使用控制台将跟踪事件复制到新的事件数据存储 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用控制台将跟踪事件复制到新的事件数据存储

此演练为您展示如何将跟踪事件复制到新的 CloudTrail Lake 事件数据存储,以进行历史分析。有关复制跟踪事件的更多信息,请参阅将跟踪事件复制到事件数据存储

将跟踪事件复制到新的事件数据存储

  1. 登录到 Amazon Web Services 管理控制台,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 在导航窗格中,在 Lake 下,选择事件数据存储

  3. 选择 Create event data store(创建事件数据存储)。

  4. 配置事件数据存储页面上,在一般详细信息中,为您的事件数据存储命名,例如 my-management-events-eds。作为最佳实践,请使用可快速识别事件数据存储用途的名称。有关 CloudTrail 命名要求的信息,请参阅CloudTrail 资源、S3 存储桶和 KMS 密钥的命名要求

  5. 选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail Lake 成本

    可用选项如下:

    • 一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可按即用即付定价模式提供延长保留。这是默认选项。

      • 默认保留期:366 天

      • 最长保留期:3653 天

    • 七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。

      • 默认保留期:2557 天

      • 最长保留期:2557 天

  6. 指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。

    CloudTrail Lake 通过检查事件的 eventTime 是否在指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,CloudTrail 将移除 eventTime 超过 90 天的事件。

    注意

    如果事件的 eventTime 晚于指定的保留期,则 CloudTrail 不会复制该事件。

    要确定适当的保留期,请计算要复制的最旧事件(以天为单位)和要在事件数据存储中保留这些事件的天数的总和(保留期 = 最旧的事件(天数)+ 要保留的天数)。例如,如果您要复制的最早事件已有 45 天,并且您想将事件在事件数据存储中再保留 45 天,则可以将保留期设置为 90 天。

  7. (可选)在加密中,选择是否要使用自己的 KMS 密钥加密事件数据存储。默认情况下,事件数据存储中的所有事件都由 CloudTrail 使用 Amazon 拥有并为您管理的 KMS 密钥加密。

    要使用自己的 KMS 密钥进行加密,请选择使用我自己的 Amazon KMS key。选择 New(新建)将为您创建 Amazon KMS key,选择 Existing(现有)将使用现有 KMS 密钥。在 Enter KMS alias(输入 KMS 别名)中,使用 alias/MyAliasName 格式指定别名。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥政策,以允许加密和解密 CloudTrail 日志。有关更多信息,请参阅 为 CloudTrail 配置 Amazon KMS 密钥策略。CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

    注意

    要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。

  8. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。通过存储在 Amazon Glue 数据目录中的表元数据,Athena 查询引擎可以了解如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储

    要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:

    1. 选择是要创建新角色还是使用现有 IAM 角色。Amazon Lake Formation 使用此角色管理联合事件数据存储的权限。当您使用 CloudTrail 控制台创建新角色时,CloudTrail 将自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限

    2. 如果您在创建新角色,请输入名称来标识该角色。

    3. 如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。

  9. (可选)选择启用资源策略以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 事件数据存储的基于资源的策略示例

    基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的主体以及主体可以对事件数据存储资源执行的操作。

    事件数据存储的基于资源的策略支持以下操作:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    对于组织事件数据存储,CloudTrail 会创建一个默认基于资源的策略,其中列出了委派管理员账户可以对组织事件数据存储执行的操作。此策略中的权限来自 Amazon Organizations 中的委派管理员权限。在组织事件数据存储或组织发生变化(例如,注册或移除 CloudTrail 委派管理员账户)后,此策略会自动更新。

  10. (可选)在标签中,将一个或多个自定义标签(键值对)添加到事件数据存储中。标签可帮助标识您的 CloudTrail 事件数据存储。例如,您可以附加名称为 stage、值为 prod 的标签。您可以使用标签来限制对事件数据存储的访问。您还可以使用标签来跟踪事件数据存储的查询和摄取成本。

    有关如何使用标签跟踪成本的信息,请参阅为 CloudTrail Lake 事件数据存储创建用户定义的成本分配标签。。有关如何使用 IAM 策略根据标签授权对事件数据存储的访问,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在 Amazon 中使用标签的信息,请参阅《标记 Amazon 资源用户指南》中的 Tagging your Amazon resources

  11. 选择 Next(下一步)以配置事件数据存储。

  12. 选择事件页面上,保留事件类型的默认选择。

  13. 对于 CloudTrail 事件,我们将选中管理事件,然后选择复制跟踪事件。在此示例中,我们并不关心事件类型,因为我们仅使用事件数据存储来分析过去的事件,而不是摄取未来的事件。

    如果您要创建事件数据存储来替换现有的跟踪,请选择与您的跟踪相同的事件选择器,以确保事件数据存储具有相同的事件覆盖范围。

  14. 如果这是组织事件数据存储,请选择为我组织中的所有账户启用。除非您在 Amazon Organizations 中配置了账户,否则此选项将不能进行更改。

    注意

    如果您要创建组织事件数据存储,则必须使用组织的管理账户登录,因为只有管理账户才能将跟踪事件复制到组织事件数据存储。

  15. 对于其他设置,我们将取消选择摄取事件,因为在此示例中,我们不希望事件数据存储摄取任何未来事件,我们只对查询复制的事件感兴趣。默认情况下,事件数据存储会收集所有 Amazon Web Services 区域的事件,并在创建事件时开始摄取事件。

  16. 对于管理事件,我们将保留默认设置。

  17. 复制跟踪事件区域中,完成以下步骤。

    1. 选择要复制的跟踪。在此示例中,我们将选择一个名为 management-events 的跟踪。

      默认情况下,CloudTrail 仅复制 S3 存储桶 CloudTrail 前缀中包含的 CloudTrail 事件以及 CloudTrail 前缀中的前缀,而不会检查其他 Amazon 服务的前缀。如果要复制另一个前缀中包含的 CloudTrail 事件,请选择 Enter S3 URI(输入 S3 URI),然后选择 Browse S3(浏览 S3)以浏览到该前缀。如果跟踪的源 S3 桶使用 KMS 密钥进行数据加密,请确保 KMS 密钥政策允许 CloudTrail 解密数据。如果您的源 S3 桶使用多个 KMS 密钥,则必须更新每个密钥的策略,以允许 CloudTrail 解密桶中的数据。有关更新 KMS 密钥政策的更多信息,请参阅用于解密源 S3 存储桶中数据的 KMS 密钥政策

    2. 选择复制事件的时间范围。CloudTrail 会先检查前缀和日志文件名,以验证名称是否包含所选开始日期和结束日期之间的日期,然后再尝试复制跟踪事件。您可以选择 Relative range(相对范围)或者 Absolute range(绝对范围)。为避免源跟踪和目标事件数据存储之间存在重复事件,请选择一个早于事件数据存储创建时间的时间范围。

      • 如果选择相对范围,则可以选择复制过去 6 个月、1 年、 2 年、7 年或自定义范围内记录的事件。CloudTrail 会复制此所选时间段内记录的事件。

      • 如果您选择 Absolute range(绝对范围),您可以选择特定的开始和结束日期。CloudTrail 会复制在选定的开始日期和结束日期之间发生的事件。

      在此示例中,我们将选择绝对范围,然后选择整个 5 月份。

    3. 对于 Permissions(权限),请从以下 IAM 角色选项中进行选择。如果您选择现有的 IAM 角色,请验证 IAM 角色策略是否提供了必要的权限。有关更新 IAM 角色权限的更多信息,请参阅复制跟踪事件所需的 IAM 权限

      • 选择 Create a new role (recommended)(创建新角色(推荐))以创建新的 IAM 角色。对于 Enter IAM role name(输入 IAM 角色名称),输入角色的名称。CloudTrail 会自动为此新角色创建必要的权限。

      • 选择使用自定义 IAM 角色 ARN以使用未列出的自定义 IAM 角色。对于 Enter IAM role ARN(输入 IAM 角色 ARN),输入 IAM ARN。

      • 从下拉列表中选择现有的 IAM 角色。

      在此示例中,我们将选择新建角色(推荐)并提供名称 copy-trail-events

  18. 选择 Next(下一步)以查看您的选择。

  19. Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。

  20. 事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。

  21. 选择事件数据存储名称以查看其详细信息页面。详细信息页面显示事件数据存储的详细信息以及复制状态。事件复制状态显示在事件复制状态区域中。

    跟踪事件复制完成后,如果复制未出错,则 Copy status(复制状态)将设置为 Completed(已完成),否则如果出错了,则设置为 Failed(失败)。

  22. 要查看有关复制的更多详细信息,请在事件日志 S3 位置列中选择复制名称,或从操作菜单中选择查看详细信息选项。有关查看跟踪事件复制详细信息的更多信息,请参阅使用 CloudTrail 控制台查看事件复制详细信息

  23. 复制失败区域显示复制跟踪事件时发生的所有错误。如果 Copy status(复制状态)为 Failed(失败),则要先修复 Copy failures(复制失败)中显示的所有错误,然后选择 Retry copy(重试复制)。当您重试复制时,CloudTrail 会在出错的位置恢复复制。