使用控制台为 Amazon 之外的事件创建事件数据存储

登录到 Amazon Web Services 管理控制台，然后通过以下网址打开 CloudTrail 控制台：https://console.aws.amazon.com/cloudtrail。

在导航窗格中，在 Lake 下，选择事件数据存储。

选择 Create event data store（创建事件数据存储）。

在 Configure event data store（配置事件数据存储）页面上的 General details（一般细节）中，输入事件数据存储的名称。名称为必填项。

选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 Amazon CloudTrail 定价 和管理 CloudTrail Lake 成本。

可用选项如下：

指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，七年期保留定价选项的保留期可以介于 7 天到 2557 天（约七年）之间。

CloudTrail Lake 通过检查事件的 eventTime 是否在指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，CloudTrail 将移除 eventTime 超过 90 天的事件。

（可选）要启用使用 Amazon Key Management Service 的加密，请选择使用我自己的 Amazon KMS key。选择 New（新建）将为您创建 Amazon KMS key，选择 Existing（现有）将使用现有 KMS 密钥。在 Enter KMS alias（输入 KMS 别名）中，使用 alias/MyAliasName 格式指定别名。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅 为 CloudTrail 配置 Amazon KMS 密钥策略。CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。

使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。

（可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 Lake 查询联合身份验证中选择启用。通过联合身份验证，您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。通过存储在 Amazon Glue 数据目录中的表元数据，Athena 查询引擎可以了解如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 联合事件数据存储。

要启用 Lake 查询联合身份验证，请选择启用，然后执行以下操作：

1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。当您使用 CloudTrail 控制台创建新角色时，CloudTrail 将自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供所需的最低权限。

2. 如果您在创建新角色，请输入名称来标识该角色。

3. 如果您使用现有角色，请选择要使用的角色。角色必须存在于您的账户中。

（可选）选择启用资源策略以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 事件数据存储的基于资源的策略示例。

基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的主体以及主体可以对事件数据存储资源执行的操作。

事件数据存储的基于资源的策略支持以下操作：

对于组织事件数据存储，CloudTrail 会创建一个默认基于资源的策略，其中列出了委派管理员账户可以对组织事件数据存储执行的操作。此策略中的权限来自 Amazon Organizations 中的委派管理员权限。在组织事件数据存储或组织发生变化（例如，注册或移除 CloudTrail 委派管理员账户）后，此策略会自动更新。

（可选）在 Tags（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅示例：拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在 Amazon 中使用标签的更多信息，请参阅《标记 Amazon 资源用户指南》中的 Tagging Amazon resources。

选择 Next（下一步）以配置事件数据存储。

在 Choose events（选择事件）页面上，选择 Events from integrations（来自集成的事件）。

在 Events from integration（来自集成的事件）中，选择来源以将事件传送到事件数据存储。

提供一个名称，用于标识集成的通道。该名称可以包含 3-128 个字符。只允许使用字母、数字、句点、下划线和短划线。

在 Resource policy（资源策略）中，为集成的通道配置资源策略。资源策略是 JSON 策略文档，它们指定了指定主体可在资源上执行的操作，以及在什么条件下执行操作。在资源策略中定义为主体的账户可以调用 PutAuditEvents API，以向您的通道传送事件。如果资源所有者的 IAM policy 允许 cloudtrail-data:PutAuditEvents 操作，则资源所有者将拥有对资源的隐式访问权限。

该策略所需的信息由集成类型决定。对于直接集成，CloudTrail 会自动添加合作伙伴的 Amazon 账户 ID，并要求您输入合作伙伴提供的唯一外部 ID。对于解决方案集成，您必须指定至少一个 Amazon 账户 ID 作为主体，并且可以选择输入外部 ID，以防范混淆代理。

1. 对于直接集成，请输入您的合作伙伴提供的外部 ID。集成合作伙伴将提供唯一的外部 ID（如账户 ID 或随机生成的字符串）用于集成，以防范混淆代理。合作伙伴负责创建和提供唯一的外部 ID。

   您可以选择 How to find this?（如何查找？），以查看描述如何查找外部 ID 的合作伙伴文档。

   注意

   如果资源策略包括外部 ID，则针对 PutAuditEvents API 的所有调用都必须包括该外部 ID。但是，如果策略未定义外部 ID，合作伙伴仍然可以调用 PutAuditEvents API，并指定 externalId 参数。

2. 对于解决方案集成，选择添加 Amazon 账户，以指定要在策略中添加为主体的每个 Amazon 账户 ID。

选择 Next（下一步）以查看您的选择。

在 Review and create（审核和重建）页面上，审核您的选择。选择 Edit（编辑）以对这节进行更改。当您准备好创建事件数据存储时，选择 Create event data store（创建事件数据存储）。

在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

向合作伙伴应用程序提供通道 Amazon 资源名称（ARN）。有关向合作伙伴应用程序提供通道 ARN 的说明，可在合作伙伴文档网站上找到。有关更多信息，请在 Integrations（集成）页面的 Available sources（可用来源）选项卡上，选择与合作伙伴相对应的 Learn more（了解更多）链接，以便在 Amazon Web Services Marketplace 中打开合作伙伴的页面。