本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为之外的事件创建事件数据存储 Amazon
您可以创建事件数据存储以包含外部的事件 Amazon,然后使用 CloudTrail Lake 搜索、查询和分析应用程序中记录的数据。
您可以使用 La CloudTrail ke 集成来记录和存储来自外部的用户活动数据 Amazon;这些数据来自混合环境中的任何来源,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。
在为集成创建事件数据存储时,您还会创建一个通道,并将资源策略附加到该通道。
CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail 定价
为之外的事件创建事件数据存储 Amazon
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,在 Lake 下,选择事件数据存储。
-
选择 Create event data store(创建事件数据存储)。
-
在 Configure event data store(配置事件数据存储)页面上的 General details(一般细节)中,输入事件数据存储的名称。名称为必填项。
-
选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价
和 管理 CloudTrail 湖泊成本。 可用选项如下:
-
一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go 定价延长保留期。这是默认选项。
-
默认保留期:366 天
-
最长保留期:3653 天
-
-
七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
-
默认保留期:2557 天
-
最长保留期:2557 天
-
-
-
指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。
CloudTrail Lake 通过检查事件是否在
eventTime指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime则 CloudTrail 会删除超过 90 天的事件。 -
(可选)要使用启用加密 Amazon Key Management Service,请选择使用我自己的加密 Amazon KMS key。选择 “新建” 为您 Amazon KMS key 创建,或选择 “现有” 以使用现有 KMS 密钥。在输入 KMS 别名中,按格式指定别名
alias/MyAliasName。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅为 CloudTrail 配置 Amazon KMS 密钥策略。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
注意
要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。
-
(可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储。
要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:
-
选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限。
-
如果您在创建新角色,请输入名称来标识该角色。
-
如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。
-
-
(可选)在 Tags(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
-
选择 Next(下一步)以配置事件数据存储。
-
在 Choose events(选择事件)页面上,选择 Events from integrations(来自集成的事件)。
-
在 Events from integration(来自集成的事件)中,选择来源以将事件传送到事件数据存储。
-
提供一个名称,用于标识集成的通道。该名称可以包含 3-128 个字符。只允许使用字母、数字、句点、下划线和短划线。
-
在 Resource policy(资源策略)中,为集成的通道配置资源策略。资源策略是 JSON 策略文档,它们指定了指定主体可在资源上执行的操作,以及在什么条件下执行操作。在资源策略中定义为主体的账户可以调用
PutAuditEventsAPI,以向您的通道传送事件。如果资源所有者的 IAM policy 允许cloudtrail-data:PutAuditEvents操作,则资源所有者将拥有对资源的隐式访问权限。该策略所需的信息由集成类型决定。对于方向集成, CloudTrail 会自动添加合作伙伴的 Amazon 账户 ID,并要求您输入合作伙伴提供的唯一外部 ID。对于解决方案集成,您必须将至少一个 Amazon 账户 ID 指定为委托人,并且可以选择输入外部 ID 以防止副手感到困惑。
注意
如果您没有为通道创建资源策略,则只有通道所有者可以针对该通道调用
PutAuditEventsAPI。-
对于直接集成,请输入您的合作伙伴提供的外部 ID。集成合作伙伴将提供唯一的外部 ID(如账户 ID 或随机生成的字符串)用于集成,以防范混淆代理。合作伙伴负责创建和提供唯一的外部 ID。
您可以选择 How to find this?(如何查找?),以查看描述如何查找外部 ID 的合作伙伴文档。
注意
如果资源策略包括外部 ID,则针对
PutAuditEventsAPI 的所有调用都必须包括该外部 ID。但是,如果策略未定义外部 ID,合作伙伴仍然可以调用PutAuditEventsAPI,并指定externalId参数。 -
对于解决方案集成,请选择添加 Amazon 账户以指定要作为委托人添加到策略中的每个 Amazon 账户 ID。
-
-
选择 Next(下一步)以查看您的选择。
-
在 Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。
-
在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。
-
向合作伙伴应用程序提供通道 Amazon 资源名称(ARN)。有关向合作伙伴应用程序提供通道 ARN 的说明,可在合作伙伴文档网站上找到。有关更多信息,请在 Integrations(集成)页面的 Available sources(可用来源)选项卡上,选择与合作伙伴相对应的 Learn more(了解更多)链接,以便在 Amazon Web Services Marketplace中打开合作伙伴的页面。
当您、合作伙伴或合作伙伴应用程序在渠道上调用 PutAuditEvents API 时,事件数据存储会开始 CloudTrail 通过集成的渠道将合作伙伴事件提取到该渠道中。