Buat penyimpanan data acara untuk acara di luar AWS dengan konsol - AWS CloudTrail
Untuk membuat penyimpanan data acara untuk acara di luar AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat penyimpanan data acara untuk acara di luar AWS dengan konsol

Anda dapat membuat penyimpanan data acara untuk menyertakan acara di luar AWS, dan kemudian gunakan CloudTrail Lake untuk mencari, menanyakan, dan menganalisis data yang dicatat dari aplikasi Anda.

Anda dapat menggunakan integrasi CloudTrail Lake untuk mencatat dan menyimpan data aktivitas pengguna dari luar AWS; dari sumber apa pun di lingkungan hybrid Anda, seperti aplikasi in-house atau SaaS yang dihosting di tempat atau di cloud, mesin virtual, atau wadah.

Saat membuat penyimpanan data peristiwa untuk integrasi, Anda juga membuat saluran, dan melampirkan kebijakan sumber daya ke saluran.

CloudTrail Penyimpanan data acara danau dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Danau, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Untuk membuat penyimpanan data acara untuk acara di luar AWS

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.

  3. Pilih Buat penyimpanan data acara.

  4. Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

  5. Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi selengkapnya, silakan lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

    Berikut ini adalah opsi yang tersedia:

    • Harga retensi yang dapat diperpanjang satu tahun - Umumnya direkomendasikan jika Anda mengharapkan untuk menelan kurang dari 25 TB data acara per bulan dan menginginkan periode retensi yang fleksibel hingga 10 tahun. Untuk 366 hari pertama (periode retensi default), penyimpanan disertakan tanpa biaya tambahan dengan harga konsumsi. Setelah 366 hari, retensi diperpanjang tersedia dengan pay-as-you-go harga. Ini adalah pilihan default.

      • Periode retensi default: 366 hari

      • Periode retensi maksimum: 3,653 hari

    • Harga retensi tujuh tahun - Direkomendasikan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 7 tahun. Retensi disertakan dengan harga konsumsi tanpa biaya tambahan.

      • Periode retensi default: 2,557 hari

      • Periode retensi maksimum: 2.557 hari

  6. Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

    CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

  7. (Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih yang baru untuk memiliki AWS KMS key dibuat untuk Anda, atau pilih Existing untuk menggunakan KMS kunci yang ada. Di Enter KMS alias, tentukan alias, dalam format alias/MyAliasName. Menggunakan KMS kunci Anda sendiri mengharuskan Anda mengedit kebijakan KMS kunci Anda untuk memungkinkan CloudTrail log dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung AWS KMS Kunci multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di AWS Key Management Service Panduan Pengembang.

    Menggunakan KMS kunci Anda sendiri terjadi AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan KMS kunci, KMS kunci tidak dapat dihapus atau diubah.

    catatan

    Untuk mengaktifkan AWS Key Management Service enkripsi untuk penyimpanan data acara organisasi, Anda harus menggunakan KMS kunci yang ada untuk akun manajemen.

  8. (Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data acara di AWS Glue Katalog Data dan jalankan SQL kueri terhadap data peristiwa di Athena. Metadata tabel yang disimpan di AWS Glue Katalog Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

    Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

    1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran yang sudah adaIAM. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

    2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

    3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

  9. (Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan IAM kebijakan untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihatContoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag. Untuk informasi lebih lanjut tentang bagaimana Anda dapat menggunakan tag di AWS, lihat Menandai AWS sumber daya dalam Tagging AWS Panduan Pengguna Sumber Daya.

  10. Pilih Berikutnya untuk mengonfigurasi penyimpanan data acara.

  11. Pada halaman Pilih acara, pilih Acara dari integrasi.

  12. Dari Peristiwa dari integrasi, pilih sumber untuk mengirimkan acara ke penyimpanan data acara.

  13. Berikan nama untuk mengidentifikasi saluran integrasi. Namanya bisa 3-128 karakter. Hanya huruf, angka, titik, garis bawah, dan tanda hubung yang diizinkan.

  14. Dalam Kebijakan sumber daya, konfigurasikan kebijakan sumber daya untuk saluran integrasi. Kebijakan sumber daya adalah dokumen JSON kebijakan yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya dan dalam kondisi apa. Akun yang didefinisikan sebagai prinsipal dalam kebijakan sumber daya dapat memanggil akun PutAuditEvents API untuk mengirimkan acara ke channel Anda. Pemilik sumber daya memiliki akses implisit ke sumber daya jika IAM kebijakan mereka mengizinkan cloudtrail-data:PutAuditEvents tindakan tersebut.

    Informasi yang diperlukan untuk kebijakan ditentukan oleh jenis integrasi. Untuk integrasi arah, CloudTrail secara otomatis menambahkan mitra AWS akunIDs, dan mengharuskan Anda untuk memasukkan ID eksternal unik yang disediakan oleh mitra. Untuk integrasi solusi, Anda harus menentukan setidaknya satu AWS ID akun sebagai prinsipal, dan secara opsional dapat memasukkan ID eksternal untuk mencegah wakil bingung.

    catatan

    Jika Anda tidak membuat kebijakan sumber daya untuk saluran, hanya pemilik saluran yang dapat memanggil saluran tersebut. PutAuditEvents API

    1. Untuk integrasi langsung, masukkan ID eksternal yang disediakan oleh mitra Anda. Mitra integrasi menyediakan ID eksternal yang unik, seperti ID akun atau string yang dibuat secara acak, untuk digunakan untuk integrasi guna mencegah wakil yang bingung. Mitra bertanggung jawab untuk membuat dan menyediakan ID eksternal yang unik.

      Anda dapat memilih Bagaimana menemukan ini? untuk melihat dokumentasi mitra yang menjelaskan cara menemukan ID eksternal.

      Dokumentasi mitra untuk ID eksternal
      catatan

      Jika kebijakan sumber daya menyertakan ID eksternal, semua panggilan ke ID eksternal PutAuditEvents API harus menyertakan ID eksternal. Namun, jika kebijakan tidak menentukan ID eksternal, mitra masih dapat memanggil PutAuditEvents API dan menentukan externalId parameter.

    2. Untuk integrasi solusi, pilih Tambah AWS akun untuk menentukan masing-masing AWS ID akun untuk ditambahkan sebagai prinsipal dalam polis.

  15. Pilih Berikutnya untuk meninjau pilihan Anda.

  16. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

  17. Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

  18. Berikan saluran Amazon Resource Name (ARN) ke aplikasi mitra. Petunjuk untuk menyediakan saluran ARN ke aplikasi mitra dapat ditemukan di situs web dokumentasi mitra. Untuk informasi selengkapnya, pilih tautan Pelajari selengkapnya untuk mitra di tab Sumber yang tersedia di halaman Integrasi untuk membuka halaman mitra di AWS Marketplace.

Penyimpanan data acara mulai memasukkan acara mitra ke dalam CloudTrail saluran integrasi saat Anda, mitra, atau aplikasi mitra memanggil saluran PutAuditEventsAPI.