本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用控制台将跟踪事件复制到新的事件数据存储 本演练向您展示了如何将跟踪事件复制到新的 CloudTrail Lake 事件数据存储中以进行历史分析。有关复制跟踪事件的更多信息,请参阅[将跟踪事件复制到事件数据存储](cloudtrail-copy-trail-to-lake-eds.md)。 **将跟踪事件复制到新的事件数据存储** 1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。 1. 在导航窗格中,在 **Lake** 下,选择**事件数据存储**。 1. 选择**创建事件数据存储**。 1. 在**配置事件数据存储**页面上,在**常规详细信息**中,为您的事件数据存储命名,例如{{my-management-events-eds}}。作为最佳实践,请使用可快速识别事件数据存储用途的名称。有关 CloudTrail 命名要求的信息,请参见[CloudTrail 资源、S3 存储桶和 KMS 密钥的命名要求](cloudtrail-trail-naming-requirements.md)。 1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 [Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。 可用选项如下: + **一年可延期保留定价**:如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。 + **默认保留期:**366 天 + **最长保留期:**3653 天 + **七年期保留定价**:如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。 + **默认保留期:**2557 天 + **最长保留期:**2557 天 1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,**七年期保留定价**选项的保留期可以介于 7 天到 2557 天(约七年)之间。 CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,`eventTime`则 CloudTrail 会删除超过 90 天的事件。 **注意** CloudTrail 如果事件早于指定的保留期`eventTime`,则不会复制该事件。 要确定适当的保留期,请计算要复制的最早事件(以天为单位)和要在事件数据存储中保留这些事件的天数(**保留期** = {{oldest-event-in-days}} \+{{number-days-to-retain}})的总和。例如,如果您要复制的最早事件已有 45 天,并且您想将事件在事件数据存储中再保留 45 天,则可以将保留期设置为 90 天。 1. (可选)在**加密**中,选择是否要使用自己的 KMS 密钥加密事件数据存储。默认情况下,事件数据存储中的所有事件都 CloudTrail 使用为您 Amazon 拥有和管理的 KMS 密钥进行加密。 要使用自己的 KMS 密钥进行加密,请选择**使用我自己的 Amazon KMS key**。选择 “**新**建” 为您 Amazon KMS key 创建,或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中,按格式指定别名`alias/`{{MyAliasName}}。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅[为以下各项配置 Amazon KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *Amazon Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.amazonaws.cn/kms/latest/developerguide/multi-region-keys-overview.html)。 使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。 **注意** 要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。 1. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证,您可以在 Amazon Glue [数据目录](https://docs.amazonaws.cn/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。 要启用 Lake 查询联合身份验证,请选择**启用**,然后执行以下操作: 1. 选择是要创建新角色还是使用现有 IAM 角色。[Amazon Lake Formation](https://docs.amazonaws.cn/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。 1. 如果您在创建新角色,请输入名称来标识该角色。 1. 如果您使用现有角色,请选择要使用的角色。该角色必须存在于您的 账户中。 1. (可选)选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。 基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。 事件数据存储的基于资源的策略支持以下操作: + `cloudtrail:StartQuery` + `cloudtrail:CancelQuery` + `cloudtrail:ListQueries` + `cloudtrail:DescribeQuery` + `cloudtrail:GetQueryResults` + `cloudtrail:GenerateQuery` + `cloudtrail:GenerateQueryResultsSummary` + `cloudtrail:GetEventDataStore` 对于[组织事件数据存储](cloudtrail-lake-organizations.md), CloudTrail 创建[基于资源的默认策略,该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 Amazon Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。 1. (可选)在**标签**中,将一个或多个自定义标签(键值对)添加到事件数据存储中。标签可以帮助您识别您的 CloudTrail 事件数据存储。例如,您可以附加名称为 **stage**、值为 **prod** 的标签。您可以使用标签来限制对事件数据存储的访问。您还可以使用标签来跟踪事件数据存储的查询和摄取成本。 有关如何使用标签跟踪成本的信息,请参阅[为 CloudTrail Lake 事件数据存储创建用户定义的成本分配标签](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags)。有关如何使用 IAM 策略根据标签授权对事件数据存储的访问,请参阅[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的信息 Amazon,请参阅《[标记 Amazon 资源用户指南](https://docs.amazonaws.cn/tag-editor/latest/userguide/tagging.html)*》中的为 Amazon 资源添加标签*。 1. 选择**下一步**以配置事件数据存储。 1. 在**选择事件**页面上,保留**事件类型**的默认选择。 1. 对于**CloudTrail 事件**,我们将选中**管理事件**,然后选择**复制跟踪事件**。在此示例中,我们并不关心事件类型,因为我们仅使用事件数据存储来分析过去的事件,而不是摄取未来的事件。 如果您要创建事件数据存储来替换现有的跟踪,请选择与您的跟踪相同的事件选择器,以确保事件数据存储具有相同的事件覆盖范围。 1. 如果这是组织事件数据存储,请选择**为我组织中的所有账户启用**。除非您在 Amazon Organizations中配置了账户,否则此选项将不能进行更改。 **注意** 如果您要创建组织事件数据存储,则必须使用组织的管理账户登录,因为只有管理账户才能将跟踪事件复制到组织事件数据存储。 1. 对于**其他设置**,我们将取消选择**摄取事件**,因为在此示例中,我们不希望事件数据存储摄取任何未来事件,我们只对查询复制的事件感兴趣。默认情况下,事件数据存储会收集所有人的事件, Amazon Web Services 区域 并在创建事件时开始摄取事件。 1. 对于**管理事件**,我们将保留默认设置。 1. 在**复制跟踪事件**区域中,完成以下步骤。 1. 选择要复制的跟踪。在此示例中,我们将选择一个名为的跟踪{{management-events}}。 默认情况下, CloudTrail 仅复制 S3 存储桶`CloudTrail`前缀中包含 CloudTrail 的事件和`CloudTrail`前缀中的前缀,而不检查其他 Amazon 服务的前缀。如果要复制其他前缀中包含 CloudTrail 的事件,**请选择输入 S3 URI**,然后选择**浏览 S3** 浏览到该前缀。如果跟踪的源 S3 存储桶使用 KMS 密钥进行数据加密,请确保 KMS 密钥策略 CloudTrail 允许解密数据。如果您的源 S3 存储桶使用多个 KMS 密钥,则必须更新每个密钥的策略 CloudTrail 以允许解密存储桶中的数据。有关更新 KMS 密钥政策的更多信息,请参阅[用于解密源 S3 存储桶中数据的 KMS 密钥政策](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)。 1. 选择复制事件的时间范围。 CloudTrail 在尝试复制跟踪事件之前,请检查前缀和日志文件名以验证该名称是否包含所选开始日期和结束日期之间的日期。您可以选择一个**相对范围**或者**绝对范围**。为避免源跟踪和目标事件数据存储之间存在重复事件,请选择一个早于事件数据存储创建时间的时间范围。 + 如果选择**相对范围**,则可以选择复制过去 6 个月、1 年、2 年、7 年或自定义范围内记录的事件。 CloudTrail 复制选定时间段内记录的事件。 + 如果选择 “**绝对范围**”,则可以选择特定的开始和结束日期。 CloudTrail 复制在所选开始日期和结束日期之间发生的事件。 在此示例中,我们将选择**绝对范围**,然后选择整个 5 月份。 1. 对于**权限**,请从以下 IAM 角色选项中进行选择。如果您选择现有的 IAM 角色,请验证 IAM 角色策略是否提供了必要的权限。有关更新 IAM 角色权限的更多信息,请参阅[复制跟踪事件所需的 IAM 权限](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)。 + 选择**创建新角色(推荐)**以创建新的 IAM 角色。在**输入 IAM 角色名称**中,输入角色的名称。 CloudTrail 会自动为这个新角色创建必要的权限。 + 选择**使用自定义 IAM 角色 ARN**以使用未列出的自定义 IAM 角色。对于**输入 IAM 角色 ARN**,输入 IAM ARN。 + 从下拉列表中选择现有的 IAM 角色。 在此示例中,我们将选择**新建角色(推荐)**并提供名称 **copy-trail-events**。 1. 选择**下一步**以查看您的选择。 1. 在**查看并创建**页面上,审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时,选择**创建事件数据存储**。 1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。 1. 选择事件数据存储名称以查看其详细信息页面。详细信息页面显示事件数据存储的详细信息以及复制状态。事件复制状态显示在**事件复制状态**区域中。 跟踪事件复制完成后,如果复制未出错,则**复制状态**将设置为**已完成**,否则如果出错了,则设置为**失败**。 1. 要查看有关复制的更多详细信息,请在**事件日志 S3 位置**列中选择复制名称,或从**操作**菜单中选择**查看详细信息**选项。有关查看跟踪事件复制详细信息的更多信息,请参阅[使用 CloudTrail 控制台查看活动副本详细信息](copy-trail-details.md)。 1. **复制失败**区域显示复制跟踪事件时发生的所有错误。如果**复制状态**为**失败**,则要先修复**复制失败**中显示的所有错误,然后选择**重试复制**。当您重试复制时,会在出现故障的位置 CloudTrail 恢复副本。