本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用控制台创建与 CloudTrail 合作伙伴的集成 当您创建与外部事件源的集成时 Amazon,可以选择其中一个合作伙伴作为您的事件源。当您创建 CloudTrail 与合作伙伴应用程序的集成时,合作伙伴需要您在此工作流程中创建的渠道的 Amazon 资源名称 (ARN) 才能向其发送事件。 CloudTrail在创建集成后,您可以按照合作伙伴的说明向合作伙伴提供所需的通道 ARN,以完成集成的配置。在合作伙伴调`PutAuditEvents`用整合频道 CloudTrail 后,集成开始将合作伙伴事件引入其中。 1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。 1. 在导航窗格中,打开 **Lake** 子菜单,然后选择**集成**。 1. 在 **Add integration**(添加集成)页面上,为您的通道输入名称。该名称可以包含 3-128 个字符。只允许使用字母、数字、句点、下划线和短划线。 1. 选择要从中获取事件的合作伙伴应用程序来源。如果您要与来自您自己的应用程序(在本地或云中托管)的事件集成,请选择 **My custom integration**(我的自定义集成)。 1. 在 **Event delivery location**(事件传送位置)中,选择将相同活动事件记录到现有事件数据存储中,或创建新的事件数据存储。 如果您选择创建新的事件数据存储,请输入事件数据存储的名称,选择定价选项,并以天为单位指定保留期。事件数据存储将保留指定天数内的事件数据。 如果您选择将活动事件记录到一个或多个现有事件数据存储中,请从列表中选择事件数据存储。事件数据存储只能包含活动事件。控制台中的事件类型必须是 **Events from integrations**(来自集成的事件)。在 API 中,`eventCategory` 值必须为 `ActivityAuditLog`。 1. 在 **Resource policy**(资源策略)中,为集成的通道配置资源策略。资源策略是 JSON 策略文档,它们指定了指定主体可在资源上执行的操作,以及在什么条件下执行操作。在资源策略中定义为主体的账户可以调用 `PutAuditEvents` API,以向您的通道传送事件。如果资源所有者的 IAM policy 允许 `cloudtrail-data:PutAuditEvents` 操作,则资源所有者将拥有对资源的隐式访问权限。 该策略所需的信息由集成类型决定。对于方向集成, CloudTrail 会自动添加合作伙伴的 Amazon 账户 IDs,并要求您输入合作伙伴提供的唯一外部 ID。对于解决方案集成,您必须将至少一个 Amazon 账户 ID 指定为委托人,并且可以选择输入外部 ID 以防止副手感到困惑。 **注意** 如果您没有为通道创建资源策略,则只有通道所有者可以针对该通道调用 `PutAuditEvents` API。 1. 对于直接集成,请输入您的合作伙伴提供的外部 ID。集成合作伙伴将提供唯一的外部 ID(如账户 ID 或随机生成的字符串)用于集成,以防范混淆代理。合作伙伴负责创建和提供唯一的外部 ID。 您可以选择 **How to find this?**(如何查找?),以查看描述如何查找外部 ID 的合作伙伴文档。 **注意** 如果资源策略包括外部 ID,则针对 `PutAuditEvents` API 的所有调用都必须包括该外部 ID。但是,如果策略未定义外部 ID,合作伙伴仍然可以调用 `PutAuditEvents` API,并指定 `externalId` 参数。 1. 对于解决方案集成,请选择**添加 Amazon 账户**以指定要作为委托人添加到策略中的 Amazon 账户 ID。 1. (可选)在 **Tags**(标签)区域中,您最多可以添加 50 个标签键和值对,以帮助您对事件数据存储和通道的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问,请参阅[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 Amazon,请参阅中的为[Amazon 资源添加标签](https://docs.amazonaws.cn/general/latest/gr/aws_tagging.html)。*Amazon Web Services 一般参考* 1. 在准备好创建新的集成后,请选择 **Add integration**(添加集成)。没有评论页面。 CloudTrail 创建集成,但您必须向合作伙伴应用程序提供渠道 Amazon 资源名称 (ARN)。有关向合作伙伴应用程序提供通道 ARN 的说明,可在合作伙伴文档网站上找到。有关更多信息,请在 **Integrations**(集成)页面的 **Available sources**(可用来源)选项卡上,选择与合作伙伴相对应的 **Learn more**(了解更多)链接,以便在 Amazon Web Services Marketplace中打开合作伙伴的页面。 要完成集成的设置,请向合作伙伴或来源应用程序提供通道 ARN。根据集成类型,您、合作伙伴或应用程序将运行 `PutAuditEvents` API,以将活动事件传送到您的 Amazon 账户的事件数据存储。活动事件传送后,您可以使用 CloudTrail Lake 搜索、查询和分析应用程序中记录的数据。您的事件数据包括与 CloudTrail事件负载相匹配的字段`eventVersion`,例如`eventSource`、和`userIdentity`。