Salin peristiwa jejak ke penyimpanan data acara - AWS CloudTrail
Pertimbangan untuk menyalin acara jejakIzin yang diperlukan untuk menyalin peristiwa jejak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Salin peristiwa jejak ke penyimpanan data acara

Anda dapat menyalin peristiwa jejak ke penyimpanan data acara CloudTrail Lake untuk membuat point-in-time snapshot peristiwa yang dicatat ke jejak. Menyalin peristiwa jejak tidak mengganggu kemampuan jejak untuk mencatat peristiwa dan tidak mengubah jejak dengan cara apa pun.

Anda dapat menyalin peristiwa jejak ke penyimpanan data peristiwa yang ada yang dikonfigurasi untuk CloudTrail acara, atau Anda dapat membuat penyimpanan data CloudTrail acara baru dan memilih opsi Salin peristiwa jejak sebagai bagian dari pembuatan penyimpanan data acara. Untuk informasi selengkapnya tentang menyalin peristiwa jejak ke penyimpanan data acara yang ada, lihatSalin peristiwa jejak ke penyimpanan data acara yang ada dengan konsol. Untuk informasi selengkapnya tentang membuat penyimpanan data acara baru, lihatBuat penyimpanan data acara untuk CloudTrail acara dengan konsol.

Jika Anda menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Anda tidak dapat menyalin peristiwa jejak menggunakan akun administrator yang didelegasikan untuk organisasi.

CloudTrail Penyimpanan data acara danau dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Danau, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Saat Anda menyalin peristiwa jejak ke penyimpanan data acara CloudTrail Lake, Anda dikenakan biaya berdasarkan jumlah data tidak terkompresi yang dikonsumsi oleh penyimpanan data acara.

Saat Anda menyalin peristiwa jejak ke CloudTrail Lake, CloudTrail buka ritsleting log yang disimpan dalam format gzip (terkompresi) dan kemudian menyalin peristiwa yang terdapat dalam log ke penyimpanan data acara Anda. Ukuran data yang tidak terkompresi bisa lebih besar dari ukuran penyimpanan S3 yang sebenarnya. Untuk mendapatkan perkiraan umum ukuran data yang tidak terkompresi, Anda dapat mengalikan ukuran log di bucket S3 dengan 10.

Anda dapat mengurangi biaya dengan menentukan rentang waktu yang lebih sempit untuk acara yang disalin. Jika Anda berencana untuk hanya menggunakan penyimpanan data acara untuk menanyakan peristiwa yang disalin, Anda dapat menonaktifkan konsumsi acara untuk menghindari timbulnya biaya pada peristiwa masa depan. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Skenario

Tabel berikut menjelaskan beberapa skenario umum untuk menyalin peristiwa jejak dan bagaimana Anda menyelesaikan setiap skenario menggunakan konsol.

Skenario Bagaimana cara melakukannya di konsol?

Menganalisis dan menanyakan peristiwa jejak sejarah di CloudTrail Danau tanpa menelan peristiwa baru

Buat penyimpanan data acara baru dan pilih opsi Salin peristiwa jejak sebagai bagian dari pembuatan penyimpanan data acara. Saat membuat penyimpanan data acara, batalkan pilihan acara Ingest (langkah 15 dari prosedur) untuk memastikan penyimpanan data acara hanya berisi peristiwa historis untuk jejak Anda dan tidak ada peristiwa masa depan.

Ganti jejak Anda yang ada dengan penyimpanan data acara CloudTrail Lake

Buat penyimpanan data acara dengan pemilih acara yang sama dengan jejak Anda untuk memastikan bahwa penyimpanan data acara memiliki cakupan yang sama dengan jejak Anda.

Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang tanggal untuk peristiwa yang disalin yang lebih awal dari pembuatan penyimpanan data peristiwa.

Setelah penyimpanan data acara Anda dibuat, Anda dapat mematikan pencatatan untuk jejak untuk menghindari biaya tambahan.
Topik

Pertimbangan untuk menyalin acara jejak

Pertimbangkan faktor-faktor berikut saat menyalin peristiwa jejak.

  • Saat menyalin peristiwa jejak, CloudTrail gunakan GetObjectAPIoperasi S3 untuk mengambil peristiwa jejak di bucket S3 sumber. Ada beberapa kelas penyimpanan yang diarsipkan S3, seperti S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts, dan S3 Intelligent-Tiering Deep Archive tingkatan yang tidak dapat diakses dengan menggunakan. GetObject Untuk menyalin peristiwa jejak yang disimpan di kelas penyimpanan yang diarsipkan ini, Anda harus terlebih dahulu memulihkan salinan menggunakan operasi S3RestoreObject. Untuk informasi tentang memulihkan objek yang diarsipkan, lihat Memulihkan Objek yang Diarsipkan di Panduan Pengguna Amazon S3.

  • Saat Anda menyalin peristiwa jejak ke penyimpanan data peristiwa, CloudTrail menyalin semua peristiwa jejak terlepas dari konfigurasi jenis acara penyimpanan data acara tujuan, pemilih acara lanjutan, atau Wilayah AWS.

  • Sebelum menyalin peristiwa jejak ke penyimpanan data peristiwa yang ada, pastikan opsi harga dan periode retensi penyimpanan data acara dikonfigurasi dengan tepat untuk kasus penggunaan Anda.

    • Opsi harga: Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara. Untuk informasi selengkapnya tentang opsi harga, lihat AWS CloudTrail Harga danOpsi harga toko data acara.

    • Periode retensi: Periode retensi menentukan berapa lama data peristiwa disimpan di penyimpanan data acara. CloudTrail hanya menyalin peristiwa jejak yang eventTime memiliki periode retensi penyimpanan data acara. Untuk menentukan periode retensi yang sesuai, ambil jumlah acara tertua yang ingin Anda salin dalam beberapa hari dan jumlah hari yang ingin Anda simpan di penyimpanan data acara (periode retensi = oldest-event-in-days + number-days-to-retain). Misalnya, jika acara tertua yang Anda salin berusia 45 hari dan Anda ingin menyimpan acara di penyimpanan data acara selama 45 hari lagi, Anda akan mengatur periode retensi menjadi 90 hari.

  • Jika Anda menyalin peristiwa jejak ke penyimpanan data acara untuk diselidiki dan tidak ingin menelan peristiwa masa depan, Anda dapat menghentikan konsumsi di penyimpanan data acara. Saat membuat penyimpanan data acara, batalkan pilihan opsi Ingest event (langkah 15 dari prosedur) untuk memastikan penyimpanan data acara hanya berisi peristiwa historis untuk jejak Anda dan tidak ada peristiwa masa depan.

  • Sebelum menyalin peristiwa jejak, nonaktifkan daftar kontrol akses (ACLs) yang dilampirkan ke bucket S3 sumber, dan perbarui kebijakan bucket S3 untuk penyimpanan data peristiwa tujuan. Untuk informasi selengkapnya tentang memperbarui kebijakan bucket S3, lihatKebijakan bucket Amazon S3 untuk menyalin peristiwa jejak. Untuk informasi selengkapnya tentang penonaktifanACLs, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

  • CloudTrail hanya menyalin peristiwa jejak dari file log terkompresi Gzip yang ada di bucket S3 sumber. CloudTrail tidak menyalin peristiwa jejak dari file log yang tidak terkompresi, atau file log yang dikompresi menggunakan format selain Gzip.

  • Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang waktu untuk peristiwa yang disalin yang lebih awal dari pembuatan penyimpanan data peristiwa.

  • Secara default, CloudTrail hanya menyalin CloudTrail peristiwa yang terdapat dalam awalan bucket S3 dan CloudTrail awalan di dalam awalan, dan tidak memeriksa CloudTrail awalan untuk layanan lain. AWS Jika Anda ingin menyalin CloudTrail peristiwa yang terdapat dalam awalan lain, Anda harus memilih awalan saat menyalin peristiwa jejak.

  • Untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Anda tidak dapat menggunakan akun administrator yang didelegasikan untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi.

Izin yang diperlukan untuk menyalin peristiwa jejak

Sebelum menyalin peristiwa jejak, pastikan Anda memiliki semua izin yang diperlukan untuk peran AndaIAM. Anda hanya perlu memperbarui izin IAM peran jika memilih IAM peran yang ada untuk menyalin peristiwa jejak. Jika Anda memilih untuk membuat IAM peran baru, CloudTrail berikan semua izin yang diperlukan untuk peran tersebut.

Jika bucket S3 sumber menggunakan KMS kunci untuk enkripsi data, pastikan kebijakan KMS kunci memungkinkan CloudTrail untuk mendekripsi data dalam bucket. Jika bucket S3 sumber menggunakan beberapa KMS kunci, Anda harus memperbarui kebijakan setiap kunci agar memungkinkan CloudTrail untuk mendekripsi data di bucket.

IAMizin untuk menyalin peristiwa jejak

Saat menyalin peristiwa jejak, Anda memiliki opsi untuk membuat IAM peran baru, atau menggunakan peran yang adaIAM. Saat Anda memilih peran baru, CloudTrail buat IAM IAM peran dengan izin yang diperlukan dan tidak ada tindakan lebih lanjut yang diperlukan di pihak Anda.

Jika Anda memilih peran yang ada, pastikan kebijakan IAM peran memungkinkan CloudTrail untuk menyalin peristiwa jejak dari bucket S3 sumber. Bagian ini memberikan contoh izin IAM peran dan kebijakan kepercayaan yang diperlukan.

Contoh berikut menyediakan kebijakan izin, yang memungkinkan CloudTrail untuk menyalin peristiwa jejak dari bucket S3 sumber. Ganti amzn-s3-demo-bucket, myAccountID, region, prefix, dan eventDataStoreId dengan nilai yang sesuai untuk konfigurasi Anda. Bagian myAccountID adalah ID AWS akun yang digunakan untuk CloudTrail Lake, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

Ganti key-region, keyAccountID, dan keyID dengan nilai untuk KMS kunci yang digunakan untuk mengenkripsi bucket S3 sumber. Anda dapat menghilangkan AWSCloudTrailImportKeyAccess pernyataan jika bucket S3 sumber tidak menggunakan KMS kunci untuk enkripsi.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

Contoh berikut memberikan kebijakan IAM kepercayaan, yang memungkinkan CloudTrail untuk mengambil IAM peran untuk menyalin peristiwa jejak dari bucket S3 sumber. Ganti myAccountID, region, dan eventDataStoreArn dengan nilai yang sesuai untuk konfigurasi Anda. Bagian myAccountID adalah Akun AWS ID yang digunakan untuk CloudTrail Lake, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Kebijakan bucket Amazon S3 untuk menyalin peristiwa jejak

Secara default, ember dan objek Amazon S3 bersifat pribadi. Hanya pemilik sumber daya ( AWS akun yang membuat bucket) yang dapat mengakses bucket dan objek yang dikandungnya. Pemilik sumber daya dapat memberikan izin akses ke sumber daya dan pengguna lain dengan menulis kebijakan akses.

Sebelum menyalin peristiwa jejak, Anda harus memperbarui kebijakan bucket S3 CloudTrail agar dapat menyalin peristiwa jejak dari bucket S3 sumber.

Anda dapat menambahkan pernyataan berikut ke kebijakan bucket S3 untuk memberikan izin ini. Ganti roleArn and amzn-s3-demo-bucket dengan nilai yang sesuai untuk konfigurasi Anda.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

KMSkebijakan kunci untuk mendekripsi data di bucket S3 sumber

Jika bucket S3 sumber menggunakan KMS kunci untuk enkripsi data, pastikan kebijakan KMS kunci menyediakan CloudTrail kms:Decrypt dan kms:GenerateDataKey izin yang diperlukan untuk menyalin peristiwa jejak dari bucket S3 dengan enkripsi SSE - KMS diaktifkan. Jika bucket S3 sumber Anda menggunakan beberapa KMS kunci, Anda harus memperbarui kebijakan setiap kunci. Memperbarui kebijakan KMS kunci memungkinkan CloudTrail untuk mendekripsi data di bucket S3 sumber, menjalankan pemeriksaan validasi untuk memastikan bahwa peristiwa sesuai dengan CloudTrail standar, dan menyalin peristiwa ke penyimpanan data peristiwa Lake. CloudTrail

Contoh berikut menyediakan kebijakan KMS kunci, yang memungkinkan CloudTrail untuk mendekripsi data di bucket S3 sumber. Ganti roleArn, amzn-s3-demo-bucket, myAccountID, region, dan eventDataStoreId dengan nilai yang sesuai untuk konfigurasi Anda. Bagian myAccountID adalah ID AWS akun yang digunakan untuk CloudTrail Lake, yang mungkin tidak sama dengan ID AWS akun untuk bucket S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}