Salin peristiwa jejak ke penyimpanan data acara - AWS CloudTrail
Pertimbangan untuk menyalin acara jejakIzin yang diperlukan untuk menyalin peristiwa jejak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Salin peristiwa jejak ke penyimpanan data acara

Anda dapat menyalin peristiwa jejak ke penyimpanan data acara CloudTrail Lake untuk membuat point-in-time snapshot peristiwa yang dicatat ke jejak. Menyalin peristiwa jejak tidak mengganggu kemampuan jejak untuk mencatat peristiwa dan tidak mengubah jejak dengan cara apa pun.

Anda dapat menyalin peristiwa jejak ke penyimpanan data peristiwa yang ada yang dikonfigurasi untuk CloudTrail acara, atau Anda dapat membuat penyimpanan data CloudTrail acara baru dan memilih opsi Salin peristiwa jejak sebagai bagian dari pembuatan penyimpanan data acara. Untuk informasi selengkapnya tentang menyalin peristiwa jejak ke penyimpanan data acara yang ada, lihatSalin peristiwa jejak ke penyimpanan data acara yang ada dengan konsol. Untuk informasi selengkapnya tentang membuat penyimpanan data acara baru, lihatBuat penyimpanan data acara untuk CloudTrail acara dengan konsol.

Jika Anda menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Anda tidak dapat menyalin peristiwa jejak menggunakan akun administrator yang didelegasikan untuk organisasi.

CloudTrail Penyimpanan data acara danau dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Lake, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Saat Anda menyalin peristiwa jejak ke penyimpanan data acara CloudTrail Lake, Anda dikenakan biaya berdasarkan jumlah data tidak terkompresi yang dikonsumsi oleh penyimpanan data acara.

Saat Anda menyalin peristiwa jejak ke CloudTrail Lake, CloudTrail buka ritsleting log yang disimpan dalam format gzip (terkompresi) dan kemudian menyalin peristiwa yang terdapat dalam log ke penyimpanan data acara Anda. Ukuran data yang tidak terkompresi bisa lebih besar dari ukuran penyimpanan S3 yang sebenarnya. Untuk mendapatkan perkiraan umum ukuran data yang tidak terkompresi, Anda dapat mengalikan ukuran log di bucket S3 dengan 10.

Anda dapat mengurangi biaya dengan menentukan rentang waktu yang lebih sempit untuk acara yang disalin. Jika Anda berencana untuk hanya menggunakan penyimpanan data acara untuk menanyakan peristiwa yang disalin, Anda dapat menonaktifkan konsumsi acara untuk menghindari timbulnya biaya pada peristiwa masa depan. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Skenario

Tabel berikut menjelaskan beberapa skenario umum untuk menyalin peristiwa jejak dan bagaimana Anda menyelesaikan setiap skenario menggunakan konsol.

Skenario Bagaimana cara melakukannya di konsol?

Menganalisis dan menanyakan peristiwa jejak sejarah di CloudTrail Danau tanpa menelan peristiwa baru

Buat penyimpanan data acara baru dan pilih opsi Salin peristiwa jejak sebagai bagian dari pembuatan penyimpanan data acara. Saat membuat penyimpanan data acara, batalkan pilihan acara Ingest (langkah 15 dari prosedur) untuk memastikan penyimpanan data acara hanya berisi peristiwa historis untuk jejak Anda dan tidak ada peristiwa masa depan.

Ganti jejak Anda yang ada dengan penyimpanan data acara CloudTrail Lake

Buat penyimpanan data acara dengan pemilih acara yang sama dengan jejak Anda untuk memastikan bahwa penyimpanan data acara memiliki cakupan yang sama dengan jejak Anda.

Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang tanggal untuk peristiwa yang disalin yang lebih awal dari pembuatan penyimpanan data peristiwa.

Setelah penyimpanan data acara Anda dibuat, Anda dapat mematikan pencatatan untuk jejak untuk menghindari biaya tambahan.
Topik

Pertimbangan untuk menyalin acara jejak

Pertimbangkan faktor-faktor berikut saat menyalin peristiwa jejak.

  • Saat menyalin peristiwa jejak, CloudTrail gunakan operasi S3 GetObjectAPI untuk mengambil peristiwa jejak di bucket S3 sumber. Ada beberapa kelas penyimpanan yang diarsipkan S3, seperti S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts, dan S3 Intelligent-Tiering Deep Archive tingkatan yang tidak dapat diakses dengan menggunakan. GetObject Untuk menyalin peristiwa jejak yang disimpan di kelas penyimpanan yang diarsipkan ini, Anda harus terlebih dahulu memulihkan salinan menggunakan operasi S3RestoreObject. Untuk informasi tentang memulihkan objek yang diarsipkan, lihat Memulihkan Objek yang Diarsipkan di Panduan Pengguna Amazon S3.

  • Saat Anda menyalin peristiwa jejak ke penyimpanan data peristiwa, CloudTrail menyalin semua peristiwa jejak terlepas dari konfigurasi jenis acara penyimpanan data acara tujuan, pemilih acara lanjutan, atau Wilayah AWS.

  • Sebelum menyalin peristiwa jejak ke penyimpanan data peristiwa yang ada, pastikan opsi harga dan periode retensi penyimpanan data acara dikonfigurasi dengan tepat untuk kasus penggunaan Anda.

    • Opsi harga: Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara. Untuk informasi selengkapnya tentang opsi harga, lihat AWS CloudTrail Harga danOpsi harga toko data acara.

    • Periode retensi: Periode retensi menentukan berapa lama data peristiwa disimpan di penyimpanan data acara. CloudTrail hanya menyalin peristiwa jejak yang eventTime memiliki periode retensi penyimpanan data acara. Untuk menentukan periode retensi yang sesuai, ambil jumlah acara tertua yang ingin Anda salin dalam beberapa hari dan jumlah hari yang ingin Anda simpan di penyimpanan data acara (periode retensi = oldest-event-in-days+ number-days-to-retain). Misalnya, jika acara tertua yang Anda salin berusia 45 hari dan Anda ingin menyimpan acara di penyimpanan data acara selama 45 hari lagi, Anda akan mengatur periode retensi menjadi 90 hari.

  • Jika Anda menyalin peristiwa jejak ke penyimpanan data acara untuk diselidiki dan tidak ingin menelan peristiwa masa depan, Anda dapat menghentikan konsumsi di penyimpanan data acara. Saat membuat penyimpanan data acara, batalkan pilihan opsi Ingest event (langkah 15 dari prosedur) untuk memastikan penyimpanan data acara hanya berisi peristiwa historis untuk jejak Anda dan tidak ada peristiwa masa depan.

  • Sebelum menyalin peristiwa jejak, nonaktifkan daftar kontrol akses (ACL) apa pun yang dilampirkan ke bucket S3 sumber, dan perbarui kebijakan bucket S3 untuk penyimpanan data peristiwa tujuan. Untuk informasi selengkapnya tentang memperbarui kebijakan bucket S3, lihatKebijakan bucket Amazon S3 untuk menyalin peristiwa jejak. Untuk informasi selengkapnya tentang menonaktifkan ACL, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda.

  • CloudTrail hanya menyalin peristiwa jejak dari file log terkompresi Gzip yang ada di bucket S3 sumber. CloudTrail tidak menyalin peristiwa jejak dari file log yang tidak terkompresi, atau file log yang dikompresi menggunakan format selain Gzip.

  • Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang waktu untuk peristiwa yang disalin yang lebih awal dari pembuatan penyimpanan data peristiwa.

  • Secara default, CloudTrail hanya menyalin CloudTrail peristiwa yang terdapat dalam awalan bucket S3 dan CloudTrail awalan di dalam awalan, dan tidak memeriksa CloudTrail awalan untuk layanan lain. AWS Jika Anda ingin menyalin CloudTrail peristiwa yang terdapat dalam awalan lain, Anda harus memilih awalan saat menyalin peristiwa jejak.

  • Untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Anda tidak dapat menggunakan akun administrator yang didelegasikan untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi.

Izin yang diperlukan untuk menyalin peristiwa jejak

Sebelum menyalin peristiwa jejak, pastikan Anda memiliki semua izin yang diperlukan untuk peran IAM Anda. Anda hanya perlu memperbarui izin peran IAM jika memilih peran IAM yang ada untuk menyalin peristiwa jejak. Jika Anda memilih untuk membuat peran IAM baru, CloudTrail berikan semua izin yang diperlukan untuk peran tersebut.

Jika bucket S3 sumber menggunakan kunci KMS untuk enkripsi data, pastikan kebijakan kunci KMS memungkinkan CloudTrail untuk mendekripsi data dalam bucket. Jika bucket S3 sumber menggunakan beberapa kunci KMS, Anda harus memperbarui kebijakan setiap kunci agar memungkinkan CloudTrail untuk mendekripsi data dalam bucket.

Izin IAM untuk menyalin peristiwa jejak

Saat menyalin peristiwa jejak, Anda memiliki opsi untuk membuat peran IAM baru, atau menggunakan peran IAM yang ada. Saat Anda memilih peran IAM baru, CloudTrail buat peran IAM dengan izin yang diperlukan dan tidak ada tindakan lebih lanjut yang diperlukan di pihak Anda.

Jika Anda memilih peran yang ada, pastikan kebijakan peran IAM memungkinkan CloudTrail untuk menyalin peristiwa jejak dari bucket S3 sumber. Bagian ini memberikan contoh izin peran IAM dan kebijakan kepercayaan yang diperlukan.

Contoh berikut menyediakan kebijakan izin, yang memungkinkan CloudTrail untuk menyalin peristiwa jejak dari bucket S3 sumber. Ganti DOC-EXAMPLE-BUCKET, eventDataStoreMyAccountID, region, prefix, dan Id dengan nilai yang sesuai untuk konfigurasi Anda. MyAccountID adalah ID AWS akun yang digunakan untuk CloudTrail Lake, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

Ganti key-region, keyAccountID, dan keyId dengan nilai untuk kunci KMS yang digunakan untuk mengenkripsi bucket S3 sumber. Anda dapat menghilangkan AWSCloudTrailImportKeyAccess pernyataan jika bucket S3 sumber tidak menggunakan kunci KMS untuk enkripsi.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

Contoh berikut memberikan kebijakan kepercayaan IAM, yang memungkinkan CloudTrail untuk mengambil peran IAM untuk menyalin peristiwa jejak dari bucket S3 sumber. Ganti myAccountID, region, dan eventDataStoreArn dengan nilai yang sesuai untuk konfigurasi Anda. MyAccountID adalah Akun AWS ID yang digunakan untuk CloudTrail Lake, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Kebijakan bucket Amazon S3 untuk menyalin peristiwa jejak

Secara default, ember dan objek Amazon S3 bersifat pribadi. Hanya pemilik sumber daya ( AWS akun yang membuat bucket) yang dapat mengakses bucket dan objek yang dikandungnya. Pemilik sumber daya dapat memberikan izin akses ke sumber daya dan pengguna lain dengan menulis kebijakan akses.

Sebelum menyalin peristiwa jejak, Anda harus memperbarui kebijakan bucket S3 CloudTrail agar dapat menyalin peristiwa jejak dari bucket S3 sumber.

Anda dapat menambahkan pernyataan berikut ke kebijakan bucket S3 untuk memberikan izin ini. Ganti ROLEARN dan DOC-EXAMPLE-BUCKET dengan nilai yang sesuai untuk konfigurasi Anda.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
  ]
},

Kebijakan kunci KMS untuk mendekripsi data di bucket S3 sumber

Jika bucket S3 sumber menggunakan kunci KMS untuk enkripsi data, pastikan kebijakan kunci KMS menyediakan kms:Decrypt dan kms:GenerateDataKey izin yang diperlukan untuk menyalin peristiwa jejak dari bucket S3 CloudTrail dengan enkripsi SSE-KMS diaktifkan. Jika bucket S3 sumber Anda menggunakan beberapa kunci KMS, Anda harus memperbarui kebijakan setiap kunci. Memperbarui kebijakan kunci KMS memungkinkan CloudTrail untuk mendekripsi data di bucket S3 sumber, menjalankan pemeriksaan validasi untuk memastikan bahwa peristiwa sesuai dengan CloudTrail standar, dan menyalin peristiwa ke penyimpanan data peristiwa Lake. CloudTrail

Contoh berikut menyediakan kebijakan kunci KMS, yang memungkinkan CloudTrail untuk mendekripsi data dalam bucket S3 sumber. Ganti roLearn, DOC-EXAMPLE-BUCKET, myAccountID, region, dan eventDataStore Id dengan nilai yang sesuai untuk konfigurasi Anda. MyAccountID adalah ID AWS akun yang digunakan untuk CloudTrail Lake, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}