Buat penyimpanan data acara untuk CloudTrail acara dengan konsol

Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.

Pilih Buat penyimpanan data acara.

Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Berikut ini adalah opsi yang tersedia:

Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

(Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan KMS kunci yang ada. Di Enter KMS alias, tentukan alias, dalam format. alias/ MyAliasName Menggunakan KMS kunci Anda sendiri mengharuskan Anda mengedit kebijakan KMS kunci Anda untuk memungkinkan penyimpanan data acara Anda dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

Menggunakan KMS kunci Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan KMS kunci, KMS kunci tidak dapat dihapus atau diubah.

(Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan SQL kueri terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran yang sudah adaIAM. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

(Opsional) Pilih Aktifkan kebijakan sumber daya untuk menambahkan kebijakan berbasis sumber daya ke penyimpanan data acara Anda. Kebijakan berbasis sumber daya memungkinkan Anda mengontrol prinsipal mana yang dapat melakukan tindakan pada penyimpanan data acara Anda. Misalnya, Anda dapat menambahkan kebijakan berbasis sumber daya yang memungkinkan pengguna root di akun lain untuk menanyakan penyimpanan data peristiwa ini dan melihat hasil kueri. Untuk kebijakan-kebijakan contoh, lihat Contoh kebijakan berbasis sumber daya untuk penyimpanan data acara.

Kebijakan berbasis sumber daya mencakup satu atau lebih pernyataan. Setiap pernyataan dalam kebijakan mendefinisikan prinsipal yang diizinkan atau ditolak akses ke penyimpanan data peristiwa dan tindakan yang dapat dilakukan oleh prinsipal pada sumber daya penyimpanan data acara.

Tindakan berikut didukung dalam kebijakan berbasis sumber daya untuk penyimpanan data peristiwa:

Untuk penyimpanan data peristiwa organisasi, CloudTrail buat kebijakan berbasis sumber daya default yang mencantumkan tindakan yang diizinkan dilakukan oleh akun administrator yang didelegasikan pada penyimpanan data peristiwa organisasi. Izin dalam kebijakan ini berasal dari izin administrator yang didelegasikan di. AWS Organizations Kebijakan ini diperbarui secara otomatis setelah perubahan pada penyimpanan data peristiwa organisasi atau organisasi (misalnya, akun administrator yang CloudTrail didelegasikan terdaftar atau dihapus).

(Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan IAM kebijakan untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihatContoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag. Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya di Panduan Pengguna AWS Sumber Daya Penandaan.

Pilih Berikutnya untuk mengonfigurasi penyimpanan data acara.

Pada halaman Pilih acara, pilih AWS acara, lalu pilih CloudTrailacara.

Untuk CloudTrail acara, pilih setidaknya satu jenis acara. Secara default, acara Manajemen dipilih. Anda dapat menambahkan peristiwa manajemen, peristiwa data, dan peristiwa aktivitas jaringan ke penyimpanan data acara Anda.

(Opsional) Pilih Salin peristiwa jejak jika Anda ingin menyalin peristiwa dari jejak yang ada untuk menjalankan kueri pada peristiwa sebelumnya. Untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Akun administrator yang didelegasikan tidak dapat menyalin peristiwa jejak ke penyimpanan data acara organisasi. Untuk informasi selengkapnya tentang pertimbangan untuk menyalin peristiwa jejak, lihat. Pertimbangan untuk menyalin acara jejak

Agar penyimpanan data acara Anda mengumpulkan acara dari semua akun di AWS Organizations organisasi, pilih Aktifkan untuk semua akun di organisasi saya. Anda harus masuk ke akun manajemen atau akun administrator yang didelegasikan agar organisasi dapat membuat penyimpanan data peristiwa yang mengumpulkan peristiwa untuk organisasi.

Perluas Pengaturan tambahan untuk memilih apakah Anda ingin penyimpanan data acara mengumpulkan acara untuk semua Wilayah AWS, atau hanya saat ini Wilayah AWS, dan pilih apakah penyimpanan data acara menyerap peristiwa. Secara default, penyimpanan data acara Anda mengumpulkan peristiwa dari semua Wilayah di akun Anda dan mulai menelan peristiwa saat dibuat.

1. Pilih Sertakan hanya wilayah saat ini di penyimpanan data acara saya untuk menyertakan hanya peristiwa yang dicatat di Wilayah saat ini. Jika Anda tidak memilih opsi ini, penyimpanan data acara Anda mencakup acara dari semua Wilayah.

2. Hapus pilihan acara Ingest jika Anda tidak ingin penyimpanan data acara mulai menelan peristiwa. Misalnya, Anda mungkin ingin membatalkan pilihan acara Ingest, jika Anda menyalin peristiwa jejak dan tidak ingin penyimpanan data acara menyertakan peristiwa masa depan. Secara default, penyimpanan data acara mulai menelan peristiwa saat dibuat.

Jika penyimpanan data acara Anda menyertakan acara manajemen, Anda dapat memilih dari opsi berikut. Untuk informasi selengkapnya tentang acara manajemen, lihatAcara manajemen logging.

1. Pilih antara koleksi acara Simple atau Advanced event collection:

   • Pilih koleksi acara sederhana jika Anda ingin mencatat semua peristiwa, hanya mencatat peristiwa yang dibaca, atau hanya mencatat peristiwa tulis. Anda dapat memilih juga untuk mengecualikan AWS Key Management Service dan API peristiwa RDS Data Amazon.

   • Pilih Koleksi acara lanjutan jika Anda ingin menyertakan atau mengecualikan acara manajemen berdasarkan nilai bidang pemilih acara lanjutan, termasuk,eventName,, eventType eventSourcesessionCredentialFromConsole, dan userIdentity.arn bidang.

2. Jika Anda memilih koleksi acara sederhana, pilih apakah Anda ingin mencatat semua peristiwa, hanya mencatat peristiwa yang dibaca, atau hanya mencatat peristiwa tulis. Anda juga dapat memilih untuk mengecualikan AWS KMS dan API peristiwa RDS Data Amazon.

3. Jika Anda memilih koleksi acara lanjutan, buat pilihan berikut:

   1. Di template pemilih Log, pilih templat, atau Kustom untuk membuat konfigurasi kustom berdasarkan nilai bidang pemilih peristiwa lanjutan.

   2. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih acara lanjutan, seperti “Acara manajemen log dari AWS Management Console sesi”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

   3. Jika Anda memilih Kustom, di Penyeleksi acara lanjutan membangun ekspresi berdasarkan nilai bidang pemilih acara lanjutan.

      catatan

      Selector tidak mendukung penggunaan wildcard seperti. * Untuk mencocokkan beberapa nilai dengan satu kondisi, Anda dapat menggunakanStartsWith,EndsWith,NotStartsWith, atau NotEndsWith untuk secara eksplisit mencocokkan awal atau akhir bidang acara.

      1. Pilih dari bidang berikut.

         • readOnly— readOnly dapat diatur untuk sama dengan nilai true ataufalse. Ketika disetel kefalse, data peristiwa menyimpan log peristiwa manajemen Write-only. Peristiwa manajemen hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat peristiwa Baca dan Tulis, jangan tambahkan readOnly pemilih.

         • eventName— eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara manajemen apa pun, seperti CreateAccessPoint atauGetAccessPoint.

         • userIdentity.arn— Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh IAM identitas tertentu. Untuk informasi lebih lanjut, lihat CloudTrail userIdentity elemen.

         • sessionCredentialFromConsole— Sertakan atau kecualikan acara yang berasal dari AWS Management Console sesi. Bidang ini dapat diatur ke sama atau tidak sama dengan nilai. true

         • eventSource— Anda dapat menggunakannya untuk memasukkan atau mengecualikan sumber acara tertentu. Biasanya eventSource merupakan bentuk pendek dari nama layanan tanpa spasi plus.amazonaws.com. Misalnya, Anda dapat eventSource menyetel sama dengan ec2.amazonaws.com untuk hanya mencatat peristiwa EC2 manajemen Amazon.

         • eventType— eventTypeUntuk memasukkan atau mengecualikan. Misalnya, Anda dapat mengatur bidang ini ke tidak sama dengan AwsServiceEvent untuk mengecualikan Layanan AWS peristiwa.

      2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.

         Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

         catatan

         Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

      3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.

   4. Secara opsional, perluas JSONtampilan untuk melihat pemilih acara lanjutan Anda sebagai JSON blok.

4. Pilih Aktifkan tangkapan peristiwa Wawasan untuk mengaktifkan Wawasan. Untuk mengaktifkan Wawasan, Anda perlu menyiapkan penyimpanan data acara tujuan untuk mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini.

   Jika Anda memilih untuk mengaktifkan Wawasan, lakukan hal berikut.

   1. Pilih toko acara tujuan yang akan mencatat peristiwa Wawasan. Penyimpanan data acara tujuan akan mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini. Untuk informasi tentang cara membuat penyimpanan data acara tujuan, lihatUntuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan.

   2. Pilih jenis Wawasan. Anda dapat memilih tingkat API panggilan, tingkat API kesalahan, atau keduanya. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Wawasan untuk tingkat API panggilan. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk mengetahui tingkat API kesalahan.

Untuk menyertakan peristiwa data di penyimpanan data acara Anda, lakukan hal berikut.

1. Pilih jenis sumber daya. Ini adalah Layanan AWS dan sumber daya di mana peristiwa data dicatat.

2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa data, readOnly peristiwa, writeOnly peristiwa, atau Kustom untuk membuat pemilih log kustom.

3. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

4. Jika Anda memilih Kustom, di Penyeleksi acara lanjutan membangun ekspresi berdasarkan nilai bidang pemilih peristiwa lanjutan.

   catatan

   Selector tidak mendukung penggunaan wildcard seperti. * Untuk mencocokkan beberapa nilai dengan satu kondisi, Anda dapat menggunakanStartsWith,EndsWith,NotStartsWith, atau NotEndsWith untuk secara eksplisit mencocokkan awal atau akhir bidang acara.

   1. Pilih dari bidang berikut.

      • readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.

      • eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

      • eventSource— Sumber acara untuk menyertakan atau mengecualikan. Bidang ini dapat menggunakan operator apa pun.

      • eventType— Jenis acara untuk menyertakan atau mengecualikan. Misalnya, Anda dapat mengatur bidang ini ke tidak sama dengan AwsServiceEvent untuk dikecualikanLayanan AWS acara. Untuk daftar jenis acara, lihat eventTypediCloudTrail isi rekam.

      • sessionCredentialFromKonsol — Sertakan atau kecualikan acara yang berasal dari AWS Management Console sesi. Bidang ini dapat diatur ke sama atau tidak sama dengan nilai. true

      • userIdentity.arn — Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh identitas tertentuIAM. Untuk informasi lebih lanjut, lihat CloudTrail userIdentity elemen.

      • resources.ARN- Anda dapat menggunakan operator apa pun denganresources.ARN, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type. ARN Untuk informasi selengkapnya, lihat Memfilter peristiwa data berdasarkan resources.ARN.

        catatan

        Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.

      Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Tindakan, sumber daya, dan kunci kondisi di Panduan AWS Identity and Access Management Pengguna.

   2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, atur operator untuk tidak memulai, lalu tempel di ember S3 ARN yang Anda tidak ingin mencatat peristiwa.

      Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.

      Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

      catatan

      Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

   3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

5. Secara opsional, perluas JSONtampilan untuk melihat pemilih acara lanjutan Anda sebagai JSON blok.

6. Untuk menambahkan jenis sumber daya lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah a melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk jenis sumber daya.

Untuk menyertakan peristiwa aktivitas jaringan di penyimpanan data acara Anda, lakukan hal berikut.

1. Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.

2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti eventName danvpcEndpointId.

3. (Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

4. Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

   1. Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.

      • eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey.

      • errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukung errorCode adalahVpceAccessDenied.

      • vpcEndpointId— Mengidentifikasi VPC titik akhir yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.

   2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.

   3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.

5. Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.

6. Secara opsional, perluas JSONtampilan untuk melihat pemilih acara lanjutan Anda sebagai JSON blok.

Untuk menyalin peristiwa jejak yang ada ke penyimpanan data acara Anda, lakukan hal berikut.

1. Pilih jejak yang ingin Anda salin. Secara default, CloudTrail hanya menyalin CloudTrail peristiwa yang terdapat dalam awalan bucket S3 dan CloudTrail awalan di dalam awalan, dan tidak memeriksa CloudTrail awalan untuk layanan lain. AWS Jika Anda ingin menyalin CloudTrail peristiwa yang terdapat dalam awalan lain, pilih Masukkan S3 URI, lalu pilih Browse S3 untuk menelusuri awalan. Jika bucket S3 sumber untuk jejak menggunakan KMS kunci untuk enkripsi data, pastikan kebijakan KMS kunci memungkinkan CloudTrail untuk mendekripsi data. Jika bucket S3 sumber Anda menggunakan beberapa KMS kunci, Anda harus memperbarui kebijakan setiap kunci agar memungkinkan CloudTrail untuk mendekripsi data dalam bucket. Untuk informasi selengkapnya tentang memperbarui kebijakan KMS utama, lihatKMSkebijakan kunci untuk mendekripsi data di bucket S3 sumber.

2. Pilih rentang waktu untuk menyalin acara. CloudTrail memeriksa awalan dan nama file log untuk memverifikasi nama berisi tanggal antara tanggal mulai dan akhir yang dipilih sebelum mencoba menyalin peristiwa jejak. Anda dapat memilih rentang Relatif atau rentang Absolut. Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang waktu yang lebih awal dari pembuatan penyimpanan data acara.

   catatan

   CloudTrail hanya menyalin peristiwa jejak yang eventTime memiliki periode retensi penyimpanan data acara. Misalnya, jika periode penyimpanan data acara adalah 90 hari, maka tidak CloudTrail akan menyalin peristiwa jejak apa pun dengan eventTime lebih dari 90 hari.

   • Jika Anda memilih Rentang relatif, Anda dapat memilih untuk menyalin peristiwa yang dicatat dalam 6 bulan terakhir, 1 tahun, 2 tahun, 7 tahun, atau rentang khusus. CloudTrail menyalin peristiwa yang dicatat dalam periode waktu yang dipilih.

   • Jika Anda memilih Rentang absolut, Anda dapat memilih tanggal mulai dan berakhir tertentu. CloudTrail menyalin peristiwa yang terjadi antara tanggal mulai dan akhir yang dipilih.

3. Untuk Izin, pilih dari opsi IAM peran berikut. Jika Anda memilih IAM peran yang ada, verifikasi bahwa kebijakan IAM peran menyediakan izin yang diperlukan. Untuk informasi selengkapnya tentang memperbarui izin IAM peran, lihatIAMizin untuk menyalin peristiwa jejak.

   • Pilih Buat peran baru (disarankan) untuk membuat IAM peran baru. Untuk Masukkan nama IAM peran, masukkan nama untuk peran tersebut. CloudTrail secara otomatis membuat izin yang diperlukan untuk peran baru ini.

   • Pilih Gunakan IAM peran kustom ARN untuk menggunakan IAM peran kustom yang tidak terdaftar. Untuk IAMperan Enter ARN, masukkan IAMARN.

   • Pilih IAM peran yang ada dari daftar drop-down.

Pilih Berikutnya untuk meninjau pilihan Anda.

Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

Mulai saat ini, penyimpanan data acara menangkap peristiwa yang cocok dengan pemilih acara lanjutannya (jika Anda tetap memilih opsi acara Ingest). Peristiwa yang terjadi sebelum Anda membuat penyimpanan data acara tidak ada di penyimpanan data acara, kecuali Anda memilih untuk menyalin peristiwa jejak yang ada.