungi AWS account per specificare ogni ID di AWS account da aggiungere come principale nella politica delle risorse per il canale.
(Opzionale) Nella sezione Tags (Tag), è possibile aggiungere fino a 50 coppie di chiavi e valori di tag per aiutare a identificare, ordinare e controllare l'accesso al canale e all'archivio di dati degli eventi. Per ulteriori informazioni su come utilizzare IAM le policy per autorizzare l'accesso a un archivio dati di eventi basato sui tag, consultaEsempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag. Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Quando è tutto pronto per creare la nuova integrazione, scegli Add integration (Aggiungi integrazione). Non esiste una pagina di recensione. CloudTrail crea l'integrazione, ma per integrare i tuoi eventi personalizzati, devi specificare il canale ARN in una PutAuditEventsrichiesta.
Chiamali PutAuditEvents API per inserire CloudTrail i tuoi eventi di attività. Puoi aggiungere fino a 100 eventi delle attività (o fino a 1 MB) per ciascuna richiesta PutAuditEvents. Avrai bisogno del canale ARN che hai creato nei passaggi precedenti, del payload di eventi che desideri CloudTrail aggiungere e dell'ID esterno (se specificato nella tua politica sulle risorse). Assicurati che nel payload dell'evento non siano presenti informazioni sensibili o che consentano l'identificazione personale prima di inserirle. CloudTrail Gli eventi in cui immetti devono seguire il. CloudTrail CloudTrail Schema degli eventi di Lake Integrations

Suggerimento
AWS CloudShellUtilizzatelo per assicurarvi di utilizzare la versione più aggiornata AWS APIs.

Negli esempi seguenti viene illustrato come utilizzare il put-audit-events CLI comando. I parametri --audit-events e --channel-arn sono obbligatori. È necessario il ARN nome del canale creato nei passaggi precedenti, che è possibile copiare dalla pagina dei dettagli dell'integrazione. Il valore di --audit-events è una JSON serie di oggetti evento. --audit-eventsinclude un ID richiesto dall'evento, il payload richiesto dell'evento come valore di EventData e un checksum opzionale per aiutare a convalidare l'integrità dell'evento dopo l'ingestione in. CloudTrail
```
aws cloudtrail-data put-audit-events \
--region region \
--channel-arn $ChannelArn \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
Di seguito è riportato un comando di esempio con due esempi di eventi.
```
aws cloudtrail-data put-audit-events \
--region us-east-1 \
--channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
Il comando di esempio seguente aggiunge il --cli-input-json parametro per specificare un JSON file () custom-events.json del payload dell'evento.
```
aws cloudtrail-data put-audit-events \
--channel-arn $channelArn \
--cli-input-json file://custom-events.json \
--region us-east-1
```
Di seguito sono riportati i contenuti di esempio del JSON file di esempio,custom-events.json.
```
{
    "auditEvents": [
      {
        "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"
      }
   ]
}
```

(Facoltativo) Calcolo di un valore di checksum

Il checksum specificato come valore di EventDataChecksum una PutAuditEvents richiesta consente di verificare che CloudTrail riceva l'evento corrispondente al checksum e di verificare l'integrità degli eventi. Il valore di checksum è un SHA256 algoritmo base64 che si calcola eseguendo il comando seguente.


printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",
        \"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"}" \
 | openssl dgst -binary -sha256 | base64

Il comando restituisce il checksum. Di seguito è riportato un esempio.


EXAMPLEHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=

Il valore del checksum diventa il valore di EventDataChecksum nella richiesta PutAuditEvents. Se il checksum non corrisponde a quello dell'evento fornito, CloudTrail rifiuta l'evento con un errore. InvalidChecksum

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea un'integrazione con un CloudTrail partner tramite la console

Crea, aggiorna e gestisci le integrazioni di CloudTrail Lake con AWS CLI

Crea un'integrazione personalizzata con la console

Nota

Nota

Suggerimento

(Facoltativo) Calcolo di un valore di checksum