Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Trail-Ereignisse nach CloudTrail Lake kopieren
Sie können vorhandene Trail-Ereignisse in einen CloudTrail Lake Event Data Store kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. Das Kopieren von Trail-Ereignissen beeinträchtigt nicht die Fähigkeit des Trails, Ereignisse zu protokollieren, und verändert den Trail in keiner Weise.
Sie können Trail-Ereignisse in einen vorhandenen, für CloudTrail Ereignisse konfigurierten Event-Datenspeicher kopieren, oder Sie können einen neuen CloudTrail Event-Datenspeicher erstellen und bei der Erstellung des Event-Datenspeichers die Option Trail-Ereignisse kopieren auswählen. Weitere Informationen zum Kopieren von Trail-Ereignissen in einen bestehenden Ereignisdatenspeicher finden Sie unter Kopieren Sie Trail-Ereignisse mithilfe der CloudTrail Konsole in einen vorhandenen Ereignisdatenspeicher. Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.
Wenn Sie Trail-Ereignisse in einen CloudTrail Lake Event Data Store kopieren, können Sie Abfragen für die kopierten Ereignisse ausführen. CloudTrail Lake-Abfragen bieten eine umfassendere und besser anpassbare Ansicht von Ereignissen als einfache Schlüssel- und Werte-Suchen im Event-Verlauf oder bei laufenden LookupEvents
Ereignissen. Weitere Informationen zu CloudTrail Lake finden Sie unterMit AWS CloudTrail Lake arbeiten.
Wenn Sie Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Trail-Ereignisse lassen sich nicht mit dem Konto eines delegierten Administrators einer Organisation kopieren.
CloudTrail Für Datenspeicher mit Ereignissen in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise
Wenn Sie Trail-Ereignisse in einen CloudTrail Lake-Ereignisdatenspeicher kopieren, fallen Gebühren an, die auf der Menge der unkomprimierten Daten basieren, die der Ereignisdatenspeicher aufnimmt.
Wenn Sie Trail-Ereignisse nach CloudTrail Lake kopieren, werden die im komprimierten CloudTrail GZIP-Format gespeicherten Protokolle entpackt und anschließend die in den Protokollen enthaltenen Ereignisse in Ihren Ereignisdatenspeicher kopiert. Die Größe der unkomprimierten Daten könnte größer sein als die tatsächliche S3-Speichergröße. Um eine allgemeine Schätzung der Größe der unkomprimierten Daten zu erhalten, können Sie die Größe der Protokolle im S3-Bucket mit 10 multiplizieren.
Sie können die Kosten senken, indem Sie einen engeren Zeitraum für die kopierten Ereignisse angeben. Wenn Sie planen, den Ereignisdatenspeicher nur zum Abfragen Ihrer kopierten Ereignisse zu verwenden, können Sie die Ereignisaufnahme deaktivieren, um zu vermeiden, dass für zukünftige Ereignisse Gebühren anfallen. Weitere Informationen finden Sie unter AWS CloudTrail -Preise
Szenarien
In der folgenden Tabelle werden einige gängige Szenarien für das Kopieren von Trail-Ereignissen beschrieben. Außerdem wird beschrieben, wie Sie die einzelnen Szenarien mithilfe der Konsole ausführen.
Szenario | Wie erreiche ich das in der Konsole? |
---|---|
Analysieren und fragen Sie historische Trail-Ereignisse in CloudTrail Lake ab, ohne neue Ereignisse aufzunehmen |
Erstellen Sie einen neuen Ereignisdatenspeicher und wählen Sie im Rahmen der Erstellung des Ereignisdatenspeichers die Option Trail-Ereignisse kopieren aus. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option Ereignisse aufnehmen (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält. |
Ersetzen Sie Ihren vorhandenen Trail durch einen CloudTrail Lake Event Data Store |
Erstellen Sie einen Ereignisdatenspeicher mit den gleichen Ereignisselektoren wie bei Ihrem Trail, um sicherzustellen, dass der Ereignisdatenspeicher die gleiche Ereignisabdeckung hat wie Ihr Trail. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt. Nachdem Ihr Ereignisdatenspeicher erstellt wurde, können Sie die Protokollierung für den Trail deaktivieren, um zusätzliche Gebühren zu vermeiden. |
Themen
Überlegungen zum Kopieren von Trail-Ereignissen
Berücksichtigen Sie beim Kopieren von Trail-Ereignissen die folgenden Faktoren.
-
CloudTrail Verwendet beim Kopieren von Trail-Ereignissen den
GetObject
APIS3-Vorgang, um die Trail-Ereignisse im S3-Quell-Bucket abzurufen. Es gibt einige archivierte Speicherklassen von S3, wie S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts und S3 Intelligent-Tiering Deep Archive, auf die mithilfe vonGetObject
nicht zugegriffen werden kann. Um in diesen archivierten Speicherklassen gespeicherte Trail-Ereignisse zu kopieren, müssen Sie zunächst eine Kopie mithilfe des S3-VorgangsRestoreObject
wiederherstellen. Informationen zum Wiederherstellen archivierter Objekte finden Sie unter Wiederherstellen archivierter Objekte im Benutzerhandbuch von Amazon S3. -
Wenn Sie Trail-Ereignisse in einen Event-Datenspeicher CloudTrail kopieren, werden alle Trail-Ereignisse unabhängig von der Konfiguration der Ereignistypen des Ziel-Event-Datenspeichers, den erweiterten Event-Selektoren oder AWS-Region kopiert.
-
Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind.
-
Preisoption: Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter AWS CloudTrail -Preise
und Preisoptionen für den Ereignisdatenspeicher. -
Aufbewahrungszeitraum: Der Aufbewahrungszeitraum bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die
eventTime
innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (Aufbewahrungszeitraum =oldest-event-in-days
+number-days-to-retain
). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher behalten möchten, würden Sie die Aufbewahrungsfrist auf 90 Tage festlegen.
-
-
Wenn Sie Trail-Ereignisse zur Untersuchung in einen Ereignisdatenspeicher kopieren und keine zukünftigen Ereignisse aufnehmen möchten, können Sie die Aufnahme in den Ereignisdatenspeicher beenden. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option Ereignisse aufnehmen (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.
-
Deaktivieren Sie vor dem Kopieren von Trail-Ereignissen alle Zugriffskontrolllisten (ACLs), die an den S3-Quell-Bucket angehängt sind, und aktualisieren Sie die S3-Bucket-Richtlinie für den Zielereignisdatenspeicher. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen. Weitere Informationen zur Deaktivierung ACLs finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.
-
CloudTrail kopiert nur Trail-Ereignisse aus Gzip-komprimierten Protokolldateien, die sich im S3-Quell-Bucket befinden. CloudTrail kopiert keine Trail-Ereignisse aus unkomprimierten Protokolldateien oder Protokolldateien, die in einem anderen Format als Gzip komprimiert wurden.
-
Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt.
-
Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im
CloudTrail
Präfix des S3-Buckets und die Präfixe innerhalb desCloudTrail
Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, müssen Sie das Präfix beim Kopieren von Trail-Ereignissen auswählen. -
Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators lassen sich Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopieren.
Erforderliche Berechtigungen zum Kopieren von Trail-Ereignissen
Stellen Sie vor dem Kopieren von Trail-Ereignissen sicher, dass Sie über alle erforderlichen Berechtigungen für Ihre IAM Rolle verfügen. Sie müssen die IAM Rollenberechtigungen nur aktualisieren, wenn Sie eine vorhandene IAM Rolle zum Kopieren von Trail-Ereignissen auswählen. Wenn Sie eine neue IAM Rolle erstellen möchten, CloudTrail werden alle erforderlichen Berechtigungen für die Rolle bereitgestellt.
Wenn der S3-Quell-Bucket einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie das Entschlüsseln von Daten im Bucket zulässt CloudTrail . Wenn der Quell-S3-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können.
Themen
IAMBerechtigungen für das Kopieren von Trail-Ereignissen
Beim Kopieren von Trail-Ereignissen haben Sie die Möglichkeit, eine neue IAM Rolle zu erstellen oder eine bestehende IAM Rolle zu verwenden. Wenn Sie eine neue IAM Rolle auswählen, CloudTrail wird eine IAM Rolle mit den erforderlichen Berechtigungen erstellt, sodass keine weiteren Maßnahmen Ihrerseits erforderlich sind.
Wenn Sie sich für eine bestehende Rolle entscheiden, stellen Sie sicher, dass die Richtlinien der IAM Rolle das Kopieren von Trail-Ereignissen aus dem S3-Quell-Bucket zulassen CloudTrail . Dieser Abschnitt enthält Beispiele für die erforderlichen IAM Rollenberechtigungs- und Vertrauensrichtlinien.
Das folgende Beispiel enthält die Berechtigungsrichtlinie, die es ermöglicht, Trail-Ereignisse aus dem S3-Quell-Bucket CloudTrail zu kopieren. Ersetzen amzn-s3-demo-bucket
, myAccountID
, region
,
prefix
, und eventDataStoreId
mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID
ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.
Ersetzen key-region
, keyAccountID
, und keyID
mit den Werten für den KMS Schlüssel, der zur Verschlüsselung des S3-Quell-Buckets verwendet wird. Sie können die AWSCloudTrailImportKeyAccess
Anweisung weglassen, wenn der Quell-S3-Bucket keinen KMS Schlüssel für die Verschlüsselung verwendet.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": ["s3:ListBucket", "s3:GetBucketAcl"], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID
", "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:eventdataStore/eventDataStoreId
" } } }, { "Sid": "AWSCloudTrailImportObjectAccess", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/prefix
", "arn:aws:s3:::amzn-s3-demo-bucket
/prefix
/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID
", "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:eventdataStore/eventDataStoreId
" } } }, { "Sid": "AWSCloudTrailImportKeyAccess", "Effect": "Allow", "Action": ["kms:GenerateDataKey","kms:Decrypt"], "Resource": [ "arn:aws:kms:key-region
:keyAccountID
:key/keyID
" ] } ] }
Das folgende Beispiel enthält die IAM Vertrauensrichtlinie, die es ermöglicht CloudTrail , eine IAM Rolle beim Kopieren von Trail-Ereignissen aus dem S3-Quell-Bucket zu übernehmen. Ersetzen myAccountID
, region
, und eventDataStoreArn
mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID
ist die für CloudTrail Lake verwendete AWS-Konto ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
myAccountID
", "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:eventdataStore/eventDataStoreId
" } } } ] }
Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen
Standardmäßig werden Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourcenbesitzer (das AWS -Konto, das den Bucket erstellt hat) kann auf den Bucket und die darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.
Bevor Sie Trail-Ereignisse kopieren, müssen Sie die S3-Bucket-Richtlinie aktualisieren, damit CloudTrail Trail-Ereignisse aus dem S3-Quell-Bucket kopiert werden können.
Sie können der S3-Bucket-Richtlinie die folgende Anweisung hinzufügen, um diese Berechtigungen zu gewähren. Ersetzen roleArn
and amzn-s3-demo-bucket
mit den entsprechenden Werten für Ihre Konfiguration.
{ "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObject" ], "Principal": { "AWS": "
roleArn
" }, "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] },
KMSwichtige Richtlinie für die Entschlüsselung von Daten im S3-Quell-Bucket
Wenn der Quell-S3-Bucket einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie über CloudTrail die kms:Decrypt
erforderlichen kms:GenerateDataKey
Berechtigungen verfügt, um Trail-Ereignisse aus einem S3-Bucket mit SSE aktivierter KMS Verschlüsselung zu kopieren. Wenn Ihr S3-Quell-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren. Durch die Aktualisierung der KMS Schlüsselrichtlinie können CloudTrail Sie Daten im Quell-S3-Bucket entschlüsseln, Validierungsprüfungen durchführen, um sicherzustellen, dass Ereignisse den CloudTrail Standards entsprechen, und Ereignisse in den CloudTrail Lake-Ereignisdatenspeicher kopieren.
Das folgende Beispiel enthält die KMS Schlüsselrichtlinie, mit der die Daten im CloudTrail S3-Quell-Bucket entschlüsselt werden können. Ersetzen roleArn
, amzn-s3-demo-bucket
,
myAccountID
, region
, und eventDataStoreId
mit den entsprechenden Werten für Ihre Konfiguration. Das Tool myAccountID
ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.
{ "Sid": "AWSCloudTrailImportDecrypt", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Principal": { "AWS": "
roleArn
" }, "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket
/*" }, "StringEquals": { "aws:SourceAccount": "myAccountID
", "aws:SourceArn": "arn:aws:cloudtrail:region
:myAccountID
:eventdataStore/eventDataStoreId
" } } }