As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Introdução aos AWS CloudTrail tutoriais
Se você é novato AWS CloudTrail, esses tutoriais podem ajudá-lo a aprender como usar seus recursos. Para usar os CloudTrail recursos, você precisa ter permissões adequadas. Esta página descreve as políticas gerenciadas disponíveis CloudTrail e fornece informações sobre como você pode conceder permissões.
**Topics**
+ [Conceda permissões de uso CloudTrail](#tutorial-grant-permissions)
+ [Visualizar o histórico de eventos](tutorial-event-history.md)
+ [Criar uma trilha para registrar eventos de gerenciamento](tutorial-trail.md)
+ [Criar um armazenamento de dados de eventos para eventos de dados do S3](tutorial-lake-S3.md)
## Conceda permissões de uso CloudTrail
Para criar, atualizar e gerenciar CloudTrail recursos como trilhas, armazenamentos de dados de eventos e canais, você precisa conceder permissões de uso CloudTrail. Esta seção fornece informações sobre as políticas gerenciadas disponíveis para CloudTrail.
**nota**
As permissões que você concede aos usuários para realizar tarefas CloudTrail administrativas não são as mesmas que CloudTrail exigem a entrega de arquivos de log para buckets do Amazon S3 ou o envio de notificações para tópicos do Amazon SNS. Para obter mais informações sobre essas permissões, consulte [Política de bucket do Amazon S3 para CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Se você configurar a integração com o Amazon CloudWatch Logs, CloudTrail também requer uma função que ele possa assumir para entregar eventos a um grupo de CloudWatch logs do Amazon Logs. Você deve criar a função que CloudTrail usa. Para obter mais informações, consulte [Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) e [Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).
As seguintes políticas AWS gerenciadas estão disponíveis para CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Essa política fornece acesso total às CloudTrail ações sobre CloudTrail recursos, como trilhas, armazenamentos de dados de eventos e canais. Essa política fornece as permissões necessárias para criar, atualizar e excluir CloudTrail trilhas, armazenamentos de dados de eventos e canais.
Essa política também fornece permissões para gerenciar o bucket do Amazon S3, o grupo de CloudWatch logs para Logs e um tópico do Amazon SNS para uma trilha. No entanto, a política `AWSCloudTrail_FullAccess` gerenciada não fornece permissões para excluir o bucket do Amazon S3, o grupo de CloudWatch logs para Logs ou um tópico do Amazon SNS. Para obter informações sobre políticas gerenciadas para outros AWS serviços, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
**nota**
A **AWSCloudTrail\$1FullAccess**política não se destina a ser compartilhada amplamente entre seus Conta da AWS. Os usuários com esse perfil podem desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas Contas da AWS. Por esse motivo, você só deve aplicar essa política aos administradores da conta. Você deve controlar e monitorar de perto o uso desta política.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Essa política concede permissões para visualizar o CloudTrail console, incluindo eventos recentes e histórico de eventos. Essa política também permite visualizar trilhas, armazenamentos de dados de eventos e canais existentes. Os perfis e usuários com essa política podem [baixar o histórico de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), mas não podem criar ou atualizar trilhas, armazenamentos de dados de eventos ou canais.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
# Visualizar o histórico de eventos
Esta seção descreve como usar a página **Histórico de CloudTrail eventos** no CloudTrail console para visualizar os últimos 90 dias de eventos de gerenciamento atuais Região da AWS. Conta da AWS
**Como visualizar o **Histórico de eventos****
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, escolha **Event history** (Histórico de eventos). Você verá uma lista filtrada de eventos, com os eventos mais recentes exibidos primeiro. O filtro padrão para eventos é somente **Read only (Somente leitura)**, definido como **false (falso)**. Você pode limpar esse filtro escolhendo **X** à direita do filtro. É possível pesquisar eventos no **Histórico de eventos** filtrando eventos por um único atributo
![\[A página do histórico de CloudTrail eventos destacando o filtro Somente leitura\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)
1. Escolha um atributo para filtrar e insira o valor total do atributo. CloudTrail não é possível filtrar por um valor parcial. Por exemplo, para visualizar todos os eventos de login do console, escolha o filtro **Nome do evento** e especifique **ConsoleLogin**o valor do atributo.
![\[A página do histórico de CloudTrail eventos foi filtrada pelo ConsoleLogin evento.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)
Ou, para visualizar eventos CloudTrail de gerenciamento recentes, escolha **Origem do evento** e especifique`cloudtrail.amazonaws.com`. Para obter informações sobre os eventos nos quais um serviço se registra CloudTrail, consulte a Referência da API do serviço.
![\[A página do histórico de CloudTrail eventos filtrada em uma fonte de eventos específica\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/event-history-event-source.png)
1. Para visualizar um evento de gerenciamento específico, escolha o nome do evento. Na página de detalhes do evento, é possível visualizar detalhes sobre o evento, ver quaisquer recursos referenciados e visualizar o registro do evento.
1. Para comparar eventos, selecione até cinco eventos preenchendo as caixas de seleção na margem esquerda da tabela **Event history** (Histórico de eventos). Você pode ver os detalhes dos eventos selecionados side-by-side na tabela **Comparar detalhes do evento**.
1. Você pode salvar o histórico de eventos baixando-o como um arquivo no formato JSON ou CSV. O download do histórico de eventos pode levar alguns minutos.
![\[A página do histórico de CloudTrail eventos mostrando as opções de download\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)
Para obter mais informações, consulte [Trabalhando com o histórico de CloudTrail eventos](view-cloudtrail-events.md).
# Criar uma trilha para registrar eventos de gerenciamento
Para a primeira trilha, recomendamos que você crie uma trilha que registre todos os [eventos de gerenciamento](cloudtrail-concepts.md#cloudtrail-concepts-management-events) e não registre [eventos de dados](cloudtrail-concepts.md#cloudtrail-concepts-data-events) ou eventos do Insights. Os exemplos de eventos de gerenciamento incluem eventos de segurança, como os eventos do `CreateUser` e `AttachRolePolicy` do IAM, eventos de recurso, como `RunInstances` e `CreateBucket` e muito mais. Você criará um bucket do Amazon S3 onde armazenará os arquivos de log da trilha como parte da criação da trilha no CloudTrail console.
**nota**
AWS Control Tower configura uma nova CloudTrail trilha registrando eventos de gerenciamento quando você configura uma landing zone. É uma trilha no nível da organização, o que significa que ela registra todos os eventos de gerenciamento para a conta de gerenciamento e todas as contas-membro da organização. Para obter mais informações, consulte [Informações sobre registro em log no AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html) no *Guia do usuário do AWS CloudTrail *.
Este tutorial pressupõe que você está criando a primeira trilha. Dependendo do número de trilhas que você tem em sua AWS conta e de como essas trilhas são configuradas, o procedimento a seguir pode ou não gerar despesas. CloudTrail armazena arquivos de log em um bucket do Amazon S3, o que gera custos. Para obter mais informações sobre preços, consulte [Preços do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Preços do Amazon S3](https://aws.amazon.com/s3/pricing/).
**Para criar uma trilha**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No seletor de **região**, escolha a AWS região em que você deseja que sua trilha seja criada. Essa é a região inicial da trilha.
**nota**
A região de origem é a única Região da AWS em que você pode atualizar a trilha depois de criada.
1. Na página inicial do CloudTrail serviço, na página **Trilhas** ou na seção **Trilhas** da página **Painel**, escolha **Criar trilha**.
1. Em **Trail name (Nome da trilha)**, dê um nome pra a trilha, como *management-events*. Como prática recomendada, use um nome que identifique rapidamente a finalidade da trilha. Nesse caso, você está criando uma trilha que registra eventos de gerenciamento.
1. Mantenha a configuração padrão para **Habilitar para todas as contas em minha organização**. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no Organizations.
1. Em **Storage location** (Local de armazenamento), escolha **Create a S3 bucket** (Criar um bucket do S3) para criar um bucket. Quando você cria um bucket, CloudTrail cria e aplica as políticas de bucket necessárias. Se você escolher criar um bucket do S3 padrão, sua política do IAM precisará incluir permissão para a ação `s3:PutEncryptionConfiguration` porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Forneça ao seu bucket um nome que facilite sua identificação.
Para facilitar a localização de seus registros, crie uma nova pasta (também conhecida como *prefixo*) em um bucket existente para armazenar seus CloudTrail registros.
**nota**
O nome do bucket do Amazon S3 deve ser exclusivo globalmente. Para obter mais informações, consulte as [Regras para nomear buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) no *Guia do usuário do Amazon Simple Storage Service*.
1. Desmarque a caixa de seleção para desabilitar a **Log file SSE-KMS encryption** (Criptografia SSE-KMS do arquivo de log). Por padrão, os arquivos de log são criptografados com criptografia SSE-S3. Para obter mais informações sobre essa configuração, consulte [Usar criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
1. Deixe as configurações padrão em **Additional settings** (Configurações adicionais).
1. Deixe as configurações padrão para **CloudWatch Registros**. Por enquanto, não envie registros para o Amazon CloudWatch Logs.
1. (Opcional) Em **Tags**, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso à sua trilha. As tags podem ajudá-lo a identificar suas CloudTrail trilhas e outros recursos, como os buckets do Amazon S3 que contêm CloudTrail arquivos de log. Por exemplo, você poderia anexar uma tag com o nome **Compliance** e o valor **Auditing**.
**nota**
Embora você possa adicionar tags às trilhas ao criá-las no CloudTrail console e criar um bucket do Amazon S3 para armazenar seus arquivos de log no CloudTrail console, você não pode adicionar tags ao bucket do Amazon S3 a partir do console. CloudTrail Para obter mais informações sobre como visualizar e alterar as propriedades de um bucket do Amazon S3, inclusive adicionar tags a um bucket, consulte o [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html).
Quando terminar de criar as tags, escolha **Next** (Próximo).
1. Na página **Choose log events** (Escolher eventos de log), selecione os tipos de log. Para essa trilha, mantenha o padrão, **Management events** (Eventos de gerenciamento). Em **Management events** (Eventos de gerenciamento), escolha para registrar eventos de **Read** (Leitura) e **Write** (Gravação) se ainda não estiverem selecionados. Deixe as caixas de seleção **Excluir AWS KMS eventos e Excluir** **eventos da API de dados do Amazon RDS** vazias para registrar todos os eventos de gerenciamento.
![\[A página Create trail (Criar trilha), configurações de Event type (Tipo de evento)\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. Mantenha as configurações padrão para **Eventos de dados**, **Eventos do Insights** e **Eventos de atividade de rede**. Essa trilha não registrará nenhum evento de dados, eventos do Insights nem eventos de atividades de rede. Escolha **Próximo**.
1. Na página **Review and create** (Analisar e criar), revise as configurações que você escolheu para sua trilha. Selecione **Edit** (Editar) para voltar e fazer alterações em uma seção. Quando estiver pronto para criar a trilha, escolha **Create trail** (Criar trilha).
1. A página **Trails** (Trilhas) mostra sua nova trilha na tabela. Observe que a trilha está definida como **Multi-region trail** (Trilha de várias regiões) por padrão, e esse registro está ativado para a trilha por padrão.
![\[A página Create trail (Criar trilha), configurações de Event type (Tipo de evento)\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
Para obter mais informações sobre trilhas, consulte [Trabalhando com CloudTrail trilhas](cloudtrail-trails.md).
# Visualizar arquivos de log
Em uma média de cerca de 5 minutos após a criação da sua primeira trilha, CloudTrail entrega o primeiro conjunto de arquivos de log para o bucket do Amazon S3 para sua trilha. Você pode examinar esses arquivos e saber mais sobre as informações que eles contêm.
**nota**
CloudTrail normalmente entrega registros em uma média de cerca de 5 minutos após uma chamada de API. Desta vez não há garantias. Consulte o [Acordo de Nível de Serviço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla) para obter mais informações.
Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 está inacessível), CloudTrail tentará reenviar os arquivos de log para o bucket do S3 por 30 dias, e esses attempted-to-deliver eventos estarão sujeitos às cobranças padrão. CloudTrail Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.
**Para visualizar seus arquivos de log**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, selecione **Trilhas**. Na página **Trilhas**, encontre o nome da trilha que você acabou de criar (no exemplo,*management-events*).
1. Na linha dessa trilha, escolha o valor para o bucket do S3.
1. O console do Amazon S3 é aberto e mostra duas pastas para o bucket: `CloudTrail-Digest` e `CloudTrail`. Escolha a **CloudTrail**pasta para ver os arquivos de log.
1. Se você criou uma trilha multirregional, há uma pasta para cada Região da AWS uma. Escolha a pasta na Região da AWS qual você deseja revisar os arquivos de log. Por exemplo, se você quiser revisar os arquivos de log para a região Leste dos EUA (Ohio), **us-east-2**.
![\[Um bucket do Amazon S3 de uma trilha, mostrando a estrutura de arquivos de log em regiões da AWS\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. Navegue a estrutura de pastas do bucket até o ano, o mês e o dia em que você deseja revisar os logs de atividade nessa região. Nesse dia, há uma série de arquivos. O nome dos arquivos começa com seu Conta da AWS ID e termina com a extensão`.gz`. Por exemplo, se o ID da sua conta for*123456789012*, você verá arquivos com nomes semelhantes a este: *123456789012* \$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz.
Para visualizar esses arquivos, você pode baixá-los, descompactá-los e visualizá-los em um editor de texto simples ou um visualizador de arquivo JSON. Alguns navegadores também oferecem suporte para a visualização de arquivos .gz e JSON diretamente. É recomendável usar um visualizador de JSON, pois facilita a análise de informações em arquivos de log do CloudTrail .
# Criar um armazenamento de dados de eventos para eventos de dados do S3
Você pode criar um armazenamento de dados de eventos para registrar CloudTrail eventos (eventos de gerenciamento, eventos de dados), [eventos do CloudTrail Insights](query-event-data-store-insights.md), [AWS Audit Manager evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [itens de AWS Config configuração](query-event-data-store-config.md) ou [não AWS eventos](event-data-store-integration-events.md).
Ao criar um armazenamento de dados de eventos para eventos de dados, você escolhe os tipos de recursos Serviços da AWS e os quais deseja registrar eventos de dados. Para obter informações sobre Serviços da AWS esses eventos de dados de log, consulte[Eventos de dados](logging-data-events-with-cloudtrail.md#logging-data-events).
Esta demonstração explica como criar um armazenamento de dados de eventos para eventos de dados do Amazon S3. Neste tutorial, em vez de registrar todos os eventos de dados do Amazon S3, escolheremos um modelo de seletor de log personalizado para registrar eventos somente quando um objeto for excluído de um bucket do S3 específico.
**Para criar um armazenamento de dados de eventos para eventos de dados do S3**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, em **Lake**, escolha **Armazenamentos de dados de eventos**.
1. Selecione **Create event data store** (Criar armazenamento de dados de eventos).
1. Na página **Configurar armazenamento de dados de eventos**, em **Detalhes gerais**, dê um nome ao seu armazenamento de dados de eventos, como*s3-data-events-eds*. Como prática recomendada, use um nome que identifique rapidamente a finalidade do armazenamento de dados de eventos. Para obter informações sobre os requisitos CloudTrail de nomenclatura, consulte[Requisitos de nomenclatura para CloudTrail recursos, buckets S3 e chaves KMS](cloudtrail-trail-naming-requirements.md).
1. Escolha a **opção de preço** que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/) e [Gerenciando os custos CloudTrail do Lake](cloudtrail-lake-manage-costs.md).
As seguintes opções estão disponíveis:
+ **Preço de retenção extensível de um ano**: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Essa é a opção padrão.
+ **Período de retenção padrão**: 366 dias
+ **Período máximo de retenção**: 3.653 dias
+ **Preço de retenção de sete anos**: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.
+ **Período de retenção padrão**: 2.557 dias
+ **Período máximo de retenção**: 2.557 dias
1. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de **preço de retenção extensível de um ano** ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de **preço de retenção de sete anos**.
CloudTrail Lake determina se deve reter um evento verificando se o `eventTime` evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando forem mais antigos do que 90 dias. `eventTime`
1. (Opcional) Em **Criptografia**, escolha se você deseja criptografar o armazenamento de dados do evento usando sua própria chave do KMS. Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados CloudTrail usando uma chave KMS que AWS possui e gerencia para você.
Para habilitar a criptografia usando sua própria chave do KMS, escolha **Usar minha própria AWS KMS key**. Escolha **Novo** para AWS KMS key criar uma para você ou escolha **Existente** para usar uma chave KMS existente. Em **Inserir alias KMS**, especifique um alias, no formato. `alias/` *MyAliasName* Usar sua própria chave KMS exige que você edite sua política de chaves KMS para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulte[Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail também oferece suporte a chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte [Usar chaves de várias regiões](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) no *Manual do desenvolvedor do AWS Key Management Service *.
Usar sua própria chave KMS gera AWS KMS custos de criptografia e descriptografia. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.
**nota**
Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma chave KMS existente para a conta de gerenciamento.
1. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha **Habilitar** na **federação de consultas do Lake**. A federação permite que você visualize os metadados associados ao armazenamento de dados de eventos no [Catálogo de Dados do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) e execute consultas SQL nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte [Federar um armazenamento de dados de eventos](query-federation.md).
Para habilitar a federação de consultas do Lake, escolha **Habilitar** e faça o seguinte:
1. Escolha se deseja criar um perfil ou usar um perfil do IAM existente. O [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) usa esse perfil para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as [permissões mínimas necessárias](query-federation.md#query-federation-permissions-role).
1. Se você estiver criando um perfil, insira um nome para identificá-lo.
1. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta da .
1. (Opcional) Escolha **Habilitar política de recursos** para adicionar uma política baseada em recurso ao seu datastore de eventos. As políticas baseadas em recursos possibilitam controlar quais entidades principais podem realizar ações no datastore de eventos. Por exemplo, você pode adicionar uma política baseada em recurso que permita que os usuários-raiz de outras contas consultem esse datastore de eventos e visualizem os resultados da consulta. Para obter exemplos de políticas, consulte [Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Uma política baseada em recurso inclui uma ou mais instruções. Cada instrução da política define as [entidades principais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) que têm acesso permitido ou negado ao datastore de eventos, e as ações que as entidades principais podem realizar no recurso de datastore de eventos.
As seguintes ações são compatíveis com políticas baseadas em recursos para datastores de eventos:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [armazenamentos de dados de eventos da organização](cloudtrail-lake-organizations.md), CloudTrail cria uma [política padrão baseada em recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que lista as ações que as contas de administrador delegado podem realizar nos armazenamentos de dados de eventos da organização. As permissões dessa política são derivadas das permissões de administrador delegado no AWS Organizations. Essa política é atualizada automaticamente após alterações no armazenamento de dados de eventos da organização ou na organização (por exemplo, uma conta de administrador CloudTrail delegado é registrada ou removida).
1. (Opcional) Em **Tags**, adicione uma ou mais tags personalizadas (pares chave-valor) ao armazenamento de dados de eventos. As tags podem ajudar você a identificar seus repositórios de dados de CloudTrail eventos. Por exemplo, você poderia anexar uma tag com o nome **stage** e o valor **prod**. É possível usar tags para limitar o acesso ao armazenamento de dados de eventos. As tags também podem ser usadas para monitorar os custos de consulta e ingestão do seu armazenamento de dados de eventos.
Para obter informações sobre como usar tags para monitorar os custos, consulte [Criação de etiquetas de alocação de custos definidas pelo usuário para armazenamentos de dados de eventos do CloudTrail Lake](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Para obter informações sobre como usar políticas do IAM para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulte [Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obter informações sobre como você pode usar tags em AWS, consulte Como [marcar seus AWS recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) do *usuário de AWS recursos de marcação*.
1. Escolha **Next** (Avançar) para configurar o armazenamento de dados de eventos.
1. Na página **Escolher eventos**, mantenha as seleções padrão para **Tipo de evento**.
![\[Escolha o tipo de evento do armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. Para **CloudTrail eventos**, escolha **Eventos de dados** e desmarque **Eventos de gerenciamento**. Para obter mais informações sobre eventos de dados, consulte [Eventos de dados de log](logging-data-events-with-cloudtrail.md).
![\[Escolha eventos CloudTrail de dados para armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)
1. Mantenha a configuração padrão para **Copiar eventos de trilha**. Você usaria essa opção para copiar eventos de trilhas existentes para o armazenamento de dados de eventos. Para obter mais informações, consulte [Copiar eventos de trilhas para um armazenamento de dados de eventos](cloudtrail-copy-trail-to-lake-eds.md).
1. Escolha **Habilitar para todas as contas em minha organização** se este for um armazenamento de dados de eventos da organização. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no AWS Organizations.
1. Em **Configurações adicionais**, mantenha as seleções padrão. Por padrão, um armazenamento de dados de eventos coleta eventos para todos Regiões da AWS e começa a ingerir eventos quando é criado.
1. Para **Eventos de dados**, faça as seguintes seleções:
1. Em **Tipo de recurso**, escolha **S3**. O tipo de recurso identifica o recurso AWS service (Serviço da AWS) e no qual os eventos de dados são registrados.
1. Em **Modelo do seletor de log**, escolha **Personalizado**. Escolher **Personalizado** permite definir um seletor de eventos personalizado para filtrar os campos `eventName`, `resources.ARN` e `readOnly`. Para obter informações sobre esses campos, consulte [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)a *Referência AWS CloudTrail da API*.
1. (Opcional) Em **Nome do seletor**, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como “Registrar chamadas de DeleteObject API para um bucket específico do S3”. O nome do seletor é listado como `Name` no seletor de eventos avançado e poderá ser visualizado se você expandir a **visualização JSON**.
![\[Visualização JSON expandida mostrando seletores de eventos avançados\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/json-view-selector-name.png)
1. Em **Seletores de eventos avançados**, criaremos o seletor de eventos personalizado para filtrar pelos campos `eventName` e `resources.ARN`. Seletores de eventos avançados para um armazenamento de dados de eventos funcionam da mesma forma que os seletores de eventos avançados que você aplica a uma trilha. Para obter mais informações sobre como criar seletores de eventos avançados, consulte [Registro em log de eventos de dados com seletores de eventos avançados](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced).
1. Em **Campo**, escolha **eventName**. Em **Operador**, escolha **equals**. Em **Valor**, insira **DeleteObject**. Escolha **\$1 Campo** para filtrar por outro campo.
1. Em **Campo**, escolha **resources.ARN**. Para **Operador**, escolha **StartsWith**. Em **Value**, insira o ARN do seu bucket (por exemplo, arn:aws:s3:::). *amzn-s3-demo-bucket* Para obter mais informações sobre como obter o ARN, consulte [Recursos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) no *Guia do usuário do Amazon Simple Storage Service*.
![\[Configuração de eventos de dados do S3\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/eds-data-events.png)
1. Selecione **Next** (Próximo) para revisar suas escolhas.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Escolha **Edit** (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha **Create event data store** (Criar armazenamento de dados de eventos).
1. O novo armazenamento de dados de eventos está visível na tabela **Armazenamentos de dados de eventos** na página **Armazenamento de dados de eventos**.
Deste ponto em diante, o armazenamento de dados de eventos captura eventos que correspondem aos seletores de eventos avançados. Os eventos ocorridos antes da criação do armazenamento de dados de eventos não estarão no armazenamento de dados de eventos, a menos que você tenha optado por copiar eventos de trilha existentes.
Você agora está pronto para executar consultas em seu armazenamento de dados de eventos. Para obter informações sobre como visualizar e executar consultas de exemplo, consulte [Veja exemplos de consultas com o console CloudTrail](lake-console-queries.md).
Para obter mais informações sobre CloudTrail Lake, consulte[Trabalhando com AWS CloudTrail Lake](cloudtrail-lake.md).