使用控制台为事件创建 CloudTrail事件数据存储 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台为事件创建 CloudTrail事件数据存储

事件 CloudTrail 的事件数据存储可以记录 CloudTrail 管理和数据事件。如果您选择一年可延期保留定价选项,则可以将事件数据在事件数据存储中最多保留 3653 天(大约 10 年);如果您选择七年保留定价选项,则最多可以保留 2557 天(大约 7 年)。

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

为 CloudTrail 管理事件或数据事件创建事件数据存储

使用此过程创建用于记录 CloudTrail 管理事件、数据事件或同时记录管理和数据事件的事件数据存储。

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择 Create event data store(创建事件数据存储)。

  4. Configure event data store(配置事件数据存储)页面上的 General details(一般细节)中,输入事件数据存储的名称。名称为必填项。

  5. 选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

    可用选项如下:

    • 一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go 定价延长保留期。这是默认选项。

      • 默认保留期:366 天

      • 最长保留期:3653 天

    • 七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。

      • 默认保留期:2557 天

      • 最长保留期:2557 天

  6. 指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。

    CloudTrail Lake 通过检查事件是否在eventTime指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime则 CloudTrail 会删除超过 90 天的事件。

    注意

    如果您要将跟踪事件复制到此事件数据存储中,则 CloudTrail 不会复制超过指定保留期的事件。eventTime要确定适当的保留期,请计算要复制的最早事件(以天为单位)和要在事件数据存储中保留这些事件的天数(保留期 = oldest-event-in-days+ number-days-to-retain)的总和。例如,如果您要复制的最早事件已有 45 天,并且您想将事件在事件数据存储中再保留 45 天,则可以将保留期设置为 90 天。

  7. (可选)要使用启用加密 Amazon Key Management Service,请选择使用我自己的加密 Amazon KMS key。选择 “建” 为您 Amazon KMS key 创建,或选择 “现有” 以使用现有 KMS 密钥。在输入 KMS 别名中,按格式指定别名alias/MyAliasName。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

    注意

    要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。

  8. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储

    要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:

    1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限

    2. 如果您在创建新角色,请输入名称来标识该角色。

    3. 如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。

  9. (可选)在 Tags(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon,请参阅《标记 Amazon 资源用户指南》中的为 Amazon 资源添加标签

  10. 选择 Next(下一步)以配置事件数据存储。

  11. “选择事件” 页面上,选择Amazon 事件,然后选择CloudTrail事件

  12. 对于CloudTrail 事件,请至少选择一种事件类型。默认情况下,已选中 Management events(管理事件)。您可以将管理事件和数据事件添加到事件数据存储中。有关管理事件的更多信息,请参阅 记录管理事件。有关数据事件的更多信息,请参阅 记录数据事件

  13. (可选)如果要从现有跟踪中复制事件以对过往事件运行查询,请选择 Copy trail events(复制跟踪事件)。要将跟踪事件复制到组织事件数据存储,必须使用该组织的管理账户。委托管理员账户无法将跟踪事件复制到组织事件数据存储。有关复制跟踪事件注意事项的更多信息,请参阅 复制跟踪事件的注意事项

  14. 要让您的事件数据存储收集 Amazon Organizations 企业中所有账户的事件,请选择 Enable for all accounts in my organization(为我的企业中的所有账户启用)。您必须登录到组织的管理账户或委托管理员账户,才能创建为组织收集事件的事件数据存储。

    注意

    要复制跟踪事件或启用 Insights 事件,您必须登录组织的管理账户。

  15. 展开其他设置以选择是希望事件数据存储收集所有 Amazon Web Services 区域事件还是仅收集当前事件 Amazon Web Services 区域,并选择事件数据存储是提取事件。默认情况下,您的事件数据存储会收集您账户中所有区域的事件,并在事件创建后开始摄取事件。

    1. 选择在我的事件数据存储中仅包含当前区域,以便仅包含在当前区域中记录的事件。如果不选择此选项,则您的事件数据存储将包含来自所有区域的事件。

    2. 如果您不希望事件数据存储开始摄取事件,请取消选择摄取事件。例如,如果您要复制跟踪事件并且不希望事件数据存储包含任何未来事件,则可能需要取消选择摄取事件。默认情况下,事件数据存储会在创建事件时开始摄取事件。

  16. 如果您的事件数据存储包括管理事件,您可以从以下选项中进行选择。有关管理事件的更多信息,请参阅 记录管理事件

    1. 选择是要包括读取事件、写入事件,还是两者兼而有之。至少需要选择一个选项。

    2. 选择是从您的事件数据存储中排除 Amazon Key Management Service Amazon RDS 数据 API 事件。

    3. 选择是否启用 Insights。要启用 Insights,您需要设置目标事件数据存储来将根据该事件数据存储中的管理事件活动收集 Insights 事件。

      如果您选择启用 Insights,请执行以下操作。

      1. 启用 Insights 中,选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息,请参阅 要创建记录 Insights 事件的目标事件数据存储

      2. 选择 Insights 类型。您可以选择 API 调用率API 错误率或同时选择此两者。您必须记录写入管理事件,以针对 API 调用率记录 Insights 事件。您必须记录读取写入管理事件,以针对 API 错误率记录 Insights 事件。

  17. 要在事件数据存储中包含数据事件,请执行以下操作。

    1. 选择数据事件类型。这是记录数据事件的 Amazon Web Service 和资源。要记录由 Lake Formation 创建的 Amazon Glue 表的数据事件,请为数据类型选择 Lake Formation。

    2. Log selector template(日志选择器模板)中,选择一个模板。您可以选择记录所有数据事件、readOnly 事件、writeOnly 事件,或者通过 Custom(自定义)来构建自定义日志选择器。

    3. (可选)在选择器名称中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 Name,展开 JSON 视图即可查看该名称。

    4. Advanced event selectors(高级事件选择器)中,通过为 Field(字段)、Operator(运算符)和 Value(值)选择值来构建表达式。事件数据存储的高级事件选择器的工作方式与应用于跟踪记录的高级事件选择器相同。有关如何构建高级事件选择器的详细信息,请参阅使用高级事件选择器记录数据事件

      以下示例使用 Custom(自定义)日志选择器模板,以从 S3 对象中选择仅以 Put 开头的事件名称,例如 PutObject。由于高级事件选择器不包括或排除任何其他事件类型或资源 ARN,因此以 Put 开头的所有 S3 数据事件(包括读取和写入),均存储在事件数据存储中。

      Lake 数据事件,高级事件选择器
      重要

      要使用 S3 存储桶 ARN 排除或包括高级事件选择器中的数据事件,请始终使用 Starts with 运算符。

    5. 或者,展开 JSON 视图将您的高级事件选择器作为 JSON 数据块查看。

  18. 要将现有跟踪事件复制到您的事件数据存储,请执行以下操作。

    1. 选择要复制的跟踪。默认情况下, CloudTrail 仅复制 S3 存储桶CloudTrail前缀中包含 CloudTrail 的事件和CloudTrail前缀中的前缀,而不检查其他 Amazon 服务的前缀。如果要复制其他前缀中包含 CloudTrail 的事件,请选择 Enter S3 URI,然后选择 Browse S3 浏览到该前缀。如果跟踪的源 S3 存储桶使用 KMS 密钥进行数据加密,请确保 KMS 密钥策略 CloudTrail 允许解密数据。如果您的源 S3 存储桶使用多个 KMS 密钥,则必须更新每个密钥的策略 CloudTrail 以允许解密存储桶中的数据。有关更新 KMS 密钥政策的更多信息,请参阅 用于解密源 S3 存储桶中数据的 KMS 密钥政策

    2. 选择复制事件的时间范围。 CloudTrail 在尝试复制跟踪事件之前,请检查前缀和日志文件名以验证该名称是否包含所选开始日期和结束日期之间的日期。您可以选择 Relative range(相对范围)或者 Absolute range(绝对范围)。为避免源跟踪和目标事件数据存储之间存在重复事件,请选择一个早于事件数据存储创建时间的时间范围。

      注意

      CloudTrail 仅复制在事件数据存储保留期eventTime内的跟踪事件。例如,如果事件数据存储的保留期为 90 天,则 CloudTrail 不会复制任何eventTime超过 90 天的跟踪事件。

      • 如果选择 “相对范围”,则可以选择复制过去 6 个月、1 年、2 年、7 年或自定义范围内记录的事件。 CloudTrail 复制选定时间段内记录的事件。

      • 如果选择 “绝对范围”,则可以选择特定的开始和结束日期。 CloudTrail 复制在所选开始日期和结束日期之间发生的事件。

    3. 对于 Permissions(权限),请从以下 IAM 角色选项中进行选择。如果您选择现有的 IAM 角色,请验证 IAM 角色策略是否提供了必要的权限。有关更新 IAM 角色权限的更多信息,请参阅 复制跟踪事件所需的 IAM 权限

      • 选择 Create a new role (recommended)(创建新角色(推荐))以创建新的 IAM 角色。在输入 IAM 角色名称中,输入角色的名称。 CloudTrail 会自动为这个新角色创建必要的权限。

      • 选择使用自定义 IAM 角色 ARN 以使用未列出的自定义 IAM 角色。对于 Enter IAM role ARN(输入 IAM 角色 ARN),输入 IAM ARN。

      • 从下拉列表中选择现有的 IAM 角色。

  19. 选择 Next(下一步)以查看您的选择。

  20. Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。

  21. 事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

    从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件(如果保持选中摄取事件选项)。除非选择复制现有跟踪事件,否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。

现在,您可以对新的事件数据存储运行查询。Sample queries(示例查询)选项卡提供了示例查询,以帮助您入门。有关创建和编辑查询的更多信息,请参阅创建或编辑查询

您还可以查看 CloudTrail Lake 仪表板以可视化事件数据存储中的事件。有关 Lake 控制面板的更多信息,请参阅 查看 CloudTrail 湖泊仪表板

示例:为管理事件创建事件数据存储

本演练向您展示了如何创建事件数据存储,该存储可以记录所有 Amazon 区域的所有管理事件,并且不记录任何数据事件。管理事件的示例包含安全事件(如 IAM CreateUserAttachRolePolicy 事件)、资源事件(如 RunInstancesCreateBucket),等等。

为管理事件创建事件数据存储
  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择 Create event data store(创建事件数据存储)。

  4. 在 “配置事件数据存储” 页面的 “常规详细信息” 中,为您的事件数据存储命名,例如my-management-events-eds。作为最佳实践,请使用可快速识别事件数据存储用途的名称。有关 CloudTrail 命名要求的信息,请参见命名要求

  5. 选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

    可用选项如下:

    • 一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go 定价延长保留期。这是默认选项。

      • 默认保留期:366 天

      • 最长保留期:3653 天

    • 七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。

      • 默认保留期:2557 天

      • 最长保留期:2557 天

  6. 指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。

    CloudTrail Lake 通过检查事件是否在eventTime指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime则 CloudTrail 会删除超过 90 天的事件。

  7. (可选)在加密中,选择是否要使用自己的 KMS 密钥加密事件数据存储。默认情况下,事件数据存储中的所有事件都 CloudTrail 使用为您 Amazon 拥有和管理的 KMS 密钥进行加密。

    要使用自己的 KMS 密钥进行加密,请选择使用我自己的 Amazon KMS key。选择 “建” 为您 Amazon KMS key 创建,或选择 “现有” 以使用现有 KMS 密钥。在输入 KMS 别名中,按格式指定别名alias/MyAliasName。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

    注意

    要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。

  8. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储

    要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:

    1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限

    2. 如果您在创建新角色,请输入名称来标识该角色。

    3. 如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。

  9. (可选)在标签中,将一个或多个自定义标签(键值对)添加到事件数据存储中。标签可以帮助您识别您的 CloudTrail 事件数据存储。例如,您可以附加名称为 stage、值为 prod 的标签。您可以使用标签来限制对事件数据存储的访问。您还可以使用标签来跟踪事件数据存储的查询和摄取成本。

    有关如何使用标签跟踪成本的信息,请参阅 为 CloudTrail Lake 事件数据存储创建用户定义的成本分配标签。有关如何使用 IAM 策略根据标签授权对事件数据存储的访问,请参阅 示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的信息 Amazon,请参阅《标记 Amazon 资源用户指南》中的为 Amazon 资源添加标签

  10. 选择 Next(下一步)以配置事件数据存储。

  11. 选择事件页面上,保留事件类型的默认选择。

  12. 对于CloudTrail 事件,请保留默认选项。默认情况下, CloudTrail 事件数据存储会收集管理事件,而不收集数据事件。有关管理事件的更多信息,请参阅 记录管理事件。有关数据事件的更多信息,请参阅 记录数据事件

  13. 保留复制跟踪事件的默认设置。您可以使用此选项将现有的跟踪事件复制到事件数据存储。有关更多信息,请参阅 将跟踪事件复制到事件数据存储

  14. 如果这是组织事件数据存储,请选择为我组织中的所有账户启用。除非您在 Amazon Organizations中配置了账户,否则此选项将不能进行更改。

  15. 对于其他设置,请保留默认选择。默认情况下,事件数据存储会收集所有人的事件, Amazon Web Services 区域 并在创建事件时开始摄取事件。

  16. 对于管理事件,选择同时收集读取写入事件。将 “排除 Amazon KMS 事件” 和 “排除 Amazon RDS 数据 API 事件” 复选框留空,以收集所有管理事件。将启用 Insights 事件复选框留空。

  17. 选择 Next(下一步)以查看您的选择。

  18. Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。

  19. 事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

    从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件。除非选择复制现有跟踪事件,否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。

示例:为 S3 数据事件创建事件数据存储

本演练向您展示如何为 Amazon S3 数据事件创建事件数据存储。在这种情况下,我们将不记录所有 Amazon S3 数据事件,而是选择自定义日志选择器模板来仅在从特定 S3 存储桶中删除对象时记录事件。

为 CloudTrail 数据事件创建事件数据存储
  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择 Create event data store(创建事件数据存储)。

  4. 配置事件数据存储页面上,在常规详细信息中,为您的事件数据存储命名,例如 s3-data-events-eds。作为最佳实践,请使用可快速识别事件数据存储用途的名称。有关 CloudTrail 命名要求的信息,请参见命名要求

  5. 选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

    可用选项如下:

    • 一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go 定价延长保留期。这是默认选项。

      • 默认保留期:366 天

      • 最长保留期:3653 天

    • 七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。

      • 默认保留期:2557 天

      • 最长保留期:2557 天

  6. 指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。

    CloudTrail Lake 通过检查事件是否在eventTime指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime则 CloudTrail 会删除超过 90 天的事件。

  7. (可选)在加密中,选择是否要使用自己的 KMS 密钥加密事件数据存储。默认情况下,事件数据存储中的所有事件都 CloudTrail 使用为您 Amazon 拥有和管理的 KMS 密钥进行加密。

    要使用自己的 KMS 密钥进行加密,请选择使用我自己的 Amazon KMS key。选择 “建” 为您 Amazon KMS key 创建,或选择 “现有” 以使用现有 KMS 密钥。在输入 KMS 别名中,按格式指定别名alias/MyAliasName。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

    注意

    要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。

  8. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储

    要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:

    1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限

    2. 如果您在创建新角色,请输入名称来标识该角色。

    3. 如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。

  9. (可选)在标签中,将一个或多个自定义标签(键值对)添加到事件数据存储中。标签可以帮助您识别您的 CloudTrail 事件数据存储。例如,您可以附加名称为 stage、值为 prod 的标签。您可以使用标签来限制对事件数据存储的访问。您还可以使用标签来跟踪事件数据存储的查询和摄取成本。

    有关如何使用标签跟踪成本的信息,请参阅 为 CloudTrail Lake 事件数据存储创建用户定义的成本分配标签。有关如何使用 IAM 策略根据标签授权对事件数据存储的访问,请参阅 示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的信息 Amazon,请参阅《标记 Amazon 资源用户指南》中的为 Amazon 资源添加标签

  10. 选择 Next(下一步)以配置事件数据存储。

  11. 选择事件页面上,保留事件类型的默认选择。

  12. 对于CloudTrail 事件,请选择数据事件并取消选择管理事件。有关数据事件的更多信息,请参阅 记录数据事件

  13. 保留复制跟踪事件的默认设置。您可以使用此选项将现有的跟踪事件复制到事件数据存储。有关更多信息,请参阅 将跟踪事件复制到事件数据存储

  14. 如果这是组织事件数据存储,请选择为我组织中的所有账户启用。除非您在 Amazon Organizations中配置了账户,否则此选项将不能进行更改。

  15. 对于其他设置,请保留默认选择。默认情况下,事件数据存储会收集所有人的事件, Amazon Web Services 区域 并在创建事件时开始摄取事件。

  16. 对于数据事件,请进行下列选择:

    1. 数据事件类型中,选择 S3。数据事件类型用于标识记录数据事件的 Amazon Web Service 和资源。

    2. 日志选择器模板中,选择自定义。选择自定义可定义自定义事件选择器来按 eventNameresources.ARNreadOnly 字段进行筛选。有关这些字段的信息,请参阅 Amazon CloudTrail API 参考AdvancedFieldSelector中的。

    3. (可选)在选择器名称中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如 “记录特定 S3 存储桶 DeleteObject 的 API 调用”。选择器名称在高级事件选择器中列为 Name,展开 JSON 视图即可查看该名称。

    4. 高级事件选择器中,我们将构建自定义事件选择器来筛选eventNameresources.ARN字段。事件数据存储的高级事件选择器的工作方式与应用于跟踪记录的高级事件选择器相同。有关如何构建高级事件选择器的详细信息,请参阅使用高级事件选择器记录数据事件

      1. 对于字段,选择 eventName。对于运算符,选择 equals。对于,请输入 DeleteObject。选择 + 字段可筛选其他字段。

      2. 对于字段,选择 resources.ARN。对于 “操作员”,选择StartsWith。对于,输入存储桶的 ARN(例如 arn:aws:s3:::bucket-name)。有关如何获取 ARN 的信息,请参阅《Amazon Simple Storage Service 用户指南》中的 Amazon S3 资源

  17. 选择 Next(下一步)以查看您的选择。

  18. Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。

  19. 事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

    从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件。除非选择复制现有跟踪事件,否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。