本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudTrail 教學課程入門
<a name="cloudtrail-tutorial"></a>

如果您是初次使用 AWS CloudTrail，這些教學課程可協助您了解如何使用其功能。若要使用 CloudTrail 功能，您需要擁有足夠的許可。此頁面說明適用於 CloudTrail 的受管政策，並提供有關如何授予許可的資訊。

**Topics**
+ [授予使用 CloudTrail 的許可](#tutorial-grant-permissions)
+ [檢視事件歷史記錄](tutorial-event-history.md)
+ [建立追蹤以記錄管理事件](tutorial-trail.md)
+ [建立 S3 資料事件的事件資料存放區](tutorial-lake-S3.md)

## 授予使用 CloudTrail 的許可
<a name="tutorial-grant-permissions"></a>

若要建立、更新和管理追蹤、事件資料存放區和頻道等 CloudTrail 資源，您需要授予使用 CloudTrail 的許可。本節提供有關適用於 CloudTrail 的受管政策的資訊。

**注意**  
您授予使用者執行 CloudTrail 管理任務的許可，和 CloudTrail 所需要以便傳遞日誌檔案到 Amazon S3 儲存貯體或傳送通知給 Amazon SNS 主題的許可不相同。如需這些許可的詳細資訊，請參閱 [適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。  
如果您設定與 Amazon CloudWatch Logs 整合，CloudTrail 還需要它可擔任的角色，將事件交付到 Amazon CloudWatch Logs 日誌群組。您必須建立 CloudTrail 使用的角色。如需詳細資訊，請參閱[授與在 CloudTrail 主控台上檢視和設定 Amazon CloudWatch Logs 資訊的許可](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)及[傳送事件到 CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md)。

下列 AWS 受管政策適用於 CloudTrail：
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) – 此政策提供對 CloudTrail 資源 (例如追蹤、事件資料存放區和通道等) 執行 CloudTrail 動作的完整存取權。此政策提供建立、更新和刪除 CloudTrail 追蹤、事件資料存放區和通道所需的許可。

   此政策還提供管理 Amazon S3 儲存貯體、CloudWatch Logs 的日誌群組，以及追蹤的 Amazon SNS 主題的許可。不過，`AWSCloudTrail_FullAccess` 受管政策不提供刪除 Amazon S3 儲存貯體、CloudWatch Logs 的日誌群組，以及 Amazon SNS 主題的許可。如需其他 AWS 服務的受管政策相關資訊，請參閱 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
**注意**  
此**AWSCloudTrail\$1FullAccess**政策不適用於在您的 之間廣泛共用 AWS 帳戶。使用此角色的使用者可以在自己的 AWS 帳戶中關閉或重新設定最敏感和重要的稽核功能。因此，您必須僅向帳戶管理員套用此政策。您必須嚴密控制並監視此政策的使用狀況。
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) – 此政策授予檢視 CloudTrail 主控台 (包括近期事件和事件歷史記錄) 的許可。此政策還允許您檢視現有的追蹤、事件資料存放區和通道。使用此政策的角色和使用者可以[下載事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)，但無法建立或更新追蹤、事件資料存放區或通道。

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。

# 檢視事件歷史記錄
<a name="tutorial-event-history"></a>

本節說明如何使用 CloudTrail 主控台上的 CloudTrail **事件歷史記錄**頁面，檢視 AWS 帳戶 目前 過去 90 天的管理事件 AWS 區域。

**檢視**事件歷史記錄****

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Event history** (事件歷史記錄)。您可以看到已篩選的事件清單，並最先顯示最近的事件。事件的預設篩選條件為**唯讀**，並設為 **false**。您可以選擇過濾器右側的 **X** 來清除該篩選條件。您可以篩選單一屬性上的事件，以搜尋**事件歷史記錄**中的事件  
![\[醒目提示唯讀篩選條件的 CloudTrail 事件歷史記錄\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)

1. 選擇要篩選的屬性，然後輸入屬性的完整值。CloudTrail 無法篩選部分值。例如，若要檢視所有主控台登入事件，請選擇**事件名稱**篩選條件，並為屬性值指定 **ConsoleLogin**。  
![\[在事件上篩選的 CloudTrail 事件歷史記錄頁面。 ConsoleLogin\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)

   或者，若要檢視最近的 CloudTrail 管理事件，請選擇**事件來源**，並指定 `cloudtrail.amazonaws.com`。如需有關服務記錄到 CloudTrail 的事件資訊，請參閱服務的 API 參考。  
![\[針對特定事件來源篩選的 CloudTrail 事件歷史記錄頁面\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/event-history-event-source.png)

1. 若要檢視特定管理事件，請選擇事件名稱。在事件詳細資訊頁面上，您可以了解事件的相關詳細資訊，查看任何參考資源以及檢視事件記錄。

1. 若要比較事件，請透過填寫**事件歷史記錄**資料表左邊距中的核取方塊，最多可選取五個事件。您可以在比較事件詳細資訊表格中side-by-side檢視所選**事件的詳細資訊**。

1. 您可以將事件歷史記錄下載為 CSV 或 JSON 格式的檔案。下載事件歷史記錄可能需要幾分鐘的時間。  
![\[顯示下載選項的 CloudTrail 事件歷史記錄頁面\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)

如需詳細資訊，請參閱[使用 CloudTrail 事件歷史記錄](view-cloudtrail-events.md)。

# 建立追蹤以記錄管理事件
<a name="tutorial-trail"></a>

對於您的第一個線索，我們建議您建立線索，以記錄所有[管理事件](cloudtrail-concepts.md#cloudtrail-concepts-management-events)，且不記錄任何[資料事件](cloudtrail-concepts.md#cloudtrail-concepts-data-events)或 Insights 事件。管理事件的範例包括安全事件 (例如 IAM `CreateUser` 和 `AttachRolePolicy` 事件)、資源事件 (例如 `RunInstances` 和 `CreateBucket`) 等等。您將建立用於儲存追蹤日誌檔案的 Amazon S3 儲存貯體，以做為在 CloudTrail 主控台中建立追蹤的一部分。

**注意**  
AWS Control Tower 當您設定登陸區域時， 會設定新的 CloudTrail 追蹤記錄管理事件。這是組織層級追蹤，這表示它會記錄管理帳戶和組織中所有成員帳戶的所有管理事件。如需詳細資訊，請參閱*AWS CloudTrail 《 使用者指南*》中的[關於登入 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)。  
此教學課程將假設您正在建立第一個追蹤。根據您 AWS 帳戶中的線索數量，以及這些線索的設定方式，下列程序可能會產生費用，也可能不會產生費用。CloudTrail 會將日誌檔案儲存在 Amazon S3 儲存貯體中，因此會產生成本。如需定價的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。

**建立追蹤記錄**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 在**區域**選擇器中，選擇您要建立追蹤 AWS 的區域。這是該追蹤的主要區域。
**注意**  
主要區域是唯一您可以在建立追蹤之後更新追蹤 AWS 區域 的地方。

1. 在 CloudTrail 服務首頁上，**Trails** (追蹤) 頁面，或 **Dashboard **(儀表板) 頁面的 **Trails** (追蹤) 區段上，選擇**Create trail** (建立追蹤)。

1. 在**線索名稱**中，為您的線索命名，例如 *management-events*。根據最佳實務，請使用可快速識別追蹤目的的名稱。在此案例中，您正在建立記錄管理事件的追蹤。

1. 保留**針對組織中的所有帳戶啟用**的預設設定。除非您已在 [Organizations] 中設定帳戶，否則此選項將無法變更。

1. 針對 **Storage location** (儲存位置)，選擇 **Create a new S3 bucket** (建立新 S3 儲存貯體)，以建立儲存貯體。當您建立儲存貯體時，CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇建立新的 S3 儲存貯體，您的 IAM 政策需要包含 `s3:PutEncryptionConfiguration`動作的許可，因為預設會為儲存貯體啟用伺服器端加密。為您的儲存貯體命名，以方便識別。

   若要更容易地找到您的記錄，請在現有的儲存貯體中建立新的資料夾 (也稱為*prefix*）來存儲您的 CloudTrail 日誌。
**注意**  
您 Amazon S3 儲存貯體的名稱在全域中都必須是唯一的。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的[儲存貯體命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

1. 清除核取方塊以停用**記錄檔 SSE-KMS 加密**。根據預設，您的日誌檔案使用 SSE-S3 加密進行加密。如需此設定的詳細資訊，請參閱[搭配使用伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

1. 保留**其他設定**的預設設定。

1. 保留 **CloudWatch Logs** 的預設設定。目前，請勿將日誌傳送到 Amazon CloudWatch Logs。

1. （選用） 在**標籤**中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對線索的存取。標籤可協助您辨識 CloudTrail 追蹤和其他資源，像是包含 CloudTrail 日誌檔案的 Amazon S3 儲存貯體。例如，您可以附加名稱為 **Compliance**，值為 **Auditing** 的標籤。
**注意**  
雖然當透過 CloudTrail 主控台建立追蹤時，您可以將標籤加入其中，而且您可以建立 Amazon S3 儲存貯體來儲存 CloudTrail 主控台的日誌檔案，不過，您無法透過 CloudTrail 主控台將標籤加入 Amazon S3 儲存貯體。如需檢視和變更 Amazon S3 儲存貯體屬性 (包括將標籤新增至儲存貯體) 的詳細資訊，請參閱《[Amazon S3 使用者指南**](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)》。

   完成時，選擇 **Next** (下一步)。

1. 在 **Choose log events** (選擇記錄事件) 頁面上，選取要記錄的事件類型。對於此追蹤，請保留預設值**管理事件**。在 **Management events** 管理事件區域中，選擇同時記錄**閱讀**和**寫入**事件 (如果尚未選取)。將**排除 AWS KMS 事件**和**排除 Amazon RDS Data API 事件**的核取方塊保留空白，以記錄所有管理事件。  
![\[建立追蹤頁面，事件類型設定\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)

1. 保留**資料事件**、 **Insights 事件**和**網路活動事件**的預設設定。此線索不會記錄任何資料事件、 Insights 事件或網路活動事件。選擇**下一步**。

1. 在 **Review and create** (檢閱和建立) 頁面上，檢閱您為追蹤選擇的設定。針對某個區段選擇 **Edit **(編輯)，以返回並進行變更。當您準備好建立追蹤時，請選擇 **Create trail** (建立追蹤)。

1. 此 **Trails** (追蹤) 頁面會在資料表中顯示您的新追蹤。請注意，追蹤預設設定為**多區域追蹤**，並且預設會開啟追蹤的記錄功能。  
![\[建立追蹤頁面，事件類型設定\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)

如需追蹤的詳細資訊，請參閱 [使用 CloudTrail 追蹤](cloudtrail-trails.md)。

# 檢視您的日誌檔案
<a name="tutorial-trail-logs"></a>

在您建立第一個追蹤的平均約 5 分鐘內，CloudTrail 即會為您的追蹤提供第一組日誌檔案到 Amazon S3 儲存貯體。您可以查看這些檔案，並了解其包含的資訊。

**注意**  
CloudTrail 通常會在 API 呼叫的平均約 5 分鐘內傳遞日誌。此時間無法保證。如需詳細資訊，請參閱 [AWS CloudTrail 服務水準協議](https://aws.amazon.com/cloudtrail/sla)。  
如果您的追蹤設定錯誤 (例如，S3 儲存貯體無法連線)，CloudTrail 會在 30 天內嘗試重新傳遞日誌檔案到您的 S3 儲存貯體，且您需要為這些嘗試傳遞事件支付標準 CloudTrail 費用。若要避免支付追蹤設定錯誤費用，您需要刪除追蹤。

**若要檢視您的日誌檔案**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Trails** (追蹤記錄)。在**線索**頁面上，尋找您剛建立的線索名稱 （在範例中為 *management-events*)。

1. 在線索的 列中，選擇 S3 儲存貯體的值。

1. Amazon S3 主控台會開啟，並顯示儲存貯體的兩個資料夾： `CloudTrail-Digest`和 `CloudTrail`。選擇 **CloudTrail** 資料夾以檢視日誌檔案。

1. 如果您建立了多區域線索，則每個線索都有一個資料夾 AWS 區域。選擇 AWS 區域 您要檢閱日誌檔案之 的資料夾。例如，如果您想要檢閱美國東部 (俄亥俄) 區域的日誌檔案，請選擇 **us-east-2**。  
![\[顯示 AWS 區域中的日誌檔案結構，適用於追蹤的 Amazon S3 儲存貯體\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)

1. 您可依在該區域中想檢閱的日誌來瀏覽年、月和日的儲存貯體資料夾結構。在該日中，有多個檔案。檔案的名稱以您的 AWS 帳戶 ID 開頭，並以副檔名 結尾`.gz`。例如，如果您的帳戶 ID 為 *123456789012*，您會看到具有類似名稱的檔案：*123456789012*\$1CloudTrail\$1*us-east-2*\$1*20240512T0000Z\$1EXAMPLE*.json.gz。

   若要檢視這些檔案，您可以將它們下載、解壓縮，然後在純文字編輯器或 JSON 檔案檢視器進行檢視。有些瀏覽器也支援直接檢視 .gz 和 JSON 檔案。我們建議您使用 JSON 檢視器，因為它可讓您更輕鬆地剖析 CloudTrail 日誌檔案中的資訊。

# 建立 S3 資料事件的事件資料存放區
<a name="tutorial-lake-S3"></a>

您可以建立一個事件資料存放區來記錄 CloudTrail 事件 (管理事件、資料事件)、[CloudTrail Insights 事件](query-event-data-store-insights.md)、[AWS Audit Manager 證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config 組態項目](query-event-data-store-config.md)或[非AWS 事件](event-data-store-integration-events.md)。

當您為資料事件建立事件資料存放區時，您可以選擇要記錄資料事件的 AWS 服務 和資源類型。如需 AWS 服務 該日誌資料事件的資訊，請參閱 [資料事件](logging-data-events-with-cloudtrail.md#logging-data-events)。

此逐步解說說明如何為 Amazon S3 資料事件建立事件資料存放區。在本教學中，我們會選擇一個自訂日誌選取器範本，以便僅在刪除特定 S3 儲存貯體中的物件時記錄事件，而不是記錄所有 Amazon S3 資料事件。

**若要為 S3 資料事件建立事件資料存放區**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1.  在導覽窗格中，選擇 **Lake** 下方的**事件資料存放區**。

1. 選擇 **Create event data store** (建立事件資料存放區)。

1. 在**設定事件資料存放區**頁面上，請在**一般詳細資訊**中為您的事件資料存放區提供一個名稱，例如 *s3-data-events-eds*。根據最佳實務，請使用可快速識別事件資料存放區目的的名稱。如需有關 CloudTrail 命名要求的資訊，請參閱 [CloudTrail 資源、S3 儲存貯體和 KMS 金鑰的命名需求](cloudtrail-trail-naming-requirements.md)。

1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。

   以下為可用的選項：
   + **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。在 366 天之後，延長保留將依用量計費定價。此為預設選項。
     + **預設保留期：**366 天
     + **最長保留期：**3,653 天
   + **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。
     + **預設保留期：**2,557 天
     + **最長保留期：**2,557 天

1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是**七年保留定價**選項，則可介於 7 天到 2,557 天 (約七年) 之間。

    CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內，決定是否要保留該事件。例如，如果您指定的保留期為 90 天，CloudTrail 將移除 `eventTime` 早於 90 天的事件。

1. (選用) 在**加密**中，選擇您是否想要使用自己的 KMS 金鑰加密事件資料存放區。根據預設，事件資料存放區中的所有事件都會由 CloudTrail 使用 AWS 擁有和管理的 KMS 金鑰來加密。

   若要啟用使用您自己的 KMS 金鑰加密，請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ，或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中，指定別名，格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰時，您必須編輯您的 KMS 金鑰政策，以允許對 CloudTrail 日誌進行加密和解密。如需詳細資訊，請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。
**注意**  
若要啟用組織事件資料存放區的 AWS Key Management Service 加密，您必須使用管理帳戶的現有 KMS 金鑰。

1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料，並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱[聯合事件資料存放區](query-federation.md)。

   若要啟用 Lake 查詢聯合，請選擇**啟用**，然後執行下列動作：

   1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時，CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色，請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。

   1. 如果您要建立新角色，請輸入名稱以識別角色。

   1. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。

1. （選用） 選擇**啟用資源政策**，將資源型政策新增至您的事件資料存放區。以資源為基礎的政策可讓您控制哪些主體可以在事件資料存放區上執行動作。例如，您可以新增資源型政策，允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策，請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)，以及委託人可以對事件資料存放區資源執行的動作。

   事件資料存放區的資源型政策支援下列動作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   對於[組織事件資料存放區](cloudtrail-lake-organizations.md)，CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)，列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 （例如，CloudTrail 委派管理員帳戶已註冊或移除）。

1. (選用) 在**標籤**中，新增一或多個自訂標籤 (鍵值組) 至您的事件資料存放區。標籤可協助您識別 CloudTrail 事件資料存放區。例如，您可以附加名稱為 **stage**，值為 **prod** 的標籤。您可以使用標籤來限制對事件資料存放區的存取。您還可以使用標籤來追蹤事件資料存放區的查詢和擷取成本。

   如需有關如何使用標籤追蹤成本的資訊，請參閱 [為 CloudTrail Lake 事件資料存放區建立使用者定義的成本分配標籤](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags)。如需有關如何使用 IAM 政策，對以標籤為基礎的事件資料存放區授予存取權的資訊，請參閱 [範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需有關如何在 中使用標籤的資訊 AWS，請參閱[《標記 AWS 資源使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*》中的標記您的 AWS 資源*。

1.  選擇 **Next** (下一步) 以設定事件資料存放區。

1.  在**選擇事件**頁面上，保留**事件類型**的預設選項。  
![\[選擇事件資料存放區的事件類型\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/lake-event-type.png)

1. 對於 **CloudTrail 事件**，選擇**資料事件**並取消選取**管理事件**。如需有關資料事件的詳細資訊，請參閱 [記錄資料事件](logging-data-events-with-cloudtrail.md)。  
![\[為事件資料存放區選擇 CloudTrail 資料事件\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)

1. 保留**複製追蹤事件**的預設設定。您可以使用此選項，將現有追蹤事件複製到您的事件資料存放區。如需詳細資訊，請參閱[將追蹤事件複製到事件資料存放區](cloudtrail-copy-trail-to-lake-eds.md)。

1. 如果這是組織事件資料存放區，選擇**針對組織中的所有帳戶啟用**。除非您已在 AWS Organizations中設定帳戶，否則此選項將無法變更。

1.  對於**其他設定**，保留預設選項。根據預設，事件資料存放區會收集所有 的事件， AWS 區域 並在建立事件時開始擷取事件。

1. 對於**資料事件**，請執行下列選擇：

   1. 在**資源類型**中，選擇 **S3**。資源類型可識別記錄資料事件的 AWS 服務 和資源。

   1. 在**日誌選取器範本**中，選擇**自訂**。選擇**自訂**讓您可以定義用於篩選 `eventName`、`resources.ARN` 和 `readOnly` 欄位的自訂事件選取器。如需有關這些欄位的資訊，請參閱《AWS CloudTrail API 參考》**中的 [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。

   1. (選用) 在**選取器名稱**中，輸入用於識別選取器的名稱。選取器名稱是進階事件選擇器的描述性名稱，例如「記錄特定 S3 儲存貯體的 DeleteObject API 呼叫」。選取器名稱會被作為 `Name` 列在進階事件選取器中，您在展開 **JSON 檢視**時可檢視該名稱。  
![\[展開的 JSON 檢視畫面顯示進階事件選取器\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/json-view-selector-name.png)

   1. 在**進階事件選取器**中，我們會建置自訂事件選取器，以篩選 `eventName`和 `resources.ARN` 欄位。事件資料存放區的進階事件選取器與套用於追蹤的進階事件選取器所運作的方式相同。如需建立進階事件選取器的詳細資訊，請參閱[使用進階事件選取器記錄資料事件](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced)。

      1. 對於**欄位**，選擇 **eventName**。對於**運算子**，選擇 **equals**。針對**數值**，輸入 **DeleteObject**。選擇 **\$1 欄位**以篩選另一個欄位。

      1. 對於**欄位**，選擇 **resources.ARN**。對於**運算子**，選擇 **StartsWith**。針對**值**，輸入儲存貯體的 ARN （例如 arn：aws：s3：：*amzn-s3-demo-bucket*)。如需有關如何取得 ARN 的詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的 [Amazon S3 資源](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html)。  
![\[S3 資料事件組態\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/eds-data-events.png)

1. 選擇 **Next** (下一步) 以檢閱您的選項。

1. 在 **Review and create** (檢閱和建立) 頁面上，檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 **Create event data store** (建立事件資料存放區)。

1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。

   從此開始，事件資料存放區將擷取與其進階事件選取器相符的事件。建立事件資料存放區之前發生的事件，不會儲存在事件資料存放區中，除非您選擇複製現有追蹤事件。

您現在可以對您的事件資料存放區執行查詢。如需有關如何檢視和執行範例查詢的資訊，請參閱 [使用 CloudTrail 主控台檢視範例查詢](lake-console-queries.md)。

如需有關 CloudTrail Lake 的詳細資訊，請參閱 [使用 AWS CloudTrail Lake](cloudtrail-lake.md)。