CloudTrail Lake 控制面板
您可以使用 CloudTrail Lake 控制面板来查看您的账户中事件数据存储的事件趋势。CloudTrail Lake 提供以下类型的控制面板:
-
托管式控制面板 – 可以查看托管式控制面板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些控制面板可自动供您使用,并由 CloudTrail Lake 管理。CloudTrail 提供 14 个托管式控制面板以供选择。您可以手动刷新托管式控制面板。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管式控制面板另存为自定义控制面板。
-
自定义控制面板 – 自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板,也可以设置刷新计划。
-
“要点”控制面板:启用“要点”控制面板,以便一目了然地查看由账户中的事件数据存储收集的 Amazon 活动的概览。“要点”控制面板由 CloudTrail 管理,包括与您的账户相关的小组件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如,您的“要点”控制面板可能包含跨账户访问总量小组件,它显示异常跨账户活动是否增加。CloudTrail 每 6 小时更新一次“要点”控制面板。控制面板显示自上次更新以来最近 24 小时的数据。
每个控制面板由一个或多个小组件组成,每个小组件都提供 SQL 查询结果的图形表示。要查看小组件的查询,请选择查看和编辑查询以打开查询编辑器。
控制面板刷新后,CloudTrail Lake 会运行查询来填充控制面板的小组件。由于运行查询会产生费用,因此 CloudTrail 会要求您确认与运行查询相关的成本。有关 CloudTrail 定价的更多信息,请参阅 CloudTrail 定价
主题
先决条件
以下先决条件适用于 CloudTrail Lake 控制面板:
-
要查看和使用 Lake 控制面板,您必须至少创建一个 CloudTrail Lake 事件数据存储。您可以使用控制台、Amazon CLI 或 SDK 创建事件数据存储。有关使用控制台创建数据存储的信息,请参阅 使用控制台为 CloudTrail 事件创建事件数据存储。有关使用 Amazon CLI 创建数据存储的信息,请参阅 使用 Amazon CLI 创建事件数据存储。
-
您必须拥有足够的权限才能查看、创建、更新和刷新控制面板。有关更多信息,请参阅 所需的权限。
限制
以下限制适用于 CloudTrail Lake 控制面板:
-
您只能为账户中存在的事件数据存储启用“要点”控制面板。
-
您只能查看您的账户中存在的事件数据存储的托管式控制面板。
-
对于自定义控制面板,您只能添加示例小组件或创建新的小组件来查询账户中存在的事件数据存储。
-
Amazon Organizations 组织的委派管理员不能查看或管理管理账户拥有的控制面板。
区域支持
所有支持 CloudTrail Lake 的 Amazon Web Services 区域都支持 CloudTrail Lake 控制面板。
以下区域支持要点控制面板上的活动摘要小组件:
-
亚太地区(东京)区域 (ap-northeast-1)
-
美国东部(弗吉尼亚州北部)(us-east-1)
-
美国西部(俄勒冈州)区域 (us-west-1)
所有支持 CloudTrail Lake 的 Amazon Web Services 区域都支持所有其他小组件。
有关 CloudTrail Lake 支持的区域的信息,请参阅 CloudTrail Lake 支持的区域。
所需的权限
本节介绍 CloudTrail Lake 控制面板所需的权限,并讨论了两种类型的 IAM 策略:
-
基于身份的策略,允许您执行创建、管理和删除控制面板的操作。
-
基于资源的策略,允许 CloudTrail 在控制面板刷新时对您的事件数据存储运行查询,并代表您按计划刷新自定义控制面板和“要点”控制面板。当您使用 CloudTrail 控制台创建控制面板时,可以选择附加基于资源的策略。您也可以运行 Amazon CLI put-resource-policy 命令来将基于资源的策略添加到事件数据存储或控制面板。
基于身份的策略要求
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》中的使用客户管理型策略定义自定义 IAM 权限。
要查看和管理 CloudTrail Lake 控制面板,您需要下面其中一个策略:
-
CloudTrailFullAccess托管式策略。 -
AdministratorAccess托管式策略。 -
包含以下各节中描述的一项或多项特定权限的自定义策略。
创建控制面板所需的权限
以下示例策略提供了创建控制面板所需的最低权限。将 partition、region、account-id 和 eds-id 替换为您的配置值。
-
只有当请求包含小组件时,才需要
StartQuery权限。为小组件查询中包含的所有事件数据存储提供StartQuery权限。 -
只有当控制面板有刷新计划时,才需要
StartDashboardRefresh权限。 -
对于“要点”控制面板,调用方必须对账户中的所有事件数据存储拥有
StartQuery权限。
更新控制面板所需的权限
以下示例策略提供了更新控制面板所需的最低权限。将 partition、region、account-id 和 eds-id 替换为您的配置值。
-
只有当请求包含小组件时,才需要
StartQuery权限。为小组件查询中包含的所有事件数据存储提供StartQuery权限。 -
只有当控制面板有刷新计划时,才需要
StartDashboardRefresh权限。 -
对于“要点”控制面板,调用方必须对账户中的所有事件数据存储拥有
StartQuery权限。
刷新控制面板所需的权限
以下示例策略提供了刷新控制面板所需的最低权限。请将 partition、region、account-id、dashboard-name 和 eds-id 替换为您的配置值。
-
对于自定义控制面板和“要点”控制面板,调用方必须拥有
cloudtrail:StartDashboardRefresh permissions。 -
对于托管式控制面板,调用方必须对刷新中涉及的事件数据存储拥有
cloudtrail:StartDashboardRefresh权限和cloudtrail:StartQuery权限。
控制面板和事件数据存储的基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中指定主体。
要在手动或计划刷新期间对控制面板运行查询,您必须将基于资源的策略附加到与控制面板上的小组件关联的每个事件数据存储。这样,CloudTrail Lake 就可以代表您运行查询。当您创建自定义控制面板或使用 CloudTrail 控制台启用要点控制面板时,CloudTrail 允许您选择要向哪些事件数据存储应用权限。有关基于资源的策略的更多信息,请参阅 示例:允许 CloudTrail 运行查询以刷新控制面板。
要为控制面板设置刷新计划,您必须将基于资源的策略附加到控制面板,以允许 CloudTrail Lake 代表您刷新控制面板。当您为自定义控制面板设置刷新计划或使用 CloudTrail 控制台启用要点控制面板时,CloudTrail 允许您选择将基于资源的策略附加到控制面板。有关策略示例,请参阅 控制面板的基于资源的策略示例。
您可以使用 CloudTrail 控制台、Amazon CLI 或 PutResourcePolicy API 操作附加基于资源的策略。
用于解密事件数据存储中的数据的 KMS 密钥权限
如果正在查询的事件数据存储是使用 KMS 密钥加密的,请确保 KMS 密钥策略允许 CloudTrail 解密事件数据存储中的数据。以下示例策略语句允许 CloudTrail 服务主体解密事件数据存储。
{ "Sid": "AllowCloudTrailDecryptAccess", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }