AWS 使用主控台為 外部的事件建立事件資料存放區 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 使用主控台為 外部的事件建立事件資料存放區

您可以建立事件資料存放區以包含 外部的事件 AWS,然後使用 CloudTrail Lake 搜尋、查詢和分析從應用程式記錄的資料。

您可以使用 CloudTrail Lake 整合,從外部記錄和存放使用者活動資料 AWS;從混合環境中的任何來源,例如內部或內部部署託管的應用程式,或在雲端、虛擬機器或容器中託管的 SaaS 應用程式。

當您為整合建立事件資料存放區時,也會建立通道,並將資源政策連接到通道。

CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需 CloudTrail 定價和管理 Lake 成本的相關資訊,請參閱AWS CloudTrail 定價管理 CloudTrail Lake 成本

為 外部的事件建立事件資料存放區 AWS

  1. 登入 AWS Management Console 並在 開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,選擇 Lake 下方的事件資料存放區

  3. 選擇 Create event data store (建立事件資料存放區)。

  4. 設定事件資料存放區頁面上的一般詳細資訊中,輸入事件資料存放區的名稱。名稱為必填。

  5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

    以下為可用的選項:

    • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天後,延長保留期可用於 pay-as-you-go定價。此為預設選項。

      • 預設保留期:366 天

      • 最長保留期:3,653 天

    • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。

      • 預設保留期:2,557 天

      • 最長保留期:2,557 天

  6. 指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。

    CloudTrail Lake 會檢查事件eventTime的 是否在指定的保留期間內,以決定是否保留事件。例如,如果您指定 90 天的保留期間, CloudTrail 會在事件eventTime超過 90 天時將其移除。

  7. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇使用我自己的 AWS KMS key。選擇新增以為您 AWS KMS key 建立 ,或選擇現有以使用現有KMS金鑰。在輸入KMS別名中,以 格式指定別名alias/MyAliasName。使用您自己的KMS金鑰需要編輯KMS金鑰政策,以允許加密和解密事件資料存放區。如需詳細資訊,請參閱 設定 的 AWS KMS 金鑰政策 CloudTrail。 CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰

    使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與KMS金鑰建立關聯後,就無法移除或變更KMS金鑰。

    注意

    若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有KMS金鑰。

  8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 Data Catalog 中 AWS Glue 檢視與事件資料存放區相關聯的中繼資料,並根據 Athena 中的事件資料執行SQL查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎知道如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

    若要啟用 Lake 查詢聯合,請選擇啟用,然後執行下列動作:

    1. 選擇您要建立新角色還是使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時, CloudTrail 會自動建立具有所需許可的角色。如果您選擇現有角色,請確認該角色的政策可提供必要的最低許可

    2. 如果您要建立新角色,請輸入名稱以識別角色。

    3. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。

  9. (選用) 選擇啟用資源政策,將資源型政策新增至您的事件資料存放區。以資源為基礎的政策可讓您控制哪些主體可以在事件資料存放區上執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 事件資料存放區的資源型政策範例

    資源型政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的主體,以及主體可以在事件資料存放區資源上執行的動作。

    事件資料存放區的資源型政策支援下列動作:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    對於組織事件資料存放區, 會 CloudTrail 建立預設資源型政策,列出委派管理員帳戶允許在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,已註冊或移除 CloudTrail 委派管理員帳戶)。

  10. (選用) 在 Tags (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需如何使用IAM政策根據標籤授權存取事件資料存放區的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需如何在 中使用標籤的詳細資訊 AWS,請參閱 標記 AWS 資源使用者指南中的標記 AWS 資源

  11. 選擇 Next (下一步) 以設定事件資料存放區。

  12. Choose events (選擇事件) 頁面上,選擇 Events from integrations (來自整合的事件)。

  13. Events from integration (來自整合的事件) 中,選擇要將事件傳送至事件資料存放區的來源。

  14. 提供名稱以識別整合的通道。名稱長度範圍是 3-128 個字元。只能使用字母、數字、句號、底線和破折號。

  15. Resource policy (資源政策) 中,為整合的通道設定資源政策。資源政策是JSON政策文件,可指定指定委託人可在資源上執行的動作,以及在哪些條件下執行的動作。在資源政策中定義為主體的帳戶可以呼叫 PutAuditEventsAPI,將事件交付到您的頻道。如果資源擁有者IAM的政策允許 cloudtrail-data:PutAuditEvents動作,則其具有對資源的隱含存取權。

    政策所需的資訊取決於整合類型。對於方向整合, CloudTrail 會自動新增合作夥伴 AWS 的帳戶 IDs,並要求您輸入合作夥伴提供的唯一外部 ID。對於解決方案整合,您必須指定至少一個 AWS 帳戶 ID 作為主體,並且可以選擇輸入外部 ID 以防止混淆代理人。

    注意

    如果您未建立頻道的資源政策,只有頻道擁有者可以呼叫頻道PutAuditEventsAPI上的 。

    1. 對於直接整合,請輸入合作夥伴提供的外部 ID。整合合作夥伴提供唯一外部 ID,例如帳戶 ID 或隨機產生的字串,以供整合用於預防混淆代理人。合作夥伴負責建立並提供唯一外部 ID。

      您可以選擇 How to find this? (如何尋找此資訊?) 以檢視合作夥伴有關描述如何尋找外部 ID 的文件。

      外部 ID 的合作夥伴文件
      注意

      如果資源政策包含外部 ID,則對 的所有呼叫PutAuditEventsAPI都必須包含外部 ID。不過,如果政策未定義外部 ID,合作夥伴仍可呼叫 PutAuditEventsAPI並指定 externalId 參數。

    2. 針對解決方案整合,選擇新增 AWS 帳戶以指定要在政策中新增為主體的每個 AWS 帳戶 ID。

  16. 選擇 Next (下一步) 以檢閱您的選項。

  17. Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 Create event data store (建立事件資料存放區)。

  18. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

  19. 將頻道 Amazon Resource Name (ARN) 提供給合作夥伴應用程式。提供頻道ARN給合作夥伴應用程式的說明,請參閱合作夥伴文件網站。如需詳細資訊,請在 Integrations (整合) 頁面的 Available sources (可用來源) 索引標籤中選擇合作夥伴的 Learn more (進一步了解) 連結,以在 AWS Marketplace中開啟合作夥伴的頁面。

當您、合作夥伴或合作夥伴應用程式在頻道PutAuditEventsAPI上呼叫 時,事件資料存放區會開始 CloudTrail 透過整合的頻道將合作夥伴事件擷取至 。