As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criar um armazenamento de dados de eventos para eventos de dados do S3 Você pode criar um armazenamento de dados de eventos para registrar CloudTrail eventos (eventos de gerenciamento, eventos de dados), [eventos do CloudTrail Insights](query-event-data-store-insights.md), [AWS Audit Manager evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [itens de AWS Config configuração](query-event-data-store-config.md) ou [não AWS eventos](event-data-store-integration-events.md). Ao criar um armazenamento de dados de eventos para eventos de dados, você escolhe os tipos de recursos Serviços da AWS e os quais deseja registrar eventos de dados. Para obter informações sobre Serviços da AWS esses eventos de dados de log, consulte[Eventos de dados](logging-data-events-with-cloudtrail.md#logging-data-events). Esta demonstração explica como criar um armazenamento de dados de eventos para eventos de dados do Amazon S3. Neste tutorial, em vez de registrar todos os eventos de dados do Amazon S3, escolheremos um modelo de seletor de log personalizado para registrar eventos somente quando um objeto for excluído de um bucket do S3 específico. **Para criar um armazenamento de dados de eventos para eventos de dados do S3** 1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). 1. No painel de navegação, em **Lake**, escolha **Armazenamentos de dados de eventos**. 1. Selecione **Create event data store** (Criar armazenamento de dados de eventos). 1. Na página **Configurar armazenamento de dados de eventos**, em **Detalhes gerais**, dê um nome ao seu armazenamento de dados de eventos, como*s3-data-events-eds*. Como prática recomendada, use um nome que identifique rapidamente a finalidade do armazenamento de dados de eventos. Para obter informações sobre os requisitos CloudTrail de nomenclatura, consulte[Requisitos de nomenclatura para CloudTrail recursos, buckets S3 e chaves KMS](cloudtrail-trail-naming-requirements.md). 1. Escolha a **opção de preço** que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/) e [Gerenciando os custos CloudTrail do Lake](cloudtrail-lake-manage-costs.md). As seguintes opções estão disponíveis: + **Preço de retenção extensível de um ano**: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Essa é a opção padrão. + **Período de retenção padrão**: 366 dias + **Período máximo de retenção**: 3.653 dias + **Preço de retenção de sete anos**: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional. + **Período de retenção padrão**: 2.557 dias + **Período máximo de retenção**: 2.557 dias 1. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de **preço de retenção extensível de um ano** ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de **preço de retenção de sete anos**. CloudTrail Lake determina se deve reter um evento verificando se o `eventTime` evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando forem mais antigos do que 90 dias. `eventTime` 1. (Opcional) Em **Criptografia**, escolha se você deseja criptografar o armazenamento de dados do evento usando sua própria chave do KMS. Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados CloudTrail usando uma chave KMS que AWS possui e gerencia para você. Para habilitar a criptografia usando sua própria chave do KMS, escolha **Usar minha própria AWS KMS key**. Escolha **Novo** para AWS KMS key criar uma para você ou escolha **Existente** para usar uma chave KMS existente. Em **Inserir alias KMS**, especifique um alias, no formato. `alias/` *MyAliasName* Usar sua própria chave KMS exige que você edite sua política de chaves KMS para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulte[Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail também oferece suporte a chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte [Usar chaves de várias regiões](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) no *Manual do desenvolvedor do AWS Key Management Service *. Usar sua própria chave KMS gera AWS KMS custos de criptografia e descriptografia. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS. **nota** Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma chave KMS existente para a conta de gerenciamento. 1. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha **Habilitar** na **federação de consultas do Lake**. A federação permite que você visualize os metadados associados ao armazenamento de dados de eventos no [Catálogo de Dados do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) e execute consultas SQL nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte [Federar um armazenamento de dados de eventos](query-federation.md). Para habilitar a federação de consultas do Lake, escolha **Habilitar** e faça o seguinte: 1. Escolha se deseja criar um perfil ou usar um perfil do IAM existente. O [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) usa esse perfil para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as [permissões mínimas necessárias](query-federation.md#query-federation-permissions-role). 1. Se você estiver criando um perfil, insira um nome para identificá-lo. 1. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta da . 1. (Opcional) Escolha **Habilitar política de recursos** para adicionar uma política baseada em recurso ao seu datastore de eventos. As políticas baseadas em recursos possibilitam controlar quais entidades principais podem realizar ações no datastore de eventos. Por exemplo, você pode adicionar uma política baseada em recurso que permita que os usuários-raiz de outras contas consultem esse datastore de eventos e visualizem os resultados da consulta. Para obter exemplos de políticas, consulte [Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds). Uma política baseada em recurso inclui uma ou mais instruções. Cada instrução da política define as [entidades principais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) que têm acesso permitido ou negado ao datastore de eventos, e as ações que as entidades principais podem realizar no recurso de datastore de eventos. As seguintes ações são compatíveis com políticas baseadas em recursos para datastores de eventos: + `cloudtrail:StartQuery` + `cloudtrail:CancelQuery` + `cloudtrail:ListQueries` + `cloudtrail:DescribeQuery` + `cloudtrail:GetQueryResults` + `cloudtrail:GenerateQuery` + `cloudtrail:GenerateQueryResultsSummary` + `cloudtrail:GetEventDataStore` Para [armazenamentos de dados de eventos da organização](cloudtrail-lake-organizations.md), CloudTrail cria uma [política padrão baseada em recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que lista as ações que as contas de administrador delegado podem realizar nos armazenamentos de dados de eventos da organização. As permissões dessa política são derivadas das permissões de administrador delegado no AWS Organizations. Essa política é atualizada automaticamente após alterações no armazenamento de dados de eventos da organização ou na organização (por exemplo, uma conta de administrador CloudTrail delegado é registrada ou removida). 1. (Opcional) Em **Tags**, adicione uma ou mais tags personalizadas (pares chave-valor) ao armazenamento de dados de eventos. As tags podem ajudar você a identificar seus repositórios de dados de CloudTrail eventos. Por exemplo, você poderia anexar uma tag com o nome **stage** e o valor **prod**. É possível usar tags para limitar o acesso ao armazenamento de dados de eventos. As tags também podem ser usadas para monitorar os custos de consulta e ingestão do seu armazenamento de dados de eventos. Para obter informações sobre como usar tags para monitorar os custos, consulte [Criação de etiquetas de alocação de custos definidas pelo usuário para armazenamentos de dados de eventos do CloudTrail Lake](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Para obter informações sobre como usar políticas do IAM para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulte [Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obter informações sobre como você pode usar tags em AWS, consulte Como [marcar seus AWS recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) do *usuário de AWS recursos de marcação*. 1. Escolha **Next** (Avançar) para configurar o armazenamento de dados de eventos. 1. Na página **Escolher eventos**, mantenha as seleções padrão para **Tipo de evento**. ![\[Escolha o tipo de evento do armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/lake-event-type.png) 1. Para **CloudTrail eventos**, escolha **Eventos de dados** e desmarque **Eventos de gerenciamento**. Para obter mais informações sobre eventos de dados, consulte [Eventos de dados de log](logging-data-events-with-cloudtrail.md). ![\[Escolha eventos CloudTrail de dados para armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png) 1. Mantenha a configuração padrão para **Copiar eventos de trilha**. Você usaria essa opção para copiar eventos de trilhas existentes para o armazenamento de dados de eventos. Para obter mais informações, consulte [Copiar eventos de trilhas para um armazenamento de dados de eventos](cloudtrail-copy-trail-to-lake-eds.md). 1. Escolha **Habilitar para todas as contas em minha organização** se este for um armazenamento de dados de eventos da organização. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no AWS Organizations. 1. Em **Configurações adicionais**, mantenha as seleções padrão. Por padrão, um armazenamento de dados de eventos coleta eventos para todos Regiões da AWS e começa a ingerir eventos quando é criado. 1. Para **Eventos de dados**, faça as seguintes seleções: 1. Em **Tipo de recurso**, escolha **S3**. O tipo de recurso identifica o recurso AWS service (Serviço da AWS) e no qual os eventos de dados são registrados. 1. Em **Modelo do seletor de log**, escolha **Personalizado**. Escolher **Personalizado** permite definir um seletor de eventos personalizado para filtrar os campos `eventName`, `resources.ARN` e `readOnly`. Para obter informações sobre esses campos, consulte [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)a *Referência AWS CloudTrail da API*. 1. (Opcional) Em **Nome do seletor**, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como “Registrar chamadas de DeleteObject API para um bucket específico do S3”. O nome do seletor é listado como `Name` no seletor de eventos avançado e poderá ser visualizado se você expandir a **visualização JSON**. ![\[Visualização JSON expandida mostrando seletores de eventos avançados\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/json-view-selector-name.png) 1. Em **Seletores de eventos avançados**, criaremos o seletor de eventos personalizado para filtrar pelos campos `eventName` e `resources.ARN`. Seletores de eventos avançados para um armazenamento de dados de eventos funcionam da mesma forma que os seletores de eventos avançados que você aplica a uma trilha. Para obter mais informações sobre como criar seletores de eventos avançados, consulte [Registro em log de eventos de dados com seletores de eventos avançados](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced). 1. Em **Campo**, escolha **eventName**. Em **Operador**, escolha **equals**. Em **Valor**, insira **DeleteObject**. Escolha **\$1 Campo** para filtrar por outro campo. 1. Em **Campo**, escolha **resources.ARN**. Para **Operador**, escolha **StartsWith**. Em **Value**, insira o ARN do seu bucket (por exemplo, arn:aws:s3:::). *amzn-s3-demo-bucket* Para obter mais informações sobre como obter o ARN, consulte [Recursos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) no *Guia do usuário do Amazon Simple Storage Service*. ![\[Configuração de eventos de dados do S3\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/eds-data-events.png) 1. Selecione **Next** (Próximo) para revisar suas escolhas. 1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Escolha **Edit** (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha **Create event data store** (Criar armazenamento de dados de eventos). 1. O novo armazenamento de dados de eventos está visível na tabela **Armazenamentos de dados de eventos** na página **Armazenamento de dados de eventos**. Deste ponto em diante, o armazenamento de dados de eventos captura eventos que correspondem aos seletores de eventos avançados. Os eventos ocorridos antes da criação do armazenamento de dados de eventos não estarão no armazenamento de dados de eventos, a menos que você tenha optado por copiar eventos de trilha existentes. Você agora está pronto para executar consultas em seu armazenamento de dados de eventos. Para obter informações sobre como visualizar e executar consultas de exemplo, consulte [Veja exemplos de consultas com o console CloudTrail](lake-console-queries.md). Para obter mais informações sobre CloudTrail Lake, consulte[Trabalhando com AWS CloudTrail Lake](cloudtrail-lake.md).