Paneles de CloudTrail Lake - AWS CloudTrail
Requisitos previosLimitacionesCompatibilidad de regionesPermisos necesarios

Paneles de CloudTrail Lake

Puede usar los paneles de CloudTrail Lake para consultar las tendencias de eventos de los almacenes de datos de eventos de la cuenta. CloudTrail Lake ofrece los siguientes tipos de paneles:

  • Paneles administrados: puede ver un panel administrado para ver las tendencias de eventos de un almacén de datos de eventos que recopila eventos de administración, de datos o de Insights. Estos paneles están disponibles de manera automática y CloudTrail Lake los administra. CloudTrail ofrece 14 paneles administrados entre los que puede elegir. Puede actualizar de manera manual los paneles administrados. No puede modificar, agregar ni eliminar los widgets de estos paneles; sin embargo, puede guardar un panel administrado como un panel personalizado si quiere modificar los widgets o establecer un programa de actualización.

  • Paneles personalizados: estos le permiten consultar eventos en cualquier tipo de almacén de datos de eventos. Puede agregar hasta 10 widgets a un panel personalizado. Puede actualizar de manera manual un panel personalizado o puede establecer un programa de actualización.

  • Paneles destacados: habilite el panel de aspectos destacados para ver un resumen rápido de la actividad recopilada de AWS por los almacenes de datos de eventos de la cuenta. CloudTrail administra el panel de aspectos destacados e incluye widgets que son pertinentes para la cuenta. Los widgets que se muestran en el panel de aspectos destacados son únicos para cada cuenta. Estos widgets podrían mostrar la actividad anormal o las anomalías detectadas. Por ejemplo, en el panel de aspectos destacados se podría incluir el Widget de acceso entre cuentas total, que muestra si hay un aumento en la actividad anormal entre cuentas. CloudTrail actualiza el panel de aspectos destacados cada 6 horas. En el panel se muestran los datos de las últimas 24 horas de la última actualización.

Cada panel consta de uno o más widgets y cada uno brinda una representación gráfica de los resultados de una consulta SQL. Para ver la consulta de un widget, elija Ver y editar consultas a fin de abrir el editor de consultas.

Cuando se actualiza un panel, CloudTrail Lake ejecuta las consultas para completar los widgets del panel. Dado que la ejecución de consultas genera costos, CloudTrail le solicita que confirme los costos asociados a la ejecución de consultas. Para obtener más información acerca de los precios de CloudTrail, consulte Precios de CloudTrail.

Temas

Requisitos previos

Para usar los paneles de CloudTrail Lake hay que cumplir los siguientes requisitos previos:

Limitaciones

Las siguientes limitaciones se aplican a los paneles de CloudTrail Lake:

  • Solo puede habilitar el panel de aspectos destacados para los almacenes de datos de eventos que existan en la cuenta.

  • Solo puede ver el panel administrados para los almacenes de datos de eventos que existan en la cuenta.

  • En el caso de los paneles personalizados, solo puede agregar los widgets de muestra o crear nuevos que consulten los almacenes de datos de eventos que existen en su cuenta.

  • Los administradores delegados de una organización AWS Organizations no pueden ver ni administrar los paneles que sean propiedad de la cuenta de administración.

Compatibilidad de regiones

Los paneles de CloudTrail Lake son compatibles en todas las Regiones de AWS en las que se admite CloudTrail Lake.

El widget de Resumen de actividades del panel de Aspectos destacados es compatible con las siguientes regiones:

  • Región Asia-Pacífico (Tokio) (ap-northeast-1)

  • Este de EE. UU. (Norte de Virginia) (us-east-1)

  • Región EE. UU. Oeste (Oregón) (us-west-1)

Todos los demás widgets son compatibles en todas las Regiones de AWS en las que se admite CloudTrail Lake.

Para obtener más información sobre las regiones que son compatibles con CloudTrail Lake, consulte Regiones en las que se admite CloudTrail Lake.

Permisos necesarios

En esta sección se describen los permisos necesarios para los paneles de CloudTrail Lake y se analizan dos tipos de políticas de IAM:

  • Las políticas basadas en la identidad que le permiten realizar acciones para crear, administrar y eliminar paneles.

  • Las políticas basadas en recursos que permiten a CloudTrail ejecutar consultas en el almacén de datos de eventos cuando se actualiza el panel y realizar actualizaciones programadas de los paneles personalizados y del panel de aspectos destacados en su nombre. Cuando crea paneles con la consola de CloudTrail, tiene la opción de asociar las políticas basadas en recursos. También puede ejecutar el comando AWS CLI put-resource-policy para agregar una política basada en recursos a los almacenes de datos de eventos o paneles.

Requisitos de la política basada en la identidad

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.

Para ver y administrar los paneles de CloudTrail Lake, necesita una de las siguientes políticas:

  • La política administrada de CloudTrailFullAccess.

  • La política administrada de AdministratorAccess.

  • Una política personalizada que incluya uno o más de los permisos específicos que se describen en las secciones que se encuentran a continuación.

Permisos necesarios para crear los paneles

El siguiente ejemplo de política ofrece los permisos mínimos necesarios para crear paneles. Reemplace partition, region, account-id y eds-id por los valores de su configuración.

  • El permiso StartQuery solo es necesario si la solicitud contiene widgets. Proporcione permisos StartQuery para todos los almacenes de datos de eventos incluidos en una consulta de widgets.

  • El permiso StartDashboardRefresh solo es necesario si el panel tiene un programa de actualización.

  • Para el panel de aspectos destacados, el remitente debe tener el permiso StartQuery a fin de acceder a todos los almacenes de datos de eventos de la cuenta.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

Permisos necesarios para actualizar los paneles

El siguiente ejemplo de política ofrece los permisos mínimos necesarios para actualizar paneles. Reemplace partition, region, account-id y eds-id por los valores de su configuración.

  • El permiso StartQuery solo es necesario si la solicitud contiene widgets. Proporcione permisos StartQuery para todos los almacenes de datos de eventos incluidos en una consulta de widgets.

  • El permiso StartDashboardRefresh solo es necesario si el panel tiene un programa de actualización.

  • Para el panel de aspectos destacados, el remitente debe tener el permiso StartQuery a fin de acceder a todos los almacenes de datos de eventos de la cuenta.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

Permisos necesarios para actualizar los paneles

El siguiente ejemplo de política ofrece los permisos mínimos necesarios para actualizar los paneles. Reemplace partition, region, account-id, dashboard-name y eds-id por los valores de su configuración.

  • Para los paneles personalizados y los paneles de aspectos destacados, el remitente debe disponer de cloudtrail:StartDashboardRefresh permissions.

  • En el caso de los paneles administrados, el remitente debe tener el permiso cloudtrail:StartDashboardRefresh y los permisos cloudtrail:StartQuery para el almacén de datos de eventos implicado en la actualización.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/dashboard-name",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

Políticas basadas en recursos para paneles y almacenes de datos de eventos

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos.

Para ejecutar consultas en un panel durante una actualización manual o programada, debe asociar una política basada en recursos a cada almacén de datos de eventos que esté asociado a un widget del panel. Esto permite a CloudTrail Lake ejecutar las consultas en su nombre. Cuando crea un panel personalizado o habilita el panel de aspectos destacados mediante la consola de CloudTrail, esta le ofrece la opción de elegir a qué almacenes de datos de eventos quiere aplicar los permisos. Para obtener más información sobre la política basada en recursos, consulte Ejemplo: permitir que CloudTrail ejecute consultas para actualizar un panel.

A fin de establece un programa de actualización para un panel, debe asociar una política basada en recursos al panel para permitir que CloudTrail Lake actualice el panel en su nombre. Cuando establece un programa de actualización para un panel personalizado o habilita el panel de aspectos destacados mediante la consola de CloudTrail, esta le ofrece la opción de asociar una política basada en recursos al panel. Para ver una política de ejemplo, consulte Ejemplo de política basada en recursos para un panel.

Puede asociar una política basada en recursos mediante la consola de CloudTrail, el AWS CLI o la operación de la API PutreSourcePolicy.

Permisos clave de KMS para descifrar los datos de un almacén de datos de eventos

Si el almacén de datos de eventos que se está consultando está cifrado con una clave de KMS, asegúrese que la política de claves de KMS permite a CloudTrail descifrar los datos en el almacén de datos de eventos. El siguiente ejemplo de instrucción de política permite que la entidad principal del servicio CloudTrail descifre el almacén de datos de eventos.

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}