本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用控制台更新事件数据存储 **注意** AWS CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。 本部分介绍如何使用 AWS 管理控制台更新事件数据存储的设置。有关如何使用更新事件数据存储的信息 AWS CLI,请参阅[使用更新事件数据存储 AWS CLI](lake-cli-update-eds.md)。 **要更新事件数据存储** 1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。 1. 在导航窗格中,在 **Lake** 下,选择**事件数据存储**。 1. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。 1. 在**一般详细信息**中,选择**编辑**以更改以下设置: + **事件数据存储名称**:更改用于标识事件数据存储的名称。 + **[定价选项](cloudtrail-lake-concepts.md#eds-pricing-tier)**:对于使用**七年期保留定价**选项的事件数据存储,您可以选择改用**一年可延期保留定价**。对于每月摄取的事件数据少于 25TB 的事件数据存储,我们建议采用一年可延期保留定价。如果您在寻求最长 10 年的灵活保留期,我们也建议您采用一年可延期保留定价。有关更多信息,请参阅 [AWS CloudTrail Pricing](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。 **注意** 对于使用**一年可延期保留定价**的事件数据存储,您无法更改定价选项。如果您想使用**七年期保留定价**,请[停止在当前事件数据存储上进行摄取](query-eds-stop-ingestion.md)。然后使用**七年期保留定价**选项创建新的事件数据存储。 + **保留期**:更改事件数据存储的保留期。保留期决定事件数据在事件数据存储中保存的时长。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,**七年期保留定价**选项的保留期可以介于 7 天到 2557 天(约七年)之间。 **注意** 如果您缩短了事件数据存储的保留期,则 CloudTrail 会删除所有保留期`eventTime`早于新保留期的事件。例如,如果之前的保留期为 365 天,而您将其缩短为 100 天,则 CloudTrail 会移除`eventTime`超过 100 天的事件。 + **加密**:要使用自己的 KMS 密钥加密您的事件数据存储,请选择**使用我自己的 AWS KMS key**。默认情况下,事件数据存储中的所有事件都由加密 CloudTrail。使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。 **注意** 在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。 + 要仅包含在当前 AWS 区域中记录的事件,请选择**在我的事件数据存储中仅包含在当前区域中**。如果不选择此选项,则您的事件数据存储将包含来自所有区域的事件。 + 要让您的事件数据存储收集组织中所有账户的事件,请**为我的 AWS Organizations 组织中的所有账户选择 “启用**”。只有当您使用组织的管理帐户登录并且事件数据存储**的事件类型为**CloudTrail事件****或**配置项目**时,此选项才可用。 完成后,选择**保存更改**。 1. 在 **Lake 查询联合身份验证**中,选择**编辑**以启用或禁用 Lake 查询联合身份验证。[启用 Lake 查询联合](query-enable-federation.md)功能可让您在数据[目录中查看事件数据存储的元 AWS Glue 数据](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro),并使用 Amazon Athena 对事件数据运行 SQL 查询。[禁用 Lake 查询联合功能会](query-disable-federation.md)禁用与 AWS Glue AWS Lake Formation、和 Amazon Athena 的集成。禁用 Lake 查询联合身份验证后,您将无法再在 Athena 中查询数据。禁用联合后,不会删除任何 CloudTrail Lake 数据,并且您可以继续在 CloudTrail Lake 中运行查询。 要启用联合身份验证,请执行以下操作: 1. 请选择**启用**。 1. 选择是创建新的 IAM 角色还是使用现有角色。创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您使用现有角色,请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。 1. 如果您在创建新的 IAM 角色,请为该角色输入名称。 1. 如果您选择现有的 IAM 角色,请选择要使用的角色。角色必须存在于您的账户中。 完成后选择**保存更改**。 1. 在**资源策略**中,选择**编辑**,以添加或修订事件数据存储的基于资源的策略。 基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。 基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。 事件数据存储的基于资源的策略支持以下操作: + `cloudtrail:StartQuery` + `cloudtrail:CancelQuery` + `cloudtrail:ListQueries` + `cloudtrail:DescribeQuery` + `cloudtrail:GetQueryResults` + `cloudtrail:GenerateQuery` + `cloudtrail:GenerateQueryResultsSummary` + `cloudtrail:GetEventDataStore` 对于[组织事件数据存储](cloudtrail-lake-organizations.md), CloudTrail 创建[基于资源的默认策略,该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。 1. 编辑特定于您的事件数据存储的**事件类型**的任何其他设置。 ** CloudTrail 活动设置** + 要更改您的事件数据存储的日志事件,请选择在**CloudTrail 事件**中**编辑**。 + 在**管理事件**中,选择**编辑**以更改管理事件的设置。有关更多信息,请参阅 [更新现有事件数据存储的管理事件设置](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds)。 + 在**数据事件**中,选择**编辑**以更改数据事件的设置。您可以选择要记录的资源类型,也可以选择要使用的日志选择器模板。有关更多信息,请参阅 [更新现有的事件数据存储以使用控制台记录数据事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds)。 + 在**网络活动事件**中,选择**编辑**以更改网络活动事件的设置。您可以选择要记录的网络活动事件类型,也可以选择要使用的日志选择器模板。有关更多信息,请参阅 [更新现有事件数据存储以记录网络活动事件](logging-network-events-with-cloudtrail.md#log-network-events-lake-console)。 + 在**丰富事件,扩展事件大小**中,选择**编辑**以添加或移除资源标签键和 IAM 全局条件键,然后扩展事件大小。 在**丰富事件**中,最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键,以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。 如果您添加资源标签密钥,则 CloudTrail 将包括与 API 调用中涉及的资源关联的选定标签密钥。与已删除资源相关的 API 事件将没有资源标签。 如果您添加 IAM 全局条件密钥,则 CloudTrail 将包含有关在授权过程中评估的所选条件密钥的信息,包括有关委托人、会话、网络和请求本身的其他详细信息。 有关资源标签键和 IAM 全局条件键的信息显示在事件的 `eventContext` 字段中。有关更多信息,请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。 **注意** 如果活动包含不属于事件区域的资源, CloudTrail 则不会为该资源填充标签,因为标签检索仅限于事件区域。 选择**扩展事件大小**,将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时,此选项会自动启用,以确保添加的所有键都包含在事件中。 扩展事件大小有助于分析事件和对事件进行故障排除,因为只要事件有效载荷小于 1 MB,它就支持您查看以下字段的完整内容: + `annotation` + `requestID` + `additionalEventData` + `serviceEventDetails` + `userAgent` + `errorCode` + `responseElements` + `requestParameters` + `errorMessage` 有关这些字段的更多信息,请参阅[CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。 完成后,选择**保存更改**。 **集成事件设置** 在**集成**中,选择您的集成。然后选择**编辑**以更改以下设置: + 在**集成详细信息**中,更改标识集成通道的名称。 + 在**事件传输位置**中,选择事件的目的地。 + 在 **Resource policy**(资源策略)中,为集成的通道配置资源策略。 完成后,选择**保存更改**。 有关这些设置的更多信息,请参阅 [使用控制台创建与 CloudTrail 合作伙伴的集成](query-event-data-store-integration-partner.md)。 1. 要添加、更改或移除标签,请在**标签**中选择**编辑**。您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。完成后,选择**保存更改**。