Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher - AWS CloudTrail
Überlegungen zum Kopieren von Trail-EreignissenErforderliche Berechtigungen zum Kopieren von Trail-Ereignissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher

Sie können Trail-Ereignisse in einen CloudTrail Lake Event Data Store kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. Das Kopieren der Ereignisse eines Trails beeinträchtigt nicht die Fähigkeit des Trails, Ereignisse zu protokollieren, und ändert den Trail in keiner Weise.

Sie können Trail-Ereignisse in einen vorhandenen, für CloudTrail Ereignisse konfigurierten Ereignisdatenspeicher kopieren, oder Sie können einen neuen CloudTrail Ereignisdatenspeicher erstellen und im Rahmen der Erstellung des Ereignisdatenspeichers die Option Trail-Ereignisse kopieren auswählen. Weitere Informationen zum Kopieren von Trail-Ereignissen in einen bestehenden Ereignisdatenspeicher finden Sie unter Kopieren Sie Trail-Ereignisse mit der Konsole in einen vorhandenen Ereignisdatenspeicher. Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.

Wenn Sie Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Trail-Ereignisse lassen sich nicht mit dem Konto eines delegierten Administrators einer Organisation kopieren.

CloudTrail Für Datenspeicher mit Lake-Ereignissen fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise undVerwaltung der CloudTrail Seekosten.

Wenn Sie Trail-Ereignisse in einen CloudTrail Lake-Ereignisdatenspeicher kopieren, fallen Gebühren an, die auf der Menge der unkomprimierten Daten basieren, die der Ereignisdatenspeicher aufnimmt.

Wenn Sie Trail-Ereignisse nach CloudTrail Lake kopieren, werden die im komprimierten CloudTrail GZIP-Format gespeicherten Protokolle entpackt und anschließend die in den Protokollen enthaltenen Ereignisse in Ihren Ereignisdatenspeicher kopiert. Die Größe der unkomprimierten Daten könnte größer sein als die tatsächliche S3-Speichergröße. Um eine allgemeine Schätzung der Größe der unkomprimierten Daten zu erhalten, können Sie die Größe der Protokolle im S3-Bucket mit 10 multiplizieren.

Sie können die Kosten senken, indem Sie einen engeren Zeitraum für die kopierten Ereignisse angeben. Wenn Sie planen, den Ereignisdatenspeicher nur zum Abfragen Ihrer kopierten Ereignisse zu verwenden, können Sie die Ereignisaufnahme deaktivieren, um zu vermeiden, dass für zukünftige Ereignisse Gebühren anfallen. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

Szenarien

In der folgenden Tabelle werden einige gängige Szenarien für das Kopieren von Trail-Ereignissen beschrieben. Außerdem wird beschrieben, wie Sie die einzelnen Szenarien mithilfe der Konsole ausführen.

Szenario Wie erreiche ich das in der Konsole?

Analysieren Sie historische Trail-Ereignisse in CloudTrail Lake und fragen Sie sie ab, ohne neue Ereignisse zu übernehmen

Erstellen Sie einen neuen Ereignisdatenspeicher und wählen Sie im Rahmen der Erstellung des Ereignisdatenspeichers die Option Trail-Ereignisse kopieren aus. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option Ereignisse aufnehmen (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.

Ersetzen Sie Ihren vorhandenen Trail durch einen CloudTrail Lake Event Data Store

Erstellen Sie einen Ereignisdatenspeicher mit den gleichen Ereignisselektoren wie bei Ihrem Trail, um sicherzustellen, dass der Ereignisdatenspeicher die gleiche Ereignisabdeckung hat wie Ihr Trail.

Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

Nachdem Ihr Ereignisdatenspeicher erstellt wurde, können Sie die Protokollierung für den Trail deaktivieren, um zusätzliche Gebühren zu vermeiden.
Themen

Überlegungen zum Kopieren von Trail-Ereignissen

Berücksichtigen Sie beim Kopieren von Trail-Ereignissen die folgenden Faktoren.

  • CloudTrail Verwendet beim Kopieren von Trail-Ereignissen den GetObjectAPIS3-Vorgang, um die Trail-Ereignisse im S3-Quell-Bucket abzurufen. Es gibt einige archivierte Speicherklassen von S3, wie S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts und S3 Intelligent-Tiering Deep Archive, auf die mithilfe von GetObject nicht zugegriffen werden kann. Um in diesen archivierten Speicherklassen gespeicherte Trail-Ereignisse zu kopieren, müssen Sie zunächst eine Kopie mithilfe des S3-Vorgangs RestoreObject wiederherstellen. Informationen zum Wiederherstellen archivierter Objekte finden Sie unter Wiederherstellen archivierter Objekte im Benutzerhandbuch von Amazon S3.

  • Wenn Sie Trail-Ereignisse in einen Event-Datenspeicher CloudTrail kopieren, werden alle Trail-Ereignisse unabhängig von der Konfiguration der Ereignistypen des Ziel-Event-Datenspeichers, den erweiterten Event-Selektoren oder AWS-Region kopiert.

  • Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind.

    • Preisoption: Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter AWS CloudTrail -Preise und Preisoptionen für den Ereignisdatenspeicher.

    • Aufbewahrungszeitraum: Der Aufbewahrungszeitraum bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (Aufbewahrungszeitraum = oldest-event-in-days + number-days-to-retain). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher behalten möchten, würden Sie die Aufbewahrungsfrist auf 90 Tage festlegen.

  • Wenn Sie Trail-Ereignisse zur Untersuchung in einen Ereignisdatenspeicher kopieren und keine zukünftigen Ereignisse aufnehmen möchten, können Sie die Aufnahme in den Ereignisdatenspeicher beenden. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option Ereignisse aufnehmen (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.

  • Deaktivieren Sie vor dem Kopieren von Trail-Ereignissen alle Zugriffskontrolllisten (ACLs), die an den S3-Quell-Bucket angehängt sind, und aktualisieren Sie die S3-Bucket-Richtlinie für den Zielereignisdatenspeicher. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen. Weitere Informationen zur Deaktivierung ACLs finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

  • CloudTrail kopiert nur Trail-Ereignisse aus Gzip-komprimierten Protokolldateien, die sich im S3-Quell-Bucket befinden. CloudTrail kopiert keine Trail-Ereignisse aus unkomprimierten Protokolldateien oder Protokolldateien, die in einem anderen Format als Gzip komprimiert wurden.

  • Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

  • Standardmäßig kopiert es CloudTrail nur CloudTrail Ereignisse, die im CloudTrail Präfix des S3-Buckets und die Präfixe innerhalb des CloudTrail Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, müssen Sie das Präfix beim Kopieren von Trail-Ereignissen auswählen.

  • Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators lassen sich Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopieren.

Erforderliche Berechtigungen zum Kopieren von Trail-Ereignissen

Stellen Sie vor dem Kopieren von Trail-Ereignissen sicher, dass Sie über alle erforderlichen Berechtigungen für Ihre IAM Rolle verfügen. Sie müssen die IAM Rollenberechtigungen nur aktualisieren, wenn Sie eine bestehende IAM Rolle zum Kopieren von Trail-Ereignissen auswählen. Wenn Sie sich dafür entscheiden, eine neue IAM Rolle zu erstellen, CloudTrail stellt alle erforderlichen Berechtigungen für die Rolle bereit.

Wenn der S3-Quell-Bucket einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie das Entschlüsseln von Daten im Bucket zulässt CloudTrail . Wenn der Quell-S3-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail Daten im Bucket entschlüsselt werden können.

IAMBerechtigungen für das Kopieren von Trail-Ereignissen

Beim Kopieren von Trail-Ereignissen haben Sie die Möglichkeit, eine neue IAM Rolle zu erstellen oder eine bestehende IAM Rolle zu verwenden. Wenn Sie eine neue IAM Rolle auswählen, CloudTrail wird eine IAM Rolle mit den erforderlichen Berechtigungen erstellt, sodass keine weiteren Maßnahmen Ihrerseits erforderlich sind.

Wenn Sie sich für eine bestehende Rolle entscheiden, stellen Sie sicher, dass die Richtlinien der IAM Rolle das Kopieren von Trail-Ereignissen aus dem S3-Quell-Bucket zulassen CloudTrail . Dieser Abschnitt enthält Beispiele für die erforderlichen IAM Rollenberechtigungs- und Vertrauensrichtlinien.

Das folgende Beispiel enthält die Berechtigungsrichtlinie, die es ermöglicht, Trail-Ereignisse aus dem S3-Quell-Bucket CloudTrail zu kopieren. Ersetzen amzn-s3-demo-bucket, myAccountID, region, prefix, und eventDataStoreId mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

Ersetzen key-region, keyAccountID, und keyID mit den Werten für den KMS Schlüssel, der zum Verschlüsseln des S3-Quell-Buckets verwendet wird. Sie können die AWSCloudTrailImportKeyAccess Anweisung weglassen, wenn der Quell-S3-Bucket keinen KMS Schlüssel für die Verschlüsselung verwendet.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

Das folgende Beispiel enthält die IAM Vertrauensrichtlinie, die es ermöglicht CloudTrail , eine IAM Rolle beim Kopieren von Trail-Ereignissen aus dem S3-Quell-Bucket zu übernehmen. Ersetzen myAccountID, region, und eventDataStoreArn mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID ist die für CloudTrail Lake verwendete AWS-Konto ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen

Standardmäßig werden Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourcenbesitzer (das AWS -Konto, das den Bucket erstellt hat) kann auf den Bucket und die darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.

Bevor Sie Trail-Ereignisse kopieren, müssen Sie die S3-Bucket-Richtlinie aktualisieren, damit CloudTrail Trail-Ereignisse aus dem S3-Quell-Bucket kopiert werden können.

Sie können der S3-Bucket-Richtlinie die folgende Anweisung hinzufügen, um diese Berechtigungen zu gewähren. Ersetzen roleArn and amzn-s3-demo-bucket mit den entsprechenden Werten für Ihre Konfiguration.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

KMSwichtige Richtlinie für die Entschlüsselung von Daten im S3-Quell-Bucket

Wenn der Quell-S3-Bucket einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie über CloudTrail die kms:Decrypt erforderlichen kms:GenerateDataKey Berechtigungen verfügt, um Trail-Ereignisse aus einem S3-Bucket mit SSE aktivierter KMS Verschlüsselung zu kopieren. Wenn Ihr S3-Quell-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren. Die Aktualisierung der KMS Schlüsselrichtlinie ermöglicht es CloudTrail , Daten im S3-Quell-Bucket zu entschlüsseln, Validierungsprüfungen durchzuführen, um sicherzustellen, dass Ereignisse den CloudTrail Standards entsprechen, und Ereignisse in den CloudTrail Lake-Ereignisdatenspeicher zu kopieren.

Das folgende Beispiel enthält die KMS Schlüsselrichtlinie, mit der die Daten im CloudTrail S3-Quell-Bucket entschlüsselt werden können. Ersetzen roleArn, amzn-s3-demo-bucket, myAccountID, region, und eventDataStoreId mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}