使用控制台为外部的事件创建事件数据存储 Amazon - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台为外部的事件创建事件数据存储 Amazon

您可以创建事件数据存储以包含外部的事件 Amazon,然后使用 CloudTrail Lake 搜索、查询和分析应用程序中记录的数据。

您可以使用 La CloudTrail ke 集成从外部记录和存储来自混合环境中任何来源的 Amazon用户活动数据,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。

在为集成创建事件数据存储时,您还会创建一个通道,并将资源策略附加到该通道。

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

为之外的事件创建事件数据存储 Amazon

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择 Create event data store(创建事件数据存储)。

  4. Configure event data store(配置事件数据存储)页面上的 General details(一般细节)中,输入事件数据存储的名称。名称为必填项。

  5. 选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

    可用选项如下:

    • 一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。

      • 默认保留期:366 天

      • 最长保留期:3653 天

    • 七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。

      • 默认保留期:2557 天

      • 最长保留期:2557 天

  6. 指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。

    CloudTrail Lake 通过检查事件是否在eventTime指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime则 CloudTrail 会删除超过 90 天的事件。

  7. (可选)要使用启用加密 Amazon Key Management Service,请选择使用我自己的加密 Amazon KMS key。选择 “建” 为您 Amazon KMS key 创建密钥,或选择 “现有” 以使用现有KMS密钥。在输入KMS别名中,按格式指定别名alias/MyAliasName。使用自己的KMS密钥需要您编辑KMS密钥策略以允许对事件数据存储进行加密和解密。有关更多信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    使用自己的KMS密钥会产生加密和解密的 Amazon KMS 费用。将事件数据存储与KMS密钥关联后,该密KMS钥将无法移除或更改。

    注意

    要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有KMS密钥。

  8. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。Federation 允许您在数据目录中查看与事件数据存储相关的元 Amazon Glue 数据,并对 Athena 中的事件数据运行SQL查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储

    要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:

    1. 选择是要创建新角色还是使用现有IAM角色。 Amazon Lake Formation使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限

    2. 如果您在创建新角色,请输入名称来标识该角色。

    3. 如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。

  9. (可选)选择 “启用资源策略”,将基于资源的策略添加到您的事件数据存储中。基于资源的策略允许您控制哪些委托人可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 事件数据存储的基于资源的策略示例

    基于资源的策略包括一个或多个声明。策略中的每条语句都定义了允许或拒绝访问事件数据存储的主体,以及委托人可以对事件数据存储资源执行的操作。

    基于资源的事件数据存储策略支持以下操作:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    对于组织事件数据存储, CloudTrail 创建基于资源的默认策略,该策略列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自中委派的管理员权限 Amazon Organizations。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。

  10. (可选)在 Tags(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。有关如何使用IAM策略根据标签授权对事件数据存储的访问权限的更多信息,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon,请参阅《标记 Amazon 资源用户指南》中的为 Amazon 资源添加标签

  11. 选择 Next(下一步)以配置事件数据存储。

  12. Choose events(选择事件)页面上,选择 Events from integrations(来自集成的事件)。

  13. Events from integration(来自集成的事件)中,选择来源以将事件传送到事件数据存储。

  14. 提供一个名称,用于标识集成的通道。该名称可以包含 3-128 个字符。只允许使用字母、数字、句点、下划线和短划线。

  15. Resource policy(资源策略)中,为集成的通道配置资源策略。资源JSON策略是政策文档,用于指定委托人可以在什么条件下对资源执行哪些操作。在资源策略中定义为委托人的账户可以调用,PutAuditEventsAPI将活动发送到您的频道。如果资源所有者的IAM策略允许该cloudtrail-data:PutAuditEvents操作,则资源所有者拥有对资源的隐式访问权限。

    该策略所需的信息由集成类型决定。对于方向集成, CloudTrail 会自动添加合作伙伴的 Amazon 账户IDs,并要求您输入合作伙伴提供的唯一外部 ID。对于解决方案集成,您必须将至少一个 Amazon 账户 ID 指定为委托人,并且可以选择输入外部 ID 以防止副手感到困惑。

    注意

    如果您没有为频道创建资源策略,则只有频道所有者才能在频道PutAuditEventsAPI上调用。

    1. 对于直接集成,请输入您的合作伙伴提供的外部 ID。集成合作伙伴将提供唯一的外部 ID(如账户 ID 或随机生成的字符串)用于集成,以防范混淆代理。合作伙伴负责创建和提供唯一的外部 ID。

      您可以选择 How to find this?(如何查找?),以查看描述如何查找外部 ID 的合作伙伴文档。

      注意

      如果资源策略包含外部 ID,则对的所有调用都PutAuditEventsAPI必须包括外部 ID。但是,如果策略未定义外部 ID,则合作伙伴仍可以调用PutAuditEventsAPI并指定externalId参数。

    2. 对于解决方案集成,请选择添加 Amazon 账户以指定要作为委托人添加到策略中的每个 Amazon 账户 ID。

  16. 选择 Next(下一步)以查看您的选择。

  17. Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。

  18. 事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

  19. 向合作伙伴应用程序提供渠道 Amazon 资源名称 (ARN)。为合作伙伴应用程序ARN提供渠道的说明可在合作伙伴文档网站上找到。有关更多信息,请在 Integrations(集成)页面的 Available sources(可用来源)选项卡上,选择与合作伙伴相对应的 Learn more(了解更多)链接,以便在 Amazon Web Services Marketplace中打开合作伙伴的页面。

当您、合作伙伴或合作伙伴应用程序在频道上调用合作伙伴事件时,事件数据存储会开始 CloudTrail 通过集成的渠道将合作伙伴事件提取到该PutAuditEventsAPI渠道中。