Crie um armazenamento de dados de eventos para itens de configuração com o console - AWS CloudTrail
LimitaçõesPré-requisitosPara criar um armazenamento de dados de eventos para itens de configuraçãoEsquema de item de configuração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um armazenamento de dados de eventos para itens de configuração com o console

É possível criar um armazenamento de dados de eventos para incluir itens de configuração do AWS Config e usar o armazenamento de dados de eventos para investigar alterações não compatíveis em seus ambientes de produção. Com um armazenamento de dados de eventos, é possível relacionar regras fora de conformidade a usuários e recursos associados às mudanças. Um item de configuração representa uma point-in-time visualização dos atributos de um AWS recurso compatível que existe em sua conta. AWS Config cria um item de configuração sempre que detecta uma alteração em um tipo de recurso que está gravando. AWS Config também cria itens de configuração quando um instantâneo de configuração é capturado.

Você pode usar ambos AWS Config e o CloudTrail Lake para executar consultas em seus itens de configuração. Você pode usar AWS Config para consultar o estado atual da configuração dos AWS recursos com base nas propriedades de configuração de uma única Conta da AWS conta e/ou de várias contas e regiões. Região da AWS Por outro lado, você pode usar o CloudTrail Lake para consultar diversas fontes de dados, como CloudTrail eventos, itens de configuração e avaliações de regras. CloudTrail As consultas do Lake abrangem todos os itens AWS Config de configuração, incluindo configuração de recursos e histórico de conformidade.

A criação de um armazenamento de dados de eventos para itens de configuração não afeta as consultas AWS Config avançadas existentes nem os AWS Config agregadores configurados. Você pode continuar executando consultas avançadas usando AWS Config e AWS Config entregando arquivos de histórico para seus buckets do S3.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

Limitações

As limitações a seguir são aplicáveis aos armazenamentos de dados de eventos para itens de configuração.

  • Não há compatibilidade com itens de configuração personalizados

  • Não há compatibilidade com filtragem de eventos usando seletores de eventos avançados

Pré-requisitos

Antes de criar seu armazenamento de dados de eventos, configure a AWS Config gravação para todas as suas contas e regiões. Você pode usar a Configuração Rápida, um recurso do AWS Systems Manager, para criar rapidamente um gravador de configuração alimentado por AWS Config.

nota

Você paga taxas de uso do serviço quando AWS Config inicia a gravação das configurações. Para obter mais informações sobre precificação, consulte Precificação do AWS Config. Para obter mais informações sobre como gerenciar o gravador de configuração, consulte Managing the Configuration Recorder (Gerenciar o gravador de configurações) no Guia do desenvolvedor do AWS Config .

Além disso, as seguintes ações são recomendadas, mas não são necessárias para criar um armazenamento de dados de eventos.

  • Configure um bucket do Amazon S3 para receber um snapshot de configuração mediante solicitação e o histórico de configuração. Para obter mais informações sobre snapshots, consulte Managing the Delivery Channel (Gerenciar o canal de entrega) e Delivering Configuration Snapshot to an Amazon S3 Bucket (Entrega de snapshot de configuração para um bucket do Amazon S3) no Guia do desenvolvedor do AWS Config .

  • Especifique as regras que você deseja usar AWS Config para avaliar as informações de conformidade dos tipos de recursos registrados. Vários exemplos de consultas do CloudTrail Lake AWS Config exigem Regras do AWS Config a avaliação do estado de conformidade de seus AWS recursos. Para obter mais informações sobre Regras do AWS Config, consulte Avaliação de recursos Regras do AWS Config no Guia do AWS Config desenvolvedor.

Para criar um armazenamento de dados de eventos para itens de configuração

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

  3. Selecione Create event data store (Criar armazenamento de dados de eventos).

  4. Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.

  5. Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

    As seguintes opções estão disponíveis:

    • Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.

      • Período de retenção padrão: 366 dias

      • Período máximo de retenção: 3.653 dias

    • Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.

      • Período de retenção padrão: 2.557 dias

      • Período máximo de retenção: 2.557 dias

  6. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.

    CloudTrail Lake determina se deve reter um evento verificando se o eventTime evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando forem mais antigos do que 90 dias. eventTime

  7. (Opcional) Para ativar o uso da criptografia AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha Novo para AWS KMS key criar uma para você ou escolha Existente para usar uma chave KMS existente. Em Inserir alias KMS, especifique um alias, no formato. alias/ MyAliasName Usar sua própria chave KMS exige que você edite sua política de chaves KMS para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

    Usar sua própria chave KMS gera AWS KMS custos de criptografia e descriptografia. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.

    nota

    Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma chave KMS existente para a conta de gerenciamento.

  8. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados de eventos no Catálogo de Dados do AWS Glue e execute consultas SQL nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para ter mais informações, consulte Federar um armazenamento de dados de eventos.

    Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

    1. Escolha se deseja criar um perfil ou usar um perfil do IAM existente. O AWS Lake Formation usa esse perfil para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

    2. Se você estiver criando um perfil, insira um nome para identificá-lo.

    3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

  9. (Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar políticas do IAM para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulte Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como você pode usar tags em AWS, consulte Como marcar seus AWS recursos no Guia do usuário de AWS recursos de marcação.

  10. Escolha Próximo.

  11. Na página Escolher eventos, escolha Eventos da AWS e, em seguida, Itens de configuração.

  12. CloudTrail armazena o recurso de armazenamento de dados de eventos na região em que você o criou, mas, por padrão, os itens de configuração coletados no armazenamento de dados são de todas as regiões da sua conta que têm a gravação ativada. Opcionalmente, selecione Include only the current region in my event data store (Incluir somente a região atual no armazenamento de dados do meu evento) para incluir somente itens de configuração que sejam capturados na região atual. Se você não escolher essa opção, o armazenamento de dados de eventos incluirá itens de configuração de todas as regiões que estejam com a gravação habilitada.

  13. Para que seu armazenamento de dados de eventos colete itens de configuração de todas as contas em uma AWS Organizations organização, selecione Habilitar para todas as contas em minha organização. É necessário estar conectado à conta de gerenciamento da organização ou à conta de administrador delegado para criar um armazenamento de dados de eventos que colete itens de configuração de uma organização.

  14. Selecione Next (Próximo) para revisar suas escolhas.

  15. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

  16. O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

    Deste ponto em diante, o armazenamento de dados de eventos capturará itens de configuração. Os itens de configuração que tenham ocorrido antes de você criar o armazenamento de dados de eventos não estarão no armazenamento de dados de eventos.

Consultas de exemplo

Agora, você pode executar consultas no novo armazenamento de dados de eventos. A guia Exemplos de consultas no CloudTrail console fornece exemplos de consultas para você começar. A seguir estão alguns exemplos de consultas que você pode executar em seu armazenamento de dados de eventos de itens de configuração.

Descrição Consulta
Descubra qual usuário executou uma ação que resultou em um status de não conformidade unindo um armazenamento de dados de eventos de item de configuração a um armazenamento de dados de CloudTrail eventos. 
SELECT
    element_at(config1.eventData.configuration, 'targetResourceId') as targetResourceId,
    element_at(config1.eventData.configuration, 'complianceType') as complianceType,
    config2.eventData.resourceType, cloudtrail.userIdentity
FROM
    config_event_data_store_ID  as config1
JOIN
    config_event_data_store_ID  as config2 on element_at(config1.eventData.configuration, 'targetResourceId') = config2.eventData.resourceId
JOIN
    cloudtrail_event_data_store_ID  as cloudtrail on config2.eventData.arn = element_at(cloudtrail.resources, 1).arn
WHERE
    element_at(config1.eventData.configuration, 'configRuleList') is not null
AND 
    element_at(config1.eventData.configuration, 'complianceType') = 'NON_COMPLIANT'
AND 
    cloudtrail.eventTime > '2022-11-14 00:00:00'
AND 
    config2.eventData.resourceType = 'AWS::DynamoDB::Table'
Encontre todas AWS Config as regras e retorne o estado de conformidade dos itens de configuração gerados no dia anterior. 
SELECT 
    eventData.configuration, eventData.accountId, eventData.awsRegion, 
    eventData.resourceName, eventData.resourceCreationTime, 
    element_at(eventData.configuration,'complianceType') AS complianceType, 
    element_at(eventData.configuration, 'configRuleList') AS configRuleList, 
    element_at(eventData.configuration, 'resourceId') AS resourceId, 
    element_at(eventData.configuration, 'resourceType') AS resourceType 
FROM 
    config_event_data_store_ID 
WHERE 
    eventData.resourceType = 'AWS::Config::ResourceCompliance' 
AND 
    eventTime > '2022-11-22 00:00:00' 
ORDER BY 
    eventData.resourceCreationTime 
DESC 
    limit 10
Encontre a contagem total de AWS Config recursos agrupados por tipo de recurso, ID da conta e região. 
SELECT 
    eventData.resourceType, eventData.awsRegion, eventData.accountId, 
COUNT (*) AS resourceCount 
FROM 
    config_event_data_store_ID 
WHERE 
    eventTime > '2022-11-22 00:00:00' 
GROUP BY 
    eventData.resourceType, eventData.awsRegion, eventData.accountId
Encontre o horário de criação do recurso para todos os itens de AWS Config configuração gerados em uma data específica. 
SELECT
    eventData.configuration, eventData.accountId, 
    eventData.awsRegion, eventData.resourceId, 
    eventData.resourceName, eventData.resourceType, 
    eventData.availabilityZone, eventData.resourceCreationTime
FROM 
    config_event_data_store_ID
WHERE 
    eventTime > '2022-11-16 00:00:00' 
AND 
    eventTime < '2022-11-17 00:00:00'  
ORDER BY 
    eventData.resourceCreationTime
DESC 
    limit 10;

Para obter mais informações sobre como criar e editar consultas, veja Crie ou edite uma consulta com o CloudTrail console.

Esquema de item de configuração

A tabela a seguir descreve os elementos obrigatórios e opcionais de esquema que correspondem aos elementos dos registros de itens de configuração. O conteúdo de eventData é fornecido por seus itens de configuração; outros campos são fornecidos CloudTrail após a ingestão.

CloudTrail o conteúdo do registro de eventos é descrito com mais detalhes emCloudTrail conteúdo do registro.

Campos fornecidos por CloudTrail após a ingestão
Nome do campo Tipo de entrada Requisito Descrição
eventVersion string Obrigatório

A versão do formato do AWS evento.
eventCategory string Obrigatório

A categoria do evento. Para itens de configuração, o valor válido é ConfigurationItem.
eventType string Obrigatório

O tipo de evento. Para itens de configuração, o valor válido é AwsConfigurationItem.
eventID string Obrigatório

Um ID exclusivo para um evento.
eventTime

string

 Obrigatório

O carimbo de data e hora do evento, em formato yyyy-MM-DDTHH:mm:ss, em Universal Coordinated Time (UTC – Tempo universal coordenado).
awsRegion string Obrigatório

O Região da AWS ao qual atribuir um evento.
recipientAccountId string Obrigatório

Representa o Conta da AWS ID que recebeu esse evento.
addendum

addendum

 Opcional

Mostra informações sobre o motivo de adiamento de um evento. Se as informações estiverem ausentes de um evento existente, o bloco de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes.
Os campos em eventData são fornecidos por seus itens de configuração
Nome do campo Tipo de entrada Requisito Descrição
eventData

-

 Obrigatório Os campos em eventData são fornecidos por seus itens de configuração.

  • configurationItemVersion

 string Opcional

A versão do item de configuração com base em sua origem.

  • configurationItemCaptureHora

 string Opcional

A hora em que a gravação da configuração foi iniciada.

  • configurationItemStatus

 string Opcional

O status do item de configuração. Os valores válidos são OK, ResourceDiscovered, ResourceNotRecorded, ResourceDeleted e ResourceDeletedNotRecorded.

  • accountId

 string Opcional

O Conta da AWS ID de 12 dígitos associado ao recurso.

  • resourceType

 string Opcional

O tipo de AWS recurso. Para obter mais informações sobre tipos de recursos válidos, consulte ConfigurationItema Referência AWS Config da API.

  • resourceId

 string Opcional

O ID do recurso (p. ex., sg-xxxxxx).

  • resourceName

 string Opcional

O nome personalizado do recurso, se disponível.

  • arn

 string Opcional

O nome do recurso da Amazon (ARN) associado ao recurso.

  • awsRegion

string

 Opcional

O Região da AWS local onde o recurso reside.

  • availabilityZone

string

 Opcional

A zona de disponibilidade associada ao recurso.

  • resourceCreationTime

string

 Opcional

O carimbo de data e hora de criação do recurso.

  • configuration

JSON

 Opcional

A descrição da configuração do recurso.

  • supplementaryConfiguration

JSON

 Opcional

Atributos de configuração que AWS Config retornam para determinados tipos de recursos para complementar as informações retornadas para o parâmetro de configuração.

  • relatedEvents

string

 Opcional

Uma lista de IDs de CloudTrail eventos.

  • relationships

 - Opcional

Uma lista de AWS recursos relacionados.

    • name

string

 Opcional

O tipo de relacionamento com o recurso relacionado.

    • resourceType

string

 Opcional

O tipo de recurso do recurso relacionado.

    • resourceId

string

 Opcional

O ID do recurso relacionado (p. ex., sg-xxxxxx).

    • resourceName

string

 Opcional

O nome personalizado do recurso relacionado, se disponível.

  • tags

JSON

 Opcional

Um mapeamento das tags de valor de chave associadas ao recurso.

O exemplo a seguir mostra a hierarquia dos elementos de esquema que correspondem aos dos registros de itens de configuração.

{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}