Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie einen Ereignisdatenspeicher für Ereignisse außerhalb der AWS Konsole
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Sie können einen Ereignisdatenspeicher erstellen, der Ereignisse außerhalb von enthält AWS, und dann CloudTrail Lake verwenden, um die Daten zu suchen, abzufragen und zu analysieren, die von Ihren Anwendungen protokolliert werden.
Sie können CloudTrail *Lake-Integrationen* verwenden, um Benutzeraktivitätsdaten von außerhalb zu protokollieren und zu speichern AWS; aus beliebigen Quellen in Ihren Hybridumgebungen, z. B. internen oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuellen Maschinen oder Containern.
Wenn Sie einen Ereignisdatenspeicher für eine Integration erstellen, erstellen Sie auch einen Kanal und fügen dem Kanal eine Ressourcenrichtlinie hinzu.
CloudTrail Für die Speicherung von Ereignisdaten in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/) und[Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
## Um einen Ereignisdatenspeicher für Ereignisse außerhalb von zu erstellen AWS
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`{{MyAliasName}}. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. Wählen Sie auf der Seite **Choose events** (Ereignisse auswählen) die Option **Events from integrations** (Ereignisse aus Integrationen) aus.
1. Wählen Sie unter **Events from integration** (Ereignisse aus Integration) die Quelle aus, aus der Ereignisse an den Ereignisdatenspeicher übermittelt werden sollen.
1. Stellen Sie einen Namen zur Verfügung, um den Kanal der Integration zu identifizieren. Der Name kann eine Länge von 3–128 Zeichen haben. Namen dürfen nur Buchstaben, Zahlen, Punkte, Unterstriche und Schrägstriche enthalten.
1. Konfigurieren Sie unter **Resource policy** (Ressourcenrichtlinie) die Ressourcenrichtlinie für den Kanal der Integration. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Ressource ausführen kann. Die Konten, die in der Ressourcenrichtlinie als Prinzipale definiert sind, können die `PutAuditEvents`-API aufrufen, um Ereignisse an Ihren Kanal zu senden. Der Ressourcenbesitzer hat impliziten Zugriff auf die Ressource, sofern seine IAM-Richtlinie die `cloudtrail-data:PutAuditEvents`-Aktion zulässt.
Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt. Bei einer Direktionsintegration CloudTrail wird automatisch das AWS Konto IDs des Partners hinzugefügt und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. Für eine Lösungsintegration müssen Sie mindestens eine AWS Konto-ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass Ihr Stellvertreter verwirrt wird.
**Anmerkung**
Wenn Sie keine Ressourcenrichtlinie für den Kanal erstellen, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.
1. Für eine direkte Integration geben Sie die von Ihrem Partner bereitgestellte externe ID ein. Der Integrationspartner stellt eine eindeutige externe ID zur Verfügung, z. B. eine Konto-ID oder eine zufällig generierte Zeichenfolge, die für die Integration verwendet wird, um zu verhindern, dass der Stellvertreter verwirrt wird. Der Partner ist für die Erstellung und Bereitstellung einer eindeutigen externen ID verantwortlich.
Sie können **How to find this?** (Wie finde ich das?) verwenden, um die Dokumentation des Partners einzusehen, in der beschrieben wird, wie Sie die externe ID finden.
**Anmerkung**
Wenn die Ressourcenrichtlinie eine externe ID enthält, müssen alle Aufrufe der `PutAuditEvents`-API die externe ID enthalten. Wenn die Richtlinie jedoch keine externe ID definiert, kann der Partner die `PutAuditEvents`-API trotzdem aufrufen und einen `externalId`-Parameter angeben.
1. Für eine Lösungsintegration wählen Sie ** AWS Konto hinzufügen** aus, um jede AWS Konto-ID anzugeben, die der Richtlinie als Prinzipal hinzugefügt werden soll.
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
1. Stellen Sie der Partneranwendung den Amazon-Ressourcennamen (ARN) für den Kanal zur Verfügung. Anweisungen zur Bereitstellung des Kanal-ARN für die Partneranwendung finden Sie auf der Website mit der Partnerdokumentation. Um weitere Informationen zu erhalten, wählen Sie auf der Registerkarte **Available sources** (Verfügbare Quellen) der Seite **Integrations** (Integrationen) den Link **Learn more** (Weitere Informationen) für den Partner aus, um die Seite des Partners in AWS Marketplace zu öffnen.
Der Ereignisdatenspeicher beginnt mit der Aufnahme von Partnerereignissen CloudTrail über den Integrationskanal, wenn Sie, der Partner oder die Partneranwendungen die `PutAuditEvents` API auf dem Kanal aufrufen.