建立整合以記錄外部 AWS 的事件 AWS CLI

本節說明如何使用建立 CloudTrail Lake 整合，以記錄外部的事件 AWS。 AWS CLI

在中 AWS CLI，您可以在四個指令中建立整合 (如果您已經有符合準則的事件資料存放區，則為三個)。您用作整合目的地的事件資料存放區必須適用於單一區域和單一帳戶；它們不能是多地區，也無法記錄中組織的事件 AWS Organizations，而且只能包含活動事件。主控台中的事件類型必須是 Events from integrations (來自整合的事件)。在中API，eventCategory值必須是ActivityAuditLog。如需有關整合的詳細資訊，請參閱建立與事件來源以外的整合 AWS。

1. 如果您還沒有可用於整合的一或多個事件資料存放區，請執行 create-event-data-store 以建立事件資料存放區。

   下列範例 AWS CLI 命令會建立從外部記錄事件的事件資料存放區 AWS。對於活動事件，eventCategory 欄位選取器值為 ActivityAuditLog。事件資料存放區的保留期間設定為 90 天。依預設，事件資料存放區會收集來自所有區域的事件，但由於這是收集非AWS 事件，所以請新增--no-multi-region-enabled選項將其設定為單一「區域」。依預設會啟用終止保護，且事件資料存放區不會針對組織中的帳戶收集事件。

   aws cloudtrail create-event-data-store \
   --name my-event-data-store \
   --no-multi-region-enabled \
   --retention-period 90 \
   --advanced-event-selectors '[
       {
         "Name": "Select all external events",
         "FieldSelectors": [
             { "Field": "eventCategory", "Equals": ["ActivityAuditLog"] }
           ]
       }
     ]'

   以下是回應範例。

   {
       "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "Name": "my-event-data-store",
       "AdvancedEventSelectors": [
           {
              "Name": "Select all external events",
              "FieldSelectors": [
                 {
                     "Field": "eventCategory",
                     "Equals": [
                         "ActivityAuditLog"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": true,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": 90,
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
       "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
   }

   您需要事件資料存放區 ID (或前面回應範例EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE中的尾碼)ARN，才能繼續進行下一個步驟並建立頻道。

2. 執行命create-channel令以建立允許合作夥伴或來源應用程式將事件傳送至中的事件資料存放區的通道 CloudTrail。

   通道具有下列元件：

   來源

   CloudTrail 使用此資訊來判斷代表您傳送事件資料給 CloudTrail 的合作夥伴。來源是必要元件，可以是 Custom (針對所有有效的非AWS 事件)，或合作夥伴事件來源的名稱。每個來源最多可有一個通道。

   如需可用合作夥伴的 Source 值的相關資訊，請參閱整合合作夥伴的其他資訊。

   擷取狀態

   通道狀態會顯示從通道來源接收到最後一個事件的時間。

   目的地

   目的地是從頻道接收事件的 CloudTrail Lake 事件資料存放區。您可以變更通道的目的地事件資料存放區。

   若要停止從來源接收事件，請刪除通道。

   您需要至少一個目的地事件資料存放區的 ID，才能執行此命令。目的地的有效類型為 EVENT_DATA_STORE。您可以將擷取的事件傳送至多個事件資料存放區。下列範例命令會建立將事件傳送至兩個事件資料存放區的通道，該通道由它們IDs在--destinations參數的Location屬性中表示。--destinations、--name 和 --source 是必要參數。若要擷取來自 CloudTrail 夥伴的事件，請將夥伴的名稱指定為的--source值。若要從外部您自己的應用程式內嵌事件 AWS，請指定Custom為的--source值。

   aws cloudtrail create-channel \
       --region us-east-1 \
       --destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
       --name my-partner-channel \
       --source $partnerSourceName \

   在回應您的create-channel指令時，複製新頻道ARN的。您需要在ARN接下來的步驟中執行put-resource-policy和put-audit-events命令。

3. 執行命put-resource-policy令，將資源策略附加至通道。資源JSON策略是指定指定主參與者可以對資源執行的動作以及在何種情況下的政策文件。在頻道的資源策略中定義為主參與者的帳號可以呼叫PutAuditEventsAPI以傳遞事件。

   注意

   如果您不為頻道建立資源策略，則只有頻道擁有者可以在頻道PutAuditEventsAPI上呼叫。

   政策所需的資訊取決於整合類型。

   • 若要進行方向整合， CloudTrail 需要政策包含合作夥伴的 AWS 帳戶IDs，並要求您輸入合作夥伴提供的唯一外部 ID。 CloudTrail 當您使用 CloudTrail 主控台建立整合時，會自動將合作夥伴的 AWS 帳號新增IDs至資源策略。請參閱合作夥伴的說明文件，瞭解如何取得政策所需的 AWS 帳號。

   • 對於解決方案整合，您必須至少指定一個 AWS 帳戶 ID 作為主體，並且可以選擇性地輸入外部 ID 以防止混淆的副手。

   資源政策的需求如下：

   • 策略中ARN定義的資源必須與策略所附加ARN的通道相符。

   • 此原則僅包含一個動作：雲路資料：PutAuditEvents

   • 政策至少包含一個陳述式。政策最多可以有 20 個陳述式。

   • 每個陳述式至少包含一個主體。陳述式最多可以有 50 個主體。

   aws cloudtrail put-resource-policy \
       --resource-arn "channelARN" \
       --policy "{
       "Version": "2012-10-17",
       "Statement":
       [
           {
               "Sid": "ChannelPolicy",
               "Effect": "Allow",
               "Principal":
               {
                   "AWS":
                   [
                       "arn:aws:iam::111122223333:root",
                       "arn:aws:iam::444455556666:root",
                       "arn:aws:iam::123456789012:root"
                   ]
               },
               "Action": "cloudtrail-data:PutAuditEvents",
               "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
               "Condition":
               {
                   "StringEquals":
                   {
                       "cloudtrail:ExternalId": "UniqueExternalIDFromPartner"
                   }
               }
           }
       ]
   }"
                       

   如需資源政策的詳細資訊，請參閱AWS CloudTrail 資源型政策範例。

4. 執行PutAuditEventsAPI以擷取您的活動事件 CloudTrail。您將需要要新增之事件的裝載。 CloudTrail 請確定事件裝載中沒有任何敏感或個人識別資訊，然後再將其導入。 CloudTrail請注意，PutAuditEventsAPI使用cloudtrail-dataCLI端點，而不是cloudtrail端點。

   下列範例顯示如何使用put-audit-eventsCLI指令。--audit-events 和 --channel-arn 是必要參數。如果在資源政策中定義了外部 ID，則需要 --external-id 參數。您需要在上一個步驟中建立ARN的通道。的值--audit-events是事件物件的JSON陣列。 --audit-events包含來自事件的必要 ID、事件的必要裝載作為的值EventData，以及可在擷取到之後協助驗證事件完整性的選用總和檢查碼。 CloudTrail

   aws cloudtrail-data put-audit-events \
   --channel-arn $ChannelArn \
   --external-id $UniqueExternalIDFromPartner \
   --audit-events \
   id="event_ID",eventData='"{event_payload}"' \
   id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"

   以下是包含兩個事件範例的範例命令。

   aws cloudtrail-data put-audit-events \
   --channel-arn arn:aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
   --external-id UniqueExternalIDFromPartner \
   --audit-events \
   id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
   \}"' \
   id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
   \}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"

   下列範例命令會新增--cli-input-json參數，以指定事件裝載的 JSON file (custom-events.json)。

   aws cloudtrail-data put-audit-events --channel-arn $channelArn --external-id $UniqueExternalIDFromPartner --cli-input-json file://custom-events.json --region us-east-1

   以下是範例JSON檔案的範例內容custom-events.json。

   {
       "auditEvents": [
         {
           "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
           \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
           \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
           \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
           \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
           \"additionalEventData\":{\"key\":\"value\"},
           \"sourceIPAddress\":\"12.34.56.78\",\"recipientAccountId\":\"152089810396\"}",
           "id": "1"
         }
      ]
   }

您可以執行get-channel命令，確認整合是否正常運作，以及 CloudTrail 是否正確地從來源擷取事件。的輸出get-channel會顯示最近 CloudTrail接收到事件的時間戳記。

aws cloudtrail get-channel --channel arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE

(選用) 計算總和檢查碼值

您EventDataChecksum在PutAuditEvents要求中指定為值的總和檢查碼，可協助您驗證是否 CloudTrail 接收到符合總和檢查碼的事件；它有助於驗證事件的完整性。總和檢查碼值是 base64 SHA256 演算法，您可以透過執行下列命令來計算。

printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",
        \"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"}" \
 | openssl dgst -binary -sha256 | base64

命令會傳回總和檢查碼。以下是範例。

EXAMPLEDHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=

總和檢查碼值會成為 PutAuditEvents 請求中的 EventDataChecksum 值。如果總和檢查碼與所提供事件的總和檢查碼不相符，則會 CloudTrail 拒絕該事件並顯示錯誤InvalidChecksum。