Aviso de fim do suporte: em 20 de maio de 2026, AWS encerrará o suporte para AWS IoT Events. Depois de 20 de maio de 2026, você não poderá mais acessar o AWS IoT Events console ou os AWS IoT Events recursos. Para obter mais informações, consulte [AWS IoT Events Fim do suporte](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS IoT Events
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam AWS IoT Events, consulte [AWS serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.
Esta documentação ajudará você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS IoT Events. Os tópicos a seguir mostram como configurar para atender AWS IoT Events aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que podem ajudá-lo a monitorar e proteger seus AWS IoT Events recursos.
**Topics**
+ [Gerenciamento de identidade e acesso para AWS IoT Events](security-iam.md)
+ [Monitoramento AWS IoT Events para manter a confiabilidade, a disponibilidade e o desempenho](monitoring_overview.md)
+ [Validação de conformidade para AWS IoT Events](iotevents-compliance.md)
+ [Resiliência em AWS IoT Events](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura em AWS IoT Events](infrastructure-security.md)
# Gerenciamento de identidade e acesso para AWS IoT Events
AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS IoT Events os recursos. O IAM é um AWS serviço que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](security_iam_authentication.md)
+ [Gerenciar o acesso usando políticas](security_iam_access-manage.md)
+ [Mais sobre gerenciamento de identidade e acesso](#security_iam_learn-more)
+ [Como AWS IoT Events funciona com o IAM](#security_iam_service-with-iam)
+ [AWS IoT Events exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Prevenção confusa de delegados entre serviços para AWS IoT Events](cross-service-confused-deputy-prevention.md)
+ [Solucionar problemas de AWS IoT Events identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solucionar problemas de AWS IoT Events identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS IoT Events funciona com o IAM](#security_iam_service-with-iam))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [AWS IoT Events exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
# Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
## Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
## Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
## Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
## Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
## Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
## Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
## Mais sobre gerenciamento de identidade e acesso
Para obter mais informações sobre gerenciamento de identidade e acesso para AWS IoT Events, continue nas seguintes páginas:
+ [Como AWS IoT Events funciona com o IAM](#security_iam_service-with-iam)
+ [Solucionar problemas de AWS IoT Events identidade e acesso](security_iam_troubleshoot.md)
## Como AWS IoT Events funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS IoT Events, você deve entender quais recursos do IAM estão disponíveis para uso AWS IoT Events. Para ter uma visão de alto nível de como AWS IoT Events e outros AWS serviços funcionam com o IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [AWS IoT Events políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)
+ [AWS IoT Events políticas baseadas em recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em AWS IoT Events tags](#security_iam_service-with-iam-tags)
+ [AWS IoT Events Funções do IAM](#security_iam_service-with-iam-roles)
### AWS IoT Events políticas baseadas em identidade
Com as políticas baseadas em identidade do IAM, é possível especificar ações permitidas ou negadas e recursos, bem como as condições sob as quais as ações são permitidas ou negadas. O AWS IoT Events oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
#### Ações
O elemento `Action` de uma política baseada em identidade do IAM descreve a ação ou ações específicas que serão permitidas ou negadas pela política. As ações de política geralmente têm o mesmo nome da operação de AWS API associada. A ação é usada em uma política para conceder permissões para executar a operação associada.
As ações políticas AWS IoT Events usam o seguinte prefixo antes da ação:`iotevents:`. Por exemplo, para conceder permissão a alguém para criar uma AWS IoT Events entrada com a operação da AWS IoT Events `CreateInput` API, você inclui a `iotevents:CreateInput` ação na política dessa pessoa. Para conceder permissão a alguém para enviar uma entrada com a operação da AWS IoT Events `BatchPutMessage` API, você inclui a `iotevents-data:BatchPutMessage` ação na política dessa pessoa. As declarações de política devem incluir um `NotAction` elemento `Action` ou. AWS IoT Events define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"iotevents:action1",
"iotevents:action2"
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "iotevents:Describe*"
```
Para ver uma lista de AWS IoT Events ações, consulte [Ações definidas por AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions) no *Guia do usuário do IAM*.
#### Recursos
O elemento `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento `Resource` ou um elemento `NotResource`. Você especifica um recurso usando um ARN ou usando o caractere curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
O recurso do modelo do AWS IoT Events detector tem o seguinte ARN:
```
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
```
Para obter mais informações sobre o formato de ARNs, consulte [Identificar AWS recursos com nomes de recursos da Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Por exemplo, para especificar modelo de detector `Foobar` na sua declaração, use o seguinte ARN:
```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
```
Para especificar todas as instâncias que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
```
Algumas AWS IoT Events ações, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Algumas ações AWS IoT Events da API envolvem vários recursos. Por exemplo, `CreateDetectorModel` faz referência às entradas em suas declarações de condição, portanto, um usuário deve ter permissões para usar a entrada e o modelo do detector. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
```
Para ver uma lista dos tipos de AWS IoT Events recursos e seus ARNs, consulte [Resources Defined by AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-resources-for-iam-policies) no *Guia do usuário do IAM*. Para saber com quais ações é possível especificar o ARN de cada recurso, consulte [Ações definidas pelo AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions).
#### Chaves de condição
O elemento `Condition` (ou *bloco* `Condition`) permite que você especifique condições nas quais uma instrução estiver em vigor. O elemento `Condition` é opcional. É possível criar expressões condicionais que usam [operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como "igual a" ou "menor que", para fazer a condição da política corresponder aos valores na solicitação.
Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma `OR` operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, você pode conceder uma permissão de usuário para acessar um recurso somente se ela estiver marcado com seu nome de usuário. Para obter mais informações, consulte [Elementos de política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
AWS IoT Events não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.”
#### Exemplos
Para ver exemplos de políticas AWS IoT Events baseadas em identidade, consulte. [AWS IoT Events exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
### AWS IoT Events políticas baseadas em recursos
AWS IoT Events não oferece suporte a políticas baseadas em recursos.” Para visualizar um exemplo de uma política baseada em recurso detalhada, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
### Autorização baseada em AWS IoT Events tags
Você pode anexar tags a AWS IoT Events recursos ou passar tags em uma solicitação para AWS IoT Events. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `iotevents:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre recursos de marcação do AWS IoT Events , consulte [Marcando seus recursos AWS IoT Events](tagging-iotevents.md).
Para visualizar um exemplo de política baseada em identidade que visa limitar o acesso a um recurso baseado nas tags desse recurso, consulte [Exibir AWS IoT Events entradas com base em tags](security_iam_id-based-policy-examples-view-input-tags.md).
### AWS IoT Events Funções do IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua Conta da AWS que tem permissões específicas.
#### Usando credenciais temporárias com AWS IoT Events
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando AWS Security Token Service (AWS STS) operações de API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT Events não suporta o uso de credenciais temporárias.
#### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
AWS IoT Events não oferece suporte a funções vinculadas a serviços.
#### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
AWS IoT Events suporta funções de serviço.
# AWS IoT Events exemplos de políticas baseadas em identidade
Por padrão, usuários e funções não têm permissão para criar ou modificar AWS IoT Events recursos. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM utilizando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](security_iam_service-with-iam-policy-best-practices.md)
+ [Usando o AWS IoT Events console](security_iam_id-based-policy-examples-console.md)
+ [Permita que os usuários visualizem suas próprias permissões no AWS IoT Events](security_iam_id-based-policy-examples-view-own-permissions.md)
+ [Acesse uma AWS IoT Events entrada](security_iam_id-based-policy-examples-access-one-input.md)
+ [Exibir AWS IoT Events entradas com base em tags](security_iam_id-based-policy-examples-view-input-tags.md)
# Práticas recomendadas de política
As políticas baseadas em identidade são muito poderosas. Eles determinam se alguém pode criar, acessar ou excluir AWS IoT Events recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece a usar políticas AWS gerenciadas** — Para começar a usar AWS IoT Events rapidamente, use políticas AWS gerenciadas para dar a seus funcionários as permissões de que precisam. Essas políticas já estão disponíveis em sua conta e são mantidas e atualizadas pela AWS. Para obter mais informações, consulte [Comece a usar permissões com políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) no *Guia do usuário do IAM*.
+ **Conceder privilégio mínimo**: ao criar políticas personalizadas, conceda apenas as permissões necessárias para executar uma tarefa. Comece com um conjunto mínimo de permissões e conceda permissões adicionais conforme necessário. Fazer isso é mais seguro do que começar com permissões que são muito lenientes e tentar restringi-las superiormente. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*.
+ **Habilitar o MFA para operações confidenciais**: para segurança adicional, exija que os usuários do IAM usem a autenticação multifator (MFA) para acessar recursos ou operações de API confidenciais. Para obter mais informações, consulte [Usar autenticação multifator (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*.
+ **Usar condições de política para segurança adicional**: na medida do possível, defina as condições sob as quais suas políticas baseadas em identidade permitem o acesso a um recurso. Por exemplo, você pode gravar condições para especificar um intervalo de endereços IP permitidos do qual a solicitação deve partir. Você também pode escrever condições para permitir somente solicitações em uma data especificada ou período ou para exigir o uso de SSL ou MFA. Para obter mais informações, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
# Usando o AWS IoT Events console
Para acessar o AWS IoT Events console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS IoT Events recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Para garantir que essas entidades ainda possam usar o AWS IoT Events console, anexe também a seguinte política AWS gerenciada às entidades. Para obter mais informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Manual do usuário do IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:BatchPutMessage",
"iotevents:BatchUpdateDetector",
"iotevents:CreateDetectorModel",
"iotevents:CreateInput",
"iotevents:DeleteDetectorModel",
"iotevents:DeleteInput",
"iotevents:DescribeDetector",
"iotevents:DescribeDetectorModel",
"iotevents:DescribeInput",
"iotevents:DescribeLoggingOptions",
"iotevents:ListDetectorModelVersions",
"iotevents:ListDetectorModels",
"iotevents:ListDetectors",
"iotevents:ListInputs",
"iotevents:ListTagsForResource",
"iotevents:PutLoggingOptions",
"iotevents:TagResource",
"iotevents:UntagResource",
"iotevents:UpdateDetectorModel",
"iotevents:UpdateInput",
"iotevents:UpdateInputRouting"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/your-detector-model-name",
"Resource": "arn:aws:iotevents:us-east-1:123456789012:input/your-input-name"
}
]
}
```
------
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que corresponderem a operação da API que você estiver tentando executar.
# Permita que os usuários visualizem suas próprias permissões no AWS IoT Events
Este exemplo mostra como você pode criar uma política que permite que os usuários visualizem as políticas gerenciadas e embutidas anexadas a sua identidade de usuário. Permitir que os usuários visualizem suas próprias permissões do IAM é útil para conscientização sobre segurança e recursos de autoatendimento. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
# Acesse uma AWS IoT Events entrada
O controle de acesso granular às AWS IoT Events entradas é importante para manter a segurança em ambientes com vários usuários ou várias equipes. Esta seção mostra como criar políticas do IAM que concedem acesso a AWS IoT Events entradas específicas e restringem o acesso a outras.
Neste exemplo, você pode conceder a um usuário Conta da AWS acesso a uma de suas AWS IoT Events entradas,`exampleInput`. Você também pode permitir que o usuário adicione, atualize e exclua entradas.
A política concede as permissões `iotevents:ListInputs`, `iotevents:DescribeInput`, `iotevents:CreateInput`, `iotevents:DeleteInput` e `iotevents:UpdateInput` ao usuário. Para ver um exemplo de apresentação do Amazon Simple Storage Service (Amazon S3), que concede permissões aos usuários e os testa usando o console, [consulte Controle do acesso a](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) um bucket com políticas de usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListInputsInConsole",
"Effect":"Allow",
"Action":[
"iotevents:ListInputs"
],
"Resource":"arn:aws:iotevents:us-east-2:123456789012:input/*"
},
{
"Sid":"ViewSpecificInputInfo",
"Effect":"Allow",
"Action":[
"iotevents:DescribeInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/inputName"
},
{
"Sid":"ManageInputs",
"Effect":"Allow",
"Action":[
"iotevents:CreateInput",
"iotevents:DeleteInput",
"iotevents:DescribeInput",
"iotevents:ListInputs",
"iotevents:UpdateInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/*"
}
]
}
```
------
# Exibir AWS IoT Events entradas com base em tags
As tags ajudam você a organizar AWS IoT Events os recursos. Você pode usar condições em sua política baseada em identidade para controlar o acesso aos AWS IoT Events recursos com base em tags. Este exemplo mostra como você pode criar uma política que permita visualizar um*input*. No entanto, a permissão é concedida somente se a tag `Owner` de *input* tiver o valor do nome desse usuário. Essa política também concede as permissões necessárias concluir essa ação no console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListInputsInConsole",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "*"
},
{
"Sid": "ViewInputsIfOwner",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "arn:aws:iotevents:*:*:input/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Você pode anexar essa política aos usuários na sua conta. Se um usuário chamado `richard-roe` tentar visualizar um AWS IoT Events *input*, ele *input* deverá ser marcado como `Owner=richard-roe` ou`owner=richard-roe`. Caso contrário, ele terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
# Prevenção confusa de delegados entre serviços para AWS IoT Events
**nota**
O AWS IoT Events serviço só permite que você use funções para iniciar ações na mesma conta na qual um recurso foi criado. Isso ajuda a evitar um confuso ataque policial em AWS IoT Events.
Esta página serve como referência para você ver como o problema confuso de deputados funciona e pode ser evitado caso recursos cruzados de contas sejam permitidos no AWS IoT Events serviço.
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado.
A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS IoT Events concedem outro serviço ao recurso. Se o valor de `aws:SourceArn` não contém ID da conta, como um ARN do bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor `aws:SourceArn` contém o ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar a mesma ID de conta quando na mesma declaração de política.
Use `aws:SourceArn` se quiser apenas um recurso associado a acessibilidade de serviço. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. O valor de `aws:SourceArn` deve ser o modelo do detector ou o modelo de alarme associado à solicitação `sts:AssumeRole`.
A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:iotevents:*:123456789012:*`
Os exemplos a seguir mostram como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto AWS IoT Events para evitar o confuso problema substituto.
**Topics**
+ [Exemplo: acesso seguro a um modelo AWS IoT Events de detector](accessing-a-detector-model.md)
+ [Exemplo: acesso seguro a um modelo AWS IoT Events de alarme](accessing-an-alarm-model.md)
+ [Exemplo: acessar um AWS IoT Events recurso em uma região especificada](accessing-resource-in-specified-region.md)
+ [Exemplo: Configurar opções de registro para AWS IoT Events](logging-options.md)
# Exemplo: acesso seguro a um modelo AWS IoT Events de detector
Este exemplo demonstra como criar uma política de IAM que concede acesso seguro a um modelo de detector específico em. AWS IoT Events A política usa condições para garantir que somente a AWS conta e o AWS IoT Events serviço especificados possam assumir a função, adicionando uma camada extra de segurança. Neste exemplo, a função só pode acessar o modelo de detector chamado*WindTurbine01*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/WindTurbine01"
}
}
}
]
}
```
------
# Exemplo: acesso seguro a um modelo AWS IoT Events de alarme
Este exemplo demonstra como criar uma política do IAM que permite AWS IoT Events acessar modelos de alarme com segurança. A política usa condições para garantir que somente a AWS conta e o AWS IoT Events serviço especificados possam assumir a função.
Neste exemplo, a função pode acessar qualquer modelo de alarme dentro da AWS conta especificada, conforme indicado pelo caractere `*` curinga no ARN do modelo de alarme. As `aws:SourceArn` condições `aws:SourceAccount` e funcionam juntas para evitar o confuso problema do deputado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
}
}
}
]
}
```
------
# Exemplo: acessar um AWS IoT Events recurso em uma região especificada
Este exemplo demonstra como configurar uma função do IAM para acessar AWS IoT Events recursos em uma AWS região específica. Ao usar regiões específicas ARNs em suas políticas do IAM, você pode restringir o acesso a AWS IoT Events recursos em diferentes áreas geográficas. Essa abordagem pode ajudar a manter a segurança e a conformidade em implantações em várias regiões. A região neste exemplo é*us-east-1*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Exemplo: Configurar opções de registro para AWS IoT Events
O registro adequado é importante para monitorar, depurar e auditar seus aplicativos. AWS IoT Events Esta seção fornece uma visão geral das opções de registro disponíveis em AWS IoT Events.
Este exemplo demonstra como configurar uma função do IAM que permite AWS IoT Events registrar dados no CloudWatch Logs. O uso de curingas (`*`) no ARN do recurso permite um registro abrangente em AWS IoT Events sua infraestrutura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Solucionar problemas de AWS IoT Events identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS IoT Events um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS IoT Events](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a executar `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS IoT Events recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em AWS IoT Events
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
O erro de exemplo a seguir ocorre quando o usuário `mateojackson` do IAM tenta usar o console para visualizar detalhes sobre um *input*, mas não tem as permissões `iotevents:ListInputs`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: iotevents:ListInputs on resource: my-example-input
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-input` usando a ação `iotevents:ListInput`.
## Não estou autorizado a executar `iam:PassRole`
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS IoT Events.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS IoT Events. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS IoT Events recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Consulte os tópicos a seguir para determinar suas melhores opções:
+ Para saber se é AWS IoT Events compatível com esses recursos, consulte[Como AWS IoT Events funciona com o IAM](security-iam.md#security_iam_service-with-iam).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Monitoramento AWS IoT Events para manter a confiabilidade, a disponibilidade e o desempenho
O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho de AWS IoT Events suas AWS soluções. Você deve coletar dados de monitoramento de todas as partes da sua AWS solução para poder depurar com mais facilidade uma falha multiponto, caso ocorra. Antes de iniciar o monitoramento AWS IoT Events, você deve criar um plano de monitoramento que inclua respostas às seguintes perguntas:
+ Quais são seus objetivos de monitoramento?
+ Quais recursos você vai monitorar?
+ Com que frequência você vai monitorar esses recursos?
+ Quais ferramentas de monitoramento você usará?
+ Quem realizará o monitoramento das tarefas?
+ Quem deve ser notificado quando algo der errado?
A próxima etapa é estabelecer uma linha de base para o AWS IoT Events desempenho normal em seu ambiente, medindo o desempenho em vários momentos e sob diferentes condições de carga. À medida que você monitora o AWS IoT Events, armazene dados de monitoramento históricos para compará-los com os dados de performance atuais, identificar padrões de performance normais e anomalias de performance e elaborar métodos para resolver problemas.
Por exemplo, se você estiver usando o Amazon EC2, poderá monitorar a utilização da CPU, do disco ou reduzir o I/O, and network utilization for your instances. When performance falls outside your established baseline, you might need to reconfigure or optimize the instance to reduce CPU utilization, improve disk I/O tráfego de rede.
**Topics**
+ [Ferramentas disponíveis para monitorar AWS IoT Events](monitoring_automated_manual.md)
+ [Monitoramento AWS IoT Events com a Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Registrando chamadas de AWS IoT Events API com AWS CloudTrail](iotevents-using-cloudtrail.md)
# Ferramentas disponíveis para monitorar AWS IoT Events
AWS fornece várias ferramentas que você pode usar para monitorar AWS IoT Events. É possível configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e, ao mesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefas de monitoramento sejam automatizadas ao máximo possível.
## Ferramentas de monitoramento automatizadas
Você pode usar as seguintes ferramentas de monitoramento automatizado para observar AWS IoT Events e relatar quando algo está errado:
+ **Amazon CloudWatch Logs** — Monitore, armazene e acesse seus arquivos de log de AWS CloudTrail ou de outras fontes. Para obter mais informações, consulte [Usando CloudWatch painéis da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) no *Guia do CloudWatch usuário da Amazon*.
+ **AWS CloudTrail Monitoramento** de registros — compartilhe arquivos de log entre contas, monitore arquivos de CloudTrail log em tempo real enviando-os para o CloudWatch Logs, grave aplicativos de processamento de registros em Java e valide se seus arquivos de log não foram alterados após a entrega. CloudTrail Para obter mais informações, consulte Como [trabalhar com arquivos de CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) no *Guia AWS CloudTrail do usuário*.
## Ferramentas de monitoramento manual
Outra parte importante do monitoramento AWS IoT Events envolve o monitoramento manual dos itens que os CloudWatch alarmes não cobrem. O AWS IoT Events, CloudWatch, e outros painéis AWS do console fornecem uma at-a-glance visão do estado do seu AWS ambiente. Recomendamos que você também verifique os arquivos de log AWS IoT Events.
+ O AWS IoT Events console mostra:
+ Modelos de detector
+ Detectores
+ Entradas
+ Configurações
+ A página CloudWatch inicial mostra:
+ Alertas e status atual
+ Gráficos de alertas e recursos
+ Estado de integridade do serviço
Além disso, você pode usar CloudWatch para fazer o seguinte:
+ [Criar Criação de um CloudWatch painel](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create_dashboard.html) para monitorar os serviços que lhe interessam
+ Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências
+ Pesquise e navegue em todas as suas métricas AWS de recursos
+ Criar e editar alertas para ser notificado sobre problemas
# Monitoramento AWS IoT Events com a Amazon CloudWatch
Ao desenvolver ou depurar um modelo de AWS IoT Events detector, você precisa saber o que AWS IoT Events está fazendo e os erros encontrados. A Amazon CloudWatch monitora seus AWS recursos e os aplicativos em que você executa AWS em tempo real. Com isso CloudWatch, você obtém visibilidade de todo o sistema sobre o uso de recursos, desempenho de aplicativos e integridade operacional. [Ative o CloudWatch registro na Amazon ao desenvolver modelos AWS IoT Events de detectores](best-practices.md#best-practices-cw-logs)tem informações sobre como habilitar o CloudWatch registro para AWS IoT Events. Para gerar registros como o mostrado abaixo, você deve definir o **nível de detalhamento** como 'Depurar' e fornecer um ou mais **destinos de depuração** que seja um **nome de modelo de detector** e um opcional. **KeyValue**
O exemplo a seguir mostra uma entrada de registro no nível CloudWatch DEBUG gerada por AWS IoT Events.
```
{
"timestamp": "2019-03-15T15:56:29.412Z",
"level": "DEBUG",
"logMessage": "Summary of message evaluation",
"context": "MessageEvaluation",
"status": "Success",
"messageId": "SensorAggregate_2th846h",
"keyValue": "boiler_1",
"detectorModelName": "BoilerAlarmDetector",
"initialState": "high_temp_alarm",
"initialVariables": {
"high_temp_count": 1,
"high_pressure_count": 1
},
"finalState": "no_alarm",
"finalVariables": {
"high_temp_count": 0,
"high_pressure_count": 0
},
"message": "{ \"temp\": 34.9, \"pressure\": 84.5}",
"messageType": "CUSTOMER_MESSAGE",
"conditionEvaluationResults": [
{
"result": "True",
"eventName": "alarm_cleared",
"state": "high_temp_alarm",
"lifeCycle": "OnInput",
"hasTransition": true
},
{
"result": "Skipped",
"eventName": "alarm_escalated",
"state": "high_temp_alarm",
"lifeCycle": "OnInput",
"hasTransition": true,
"resultDetails": "Skipped due to transition from alarm_cleared event"
},
{
"result": "True",
"eventName": "should_recall_technician",
"state": "no_alarm",
"lifeCycle": "OnEnter",
"hasTransition": true
}
]
}
```
# Registrando chamadas de AWS IoT Events API com AWS CloudTrail
AWS IoT Events é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em AWS IoT Events. CloudTrail captura todas as chamadas de API para eventos AWS IoT Events as, incluindo chamadas do AWS IoT Events console e de chamadas de código para o. AWS IoT Events APIs
Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS IoT Events Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS IoT Events, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS IoT Events informações em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando a atividade ocorre em AWS IoT Events, essa atividade é registrada em um CloudTrail evento com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Trabalhando com o histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para AWS IoT Events, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, a trilha se aplica a todas as AWS regiões. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
+ [Criando uma trilha para sua AWS conta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Serviços e integrações compatíveis com o CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte o elemento [CloudTrailuserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). AWS IoT Events as ações são documentadas na [referência AWS IoT Events da API](https://docs.aws.amazon.com/iotevents/latest/apireference/Welcome.html).
# Entendendo as entradas do arquivo de AWS IoT Events log
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. AWS CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
Quando o CloudTrail registro está ativado em sua AWS conta, a maioria das chamadas de API feitas para AWS IoT Events ações são rastreadas em arquivos de CloudTrail log, onde são gravadas com outros registros AWS de serviço. CloudTraildetermina quando criar e gravar em um novo arquivo com base no período e no tamanho do arquivo.
Cada entrada de log contém informações sobre quem gerou a solicitação. As informações de identidade do usuário na entrada de log ajudam você a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
É possível armazenar os arquivos de log no seu bucket do Amazon S3 pelo tempo que desejar, mas também pode definir regras do ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de log automaticamente. Por padrão, os arquivos de log são criptografados com criptografia do lado do servidor (SSE) do Amazon S3.
Para ser notificado sobre a entrega do arquivo de log, você pode configurar CloudTrail para publicar notificações do Amazon SNS quando novos arquivos de log forem entregues. Para obter mais informações, consulte [Configuração de notificações do Amazon SNS para o CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html).
Você também pode agregar arquivos de AWS IoT Events log de várias AWS regiões e várias AWS contas em um único bucket do Amazon S3.
Para obter mais informações, consulte [Recebimento de arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebimento de arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html).
## Exemplo: DescribeDetector ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DescribeDetector` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/bertholt-brecht",
"accountId": "123456789012",
"accessKeyId": "access-key-id",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-08T18:53:58Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2019-02-08T19:02:44Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeDetector",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-cli/1.15.65 Python/3.7.1 Darwin/16.7.0 botocore/1.10.65",
"requestParameters": {
"detectorModelName": "pressureThresholdEventDetector-brecht",
"keyValue": "1"
},
"responseElements": null,
"requestID": "00f41283-ea0f-4e85-959f-bee37454627a",
"eventID": "5eb0180d-052b-49d9-a289-0eb8d08d4c27",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: CreateDetectorModel ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `CreateDetectorModel` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-Lambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEvents-RoleForIotEvents-ABC123DEF456/IotEvents-Lambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABC123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABC123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:43Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "CreateDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel",
"key": "HIDDEN_DUE_TO_SECURITY_REASONS",
"roleArn": "arn:aws:iam::123456789012:role/events_action_execution_role"
},
"responseElements": null,
"requestID": "cecfbfa1-e452-4fa6-b86b-89a89f392b66",
"eventID": "8138d46b-50a3-4af0-9c5e-5af5ef75ea55",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: CreateInput ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `CreateInput` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-Lambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABC123DEF456/IotEvents-Lambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABC123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABC123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:43Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "CreateInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"inputName": "batchputmessagedetectorupdated",
"inputDescription": "batchputmessagedetectorupdated"
},
"responseElements": null,
"requestID": "fb315af4-39e9-4114-94d1-89c9183394c1",
"eventID": "6d8cf67b-2a03-46e6-bbff-e113a7bded1e",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: DeleteDetectorModel ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DeleteDetectorModel` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:11Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DeleteDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel"
},
"responseElements": null,
"requestID": "149064c1-4e24-4160-a5b2-1065e63ee2e4",
"eventID": "7669db89-dcc0-4c42-904b-f24b764dd808",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: DeleteInput ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DeleteInput` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:38Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DeleteInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"errorCode": "ResourceNotFoundException",
"errorMessage": "Input of name: NoSuchInput not found",
"requestParameters": {
"inputName": "NoSuchInput"
},
"responseElements": null,
"requestID": "ce6d28ac-5baf-423d-a5c3-afd009c967e3",
"eventID": "be0ef01d-1c28-48cd-895e-c3ff3172c08e",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: DescribeDetectorModel ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DescribeDetectorModel` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AAKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:54:20Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel"
},
"responseElements": null,
"requestID": "18a11622-8193-49a9-85cb-1fa6d3929394",
"eventID": "1ad80ff8-3e2b-4073-ac38-9cb3385beb04",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: DescribeInput ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DescribeInput` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AAKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:56:09Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"inputName": "input_createinput"
},
"responseElements": null,
"requestID": "3af641fa-d8af-41c9-ba77-ac9c6260f8b8",
"eventID": "bc4e6cc0-55f7-45c1-b597-ec99aa14c81a",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: DescribeLoggingOptions ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DescribeLoggingOptions` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:23Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "DescribeLoggingOptions",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": null,
"responseElements": null,
"requestID": "b624b6c5-aa33-41d8-867b-025ec747ee8f",
"eventID": "9c7ce626-25c8-413a-96e7-92b823d6c850",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: ListDetectorModels ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `ListDetectorModels` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:23Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListDetectorModels",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"nextToken": "CkZEZXRlY3Rvck1vZGVsMl9saXN0ZGV0ZWN0b3Jtb2RlbHN0ZXN0X2VlOWJkZTk1YT",
"maxResults": 3
},
"responseElements": null,
"requestID": "6d70f262-da95-4bb5-94b4-c08369df75bb",
"eventID": "2d01a25c-d5c7-4233-99fe-ce1b8ec05516",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: ListDetectorModelVersions ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `ListDetectorModelVersions` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:33Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListDetectorModelVersions",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel",
"maxResults": 2
},
"responseElements": null,
"requestID": "ebecb277-6bd8-44ea-8abd-fbf40ac044ee",
"eventID": "fc6281a2-3fac-4e1e-98e0-ca6560b8b8be",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: ListDetectors ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `ListDetectors` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:54Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListDetectors",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "batchputmessagedetectorinstancecreated",
"stateName": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "4783666d-1e87-42a8-85f7-22d43068af94",
"eventID": "0d2b7e9b-afe6-4aef-afd2-a0bb1e9614a9",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: ListInputs ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `ListInputs` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:57Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "ListInputs",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"nextToken": "CkhjYW5hcnlfdGVzdF9pbnB1dF9saXN0ZGV0ZWN0b3Jtb2RlbHN0ZXN0ZDU3OGZ",
"maxResults": 3
},
"responseElements": null,
"requestID": "dd6762a1-1f24-4e63-a986-5ea3938a03da",
"eventID": "c500f6d8-e271-4366-8f20-da4413752469",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: PutLoggingOptions ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `PutLoggingOptions` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:56:43Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "PutLoggingOptions",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"loggingOptions": {
"roleArn": "arn:aws:iam::123456789012:role/logging__logging_role",
"level": "INFO",
"enabled": false
}
},
"responseElements": null,
"requestID": "df570e50-fb19-4636-9ec0-e150a94bc52c",
"eventID": "3247f928-26aa-471e-b669-e4a9e6fbc42c",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: UpdateDetectorModel ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `UpdateDetectorModel` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:55:51Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "UpdateDetectorModel",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"requestParameters": {
"detectorModelName": "myDetectorModel",
"roleArn": "arn:aws:iam::123456789012:role/Events_action_execution_role"
},
"responseElements": null,
"requestID": "add29860-c1c5-4091-9917-d2ef13c356cf",
"eventID": "7baa9a14-6a52-47dc-aea0-3cace05147c3",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: UpdateInput ação para CloudTrail
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `UpdateInput` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:IotEvents-EventsLambda",
"arn": "arn:aws:sts::123456789012:assumed-role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456/IotEvents-EventsLambda",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-02-07T22:22:30Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/IotEventsLambda-RoleForIotEvents-ABCD123DEF456",
"accountId": "123456789012",
"userName": "IotEventsLambda-RoleForIotEvents-ABCD123DEF456"
}
}
},
"eventTime": "2019-02-07T23:53:00Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "UpdateInput",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "aws-internal/3",
"errorCode": "ResourceNotFoundException",
"errorMessage": "Input of name: NoSuchInput not found",
"requestParameters": {
"inputName": "NoSuchInput",
"inputDescription": "this is a description of an input"
},
"responseElements": null,
"requestID": "58d5d2bb-4110-4c56-896a-ee9156009f41",
"eventID": "c2df241a-fd53-4fd0-936c-ba309e5dc62d",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
```
## Exemplo: BatchPutMessage ação para CloudTrail
AWS IoT Events pode usar uma CloudTrail integração para o registro da API do plano de dados. Este exemplo adiciona detalhes sobre eventos de dados por meio da `BatchPutMessage` ação.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:PrincipalId",
"arn": "arn:aws:sts::123456789012:assumed-role/my-iam-role/my-iam-role-entity",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/my-iam-role",
"accountId": "123456789012",
"userName": "sample_user_name"
},
"attributes": {
"creationDate": "2024-11-22T18:32:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-11-22T18:57:35Z",
"eventSource": "iotevents.amazonaws.com",
"eventName": "BatchPutMessage",
"awsRegion": "us-east-1",
"sourceIPAddress": "3.239.107.128",
"userAgent": "aws-internal/3",
"requestParameters": {
"messages": [
{
"messageId": "e306d827-b2e4-4439-9c86-411d4242a397",
"payload": "HIDDEN_DUE_TO_SECURITY_REASONS",
"inputName": "my_input_name"
}
]
},
"responseElements": {
"batchPutMessageErrorEntries": []
},
"requestID": "cefc6b63-9ccf-4e31-9177-4aec8e701bfe",
"eventID": "b994b52c-6011-4e3c-ad5f-e784e732fde0",
"readOnly": false,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::IoTEvents::Input",
"ARN": "arn:aws:iotevents:us-east-1:123456789012:input/my_input_name"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "iotevents.us-east-1.amazonaws.com"
}
},
```
# Validação de conformidade para AWS IoT Events
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência em AWS IoT Events
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, as quais são conectadas com baixa latência, alto throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura em AWS IoT Events
Como serviço gerenciado, AWS IoT Events é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS IoT Events pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.