为 Ins CloudTrail ights 事件创建事件数据存储

登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台，网址为 https://console.aws.amazon.com/cloudtrail/。

在导航窗格中，打开 Lake（湖）子菜单，然后选择 Event data stores（事件数据存储）。

选择 Create event data store（创建事件数据存储）。

在 Configure event data store（配置事件数据存储）页面上的 General details（一般细节）中，输入事件数据存储的名称。名称为必填项。

选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 Amazon CloudTrail 定价 和 管理 CloudTrail 湖泊成本。

可用选项如下：

指定事件数据存储的保留期（以天为单位）。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，七年期保留定价选项的保留期可以介于 7 天到 2557 天（约七年）之间。事件数据存储将保留指定天数内的事件数据。

（可选）要使用启用加密 Amazon Key Management Service，请选择使用我自己的加密 Amazon KMS key。选择 “新建” 为您 Amazon KMS key 创建，或选择 “现有” 以使用现有 KMS 密钥。在输入 KMS 别名中，按格式指定别名alias/MyAliasName。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息，请参阅为 CloudTrail 配置 Amazon KMS 密钥策略。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。

使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。

（可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 Lake 查询联合身份验证中选择启用。通过联合身份验证，您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 联合事件数据存储。

要启用 Lake 查询联合身份验证，请选择启用，然后执行以下操作：

1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供所需的最低权限。

2. 如果您在创建新角色，请输入名称来标识该角色。

3. 如果您使用现有角色，请选择要使用的角色。角色必须存在于您的账户中。

（可选）在 Tags（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅示例：拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon，请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考

选择 Next（下一步）以配置事件数据存储。

在 “选择事件” 页面上，选择Amazon 事件，然后选择 CloudTrailInsights 事件。

在 CloudTrail Insights 事件中，执行以下操作。

1. 如果您要向组织的委托管理员授予对此事件数据存储的访问权限，请选择允许委托管理员访问权。只有当您使用 Amazon Organizations 组织的管理账户登录时，此选项才可用。

2. （可选）选择用于记录管理事件的现有源事件数据存储，并指定要接收的 Insights 类型。

   要添加源事件数据存储，请执行以下操作。

   1. 选择添加源事件数据存储。

   2. 选择源事件数据存储。

   3. 选择要接收的 Insights 类型。

      • ApiCallRateInsight – ApiCallRateInsight Insights 类型根据基准 API 调用量分析每分钟汇总的只写管理 API 调用。要接收关于 ApiCallRateInsight 的 Insights，源事件数据存储必须记录写入管理事件。

      • ApiErrorRateInsight – ApiErrorRateInsight Insights 类型分析生成错误代码的管理 API 调用。如果 API 调用不成功，就会显示错误。要接收关于 ApiErrorRateInsight 的 Insights，源事件数据存储必须记录写入或读取管理事件。

   4. 重复前两个步骤（ii 和 iii），以添加您想要接收的任何其他 Insights 类型。

选择 Next（下一步）以查看您的选择。

在 Review and create（审核和重建）页面上，审核您的选择。选择 Edit（编辑）以对这节进行更改。当您准备好创建事件数据存储时，选择 Create event data store（创建事件数据存储）。

在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

如果您没有在步骤 10 中选择源事件数据存储，请按照 要创建启用 Insights 事件的源事件数据存储 中的步骤创建源事件数据存储。

登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台，网址为 https://console.aws.amazon.com/cloudtrail/。

在导航窗格中，打开 Lake（湖）子菜单，然后选择 Event data stores（事件数据存储）。

选择 Create event data store（创建事件数据存储）。

在 Configure event data store（配置事件数据存储）页面上的 General details（一般细节）中，输入事件数据存储的名称。名称为必填项。

选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 Amazon CloudTrail 定价 和 管理 CloudTrail 湖泊成本。

可用选项如下：

指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，七年期保留定价选项的保留期可以介于 7 天到 2557 天（约七年）之间。

CloudTrail Lake 通过检查事件是否在eventTime指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，eventTime则 CloudTrail 会删除超过 90 天的事件。

（可选）要使用启用加密 Amazon Key Management Service，请选择使用我自己的加密 Amazon KMS key。选择 “新建” 为您 Amazon KMS key 创建，或选择 “现有” 以使用现有 KMS 密钥。在输入 KMS 别名中，按格式指定别名alias/MyAliasName。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息，请参阅为 CloudTrail 配置 Amazon KMS 密钥策略。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。

使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。

（可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 Lake 查询联合身份验证中选择启用。通过联合身份验证，您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 联合事件数据存储。

要启用 Lake 查询联合身份验证，请选择启用，然后执行以下操作：

1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供所需的最低权限。

2. 如果您在创建新角色，请输入名称来标识该角色。

3. 如果您使用现有角色，请选择要使用的角色。角色必须存在于您的账户中。

（可选）在 Tags（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅示例：拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon，请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考

选择 Next（下一步）以配置事件数据存储。

在 “选择事件” 页面上，选择Amazon 事件，然后选择CloudTrail事件。

在CloudTrail 事件中，将管理事件保留为选中状态。

要让您的事件数据存储收集 Amazon Organizations 企业中所有账户的事件，请选择 Enable for all accounts in my organization（为我的企业中的所有账户启用）。您必须登录组织的管理账户，才能创建启用 Insights 解的事件数据存储。

展开其他设置以选择是希望事件数据存储收集所有 Amazon Web Services 区域事件还是仅收集当前事件 Amazon Web Services 区域，并选择事件数据存储是提取事件。默认情况下，您的事件数据存储会收集您账户中所有区域的事件，并在事件创建后开始摄取事件。

1. 如果您想要仅包含在当前区域中记录的事件，选择在我的事件数据存储中仅包含当前区域。如果不选择此选项，则您的事件数据存储将包含来自所有区域的事件。

2. 将摄取事件保留为选中状态。

选择要包含在事件数据存储中的管理事件的类型。您可以选择读取、写入或同时选择此两者。至少需要选择一个选项。

您可以选择从事件数据存储中排除 Amazon Key Management Service Amazon RDS 数据 API 事件。有关这些选项的详细信息，请参阅 记录管理事件。

选择启用 Insights。

在启用 Insights 中，选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息，请参阅 要创建记录 Insights 事件的目标事件数据存储。

选择 Insights 类型。您可以选择 API 调用率、API 错误率或同时选择此两者。您必须记录写入管理事件，以针对 API 调用率记录 Insights 事件。您必须记录读取或写入管理事件，以针对 API 错误率记录 Insights 事件。

选择 Next（下一步）以查看您的选择。

在 Review and create（审核和重建）页面上，审核您的选择。选择 Edit（编辑）以对这节进行更改。当您准备好创建事件数据存储时，选择 Create event data store（创建事件数据存储）。

在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

从现在开始，事件数据存储将捕获与其高级事件选择器匹配的事件。首次在源事件数据存储上启用 CloudTrail Insights 后，如果检测到异常活动，则最多可能需要 7 天才能 CloudTrail 将第一个 Insights 事件传送到目标事件数据存储。

您可以查看 CloudTrail Lake 仪表板以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息，请参阅 查看 Lake 控制面板。