使用控制台更新事件数据存储
本部分介绍如何使用 Amazon Web Services 管理控制台更新事件数据存储的设置。有关如何使用 Amazon CLI 更新事件数据存储的信息,请参阅使用 Amazon CLI 更新事件数据存储。
要更新事件数据存储
-
登录到 Amazon Web Services 管理控制台,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail
。 -
在导航窗格中,在 Lake 下,选择事件数据存储。
-
选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。
-
在一般详细信息中,选择编辑以更改以下设置:
-
事件数据存储名称 - 更改用于标识事件数据存储的名称。
-
定价选项 - 对于使用七年期保留定价选项的事件数据存储,您可以选择改用一年可延期保留定价。对于每月摄取的事件数据少于 25TB 的事件数据存储,我们建议采用一年可延期保留定价。如果您在寻求最长 10 年的灵活保留期,我们也建议您采用一年可延期保留定价。有关更多信息,请参阅 Amazon CloudTrail 定价
和管理 CloudTrail Lake 成本。 注意
对于使用一年可延期保留定价的事件数据存储,您无法更改定价选项。如果您想使用七年期保留定价,请停止在当前事件数据存储上进行摄取。然后使用七年期保留定价选项创建新的事件数据存储。
-
保留期 - 更改事件数据存储的保留期。保留期决定事件数据在事件数据存储中保存的时长。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。
注意
如果您缩短事件数据存储的保留期,CloudTrail 将删除所有
eventTime早于新保留期的事件。例如,如果之前的保留期为 365 天,而您将其缩短到 100 天,则 CloudTrail 将删除eventTime超过 100 天的事件。 -
加密 - 要使用自己的 KMS 密钥加密您的事件数据存储,请选择使用我自己的 Amazon KMS key。默认情况下,事件数据存储中的所有事件都由 CloudTrail 加密。使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。
注意
在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
-
要仅包含在当前 Amazon Web Services 区域 中记录的事件,请选择在我的事件数据存储中仅包含在当前区域中。如果不选择此选项,则您的事件数据存储将包含来自所有区域的事件。
-
要让您的事件数据存储收集 Amazon Organizations 组织中所有账户的事件,请选择为我的组织中的所有账户启用。只有当您使用组织的管理账户登录并且事件数据存储的事件类型为 CloudTrail 事件或配置项目时,此选项才可用。
完成后,选择保存更改。
-
-
在 Lake 查询联合身份验证中,选择编辑以启用或禁用 Lake 查询联合身份验证。通过启用 Lake 查询联合身份验证,您可以在 Amazon Glue 数据目录中查看您的事件数据存储的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。禁用 Lake 查询联合身份验证会禁用与 Amazon Glue、Amazon Lake Formation 和 Amazon Athena 的集成。禁用 Lake 查询联合身份验证后,您将无法再在 Athena 中查询数据。当您禁用联合身份验证时,将不会删除任何 CloudTrail Lake 数据,并且您可以继续在 CloudTrail Lake 中运行查询。
要启用联合身份验证,请执行以下操作:
请选择启用。
-
选择是创建新的 IAM 角色还是使用现有角色。当您创建新角色时,CloudTrail 将自动创建一个具有所需权限的角色。如果您使用现有角色,请确保该角色的策略提供所需的最低权限。
-
如果您在创建新的 IAM 角色,请为该角色输入名称。
-
如果您选择现有的 IAM 角色,请选择要使用的角色。角色必须存在于您的账户中。
完成后选择保存更改。
-
在资源策略中,选择编辑,以添加或修订事件数据存储的基于资源的策略。
基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 事件数据存储的基于资源的策略示例。
基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的主体以及主体可以对事件数据存储资源执行的操作。
事件数据存储的基于资源的策略支持以下操作:
-
cloudtrail:StartQuery -
cloudtrail:CancelQuery -
cloudtrail:ListQueries -
cloudtrail:DescribeQuery -
cloudtrail:GetQueryResults -
cloudtrail:GenerateQuery -
cloudtrail:GenerateQueryResultsSummary -
cloudtrail:GetEventDataStore
对于组织事件数据存储,CloudTrail 会创建一个默认基于资源的策略,其中列出了委派管理员账户可以对组织事件数据存储执行的操作。此策略中的权限来自 Amazon Organizations 中的委派管理员权限。在组织事件数据存储或组织发生变化(例如,注册或移除 CloudTrail 委派管理员账户)后,此策略会自动更新。
-
-
编辑特定于您的事件数据存储的事件类型的任何其他设置。
CloudTrail 事件的设置
-
要更改您的事件数据存储记录的事件,请在 CloudTrail 事件中选择编辑。
-
在管理事件中,选择编辑以更改管理事件的设置。有关更多信息,请参阅 更新现有事件数据存储的管理事件设置。
-
在数据事件中,选择编辑以更改数据事件的设置。您可以选择要记录的资源类型,也可以选择要使用的日志选择器模板。有关更多信息,请参阅 更新现有的事件数据存储以使用控制台记录数据事件。
-
在网络活动事件中,选择编辑以更改网络活动事件的设置。您可以选择要记录的网络活动事件类型,也可以选择要使用的日志选择器模板。有关更多信息,请参阅 。
-
在丰富事件,扩展事件大小中,选择编辑以添加或移除资源标签键和 IAM 全局条件键,然后扩展事件大小。
在丰富事件中,最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键,以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。
如果您添加资源标签键,CloudTrail 将包含与 API 调用中涉及的资源关联的所选标签键。与已删除资源相关的 API 事件将没有资源标签。
如果您添加 IAM 全局条件键,CloudTrail 将包含有关在授权过程中评估的所选条件键的信息,包括有关主体、会话、网络和请求本身的更多详细信息。
有关资源标签键和 IAM 全局条件键的信息显示在事件的
eventContext字段中。有关更多信息,请参阅 通过添加资源标签键和 IAM 全局条件键来丰富 CloudTrail 事件。注意
如果事件包含不属于该事件区域的资源,CloudTrail 将不会为此资源填充标签,因为标签检索仅限于事件区域。
选择扩展事件大小,将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时,此选项会自动启用,以确保添加的所有键都包含在事件中。
扩展事件大小有助于分析事件和对事件进行故障排除,因为只要事件有效载荷小于 1 MB,它就支持您查看以下字段的完整内容:
-
annotation -
requestID -
additionalEventData -
serviceEventDetails -
userAgent -
errorCode -
responseElements -
requestParameters -
errorMessage
有关这些字段的更多信息,请参阅 CloudTrail 记录内容。
完成后,选择保存更改。
-
集成事件设置
在集成中,选择您的集成。然后选择编辑以更改以下设置:
-
在集成详细信息中,更改标识集成通道的名称。
-
在事件传输位置中,选择事件的目的地。
-
在 Resource policy(资源策略)中,为集成的通道配置资源策略。
完成后,选择保存更改。
有关这些设置的更多信息,请参阅 使用控制台创建与 CloudTrail 合作伙伴的集成。
-
-
要添加、更改或移除标签,请在标签中选择编辑。您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。完成后,选择保存更改。