使用主控台為 Insights 事件建立事件資料存放區 - AWS CloudTrail
若要建立會記錄 Insights 事件的目的地事件資料存放區若要建立會啟用 Insights 事件的來源事件資料存放區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用主控台為 Insights 事件建立事件資料存放區

AWS CloudTrail 洞察力幫助 AWS 使用者透過持續分析 CloudTrail 管理事件,識別並回應與通API話相關的異常活動和API錯誤率。 CloudTrail Insights 會分析API通話量和API錯誤率的正常模式 (也稱為基準),並在通話量或錯誤率超出正常模式時產生 Insights 事件。系統會針對write管理產生API呼叫量上的見解事件APIs,而且會針對readwrite管理產生API錯誤率的 Insights 事件APIs。

若要在 CloudTrail Lake 中記錄 Insights 事件,您需要記錄 Insights 事件的目標事件資料存放區,以及啟用見解和記錄管理事件的來源事件資料存放區。

注意

若要在API呼叫磁碟區上記錄 Insights 事件,來源事件資料存放區必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件,來源事件資料存放區必須記錄readwrite管理事件。

如果您在來源事件資料存放區上啟用了 CloudTrail Insights 並 CloudTrail 偵測到異常活動,則會將 Insights 事件 CloudTrail 傳送至目的地事件資料存放區。與 CloudTrail 事件資料存放區中擷取的其他類型事件不同,Insights 事件只有在 CloudTrail 偵測到帳戶使用情況的變化 (與帳戶的典型API使用模式有很大差異) 時,才會記錄 Insights 事件。

在事件資料存放區首次啟用 CloudTrail Insights 之後,如果偵測到異常活動,最多可能需 CloudTrail 要 7 天的時間才能傳遞第一個 Insights 事件。

CloudTrail Insights 會分析單一區域 (而非全球) 中發生的管理事件。In CloudTrail sights 事件會在與產生其支援管理事件的相同區域中產生。

對於組織事件資料存放區,分 CloudTrail 析來自每個成員帳戶的管理事件,而不是分析組織所有管理事件的彙總。

在 CloudTrail 湖泊擷取見解事件需要支付額外費用。如果您同時針對追蹤和 CloudTrail Lake 事件資料存放區啟用深入解析,則需另行付費。如需 CloudTrail 定價的相關資訊,請參閱 AWS CloudTrail 定價

若要建立會記錄 Insights 事件的目的地事件資料存放區

在建立 Insights 事件資料存放區時,您可以選擇一個記錄管理事件的現有來源事件資料存放區,然後指定想要接收的 Insights 類型。或者,您也可以在建立 Insights 事件資料存放區後啟用新的或現有事件資料存放區上的 Insights,然後選擇此事件資料存放區作為目的地事件資料存放區。

此程序將向您說明如何建立記錄 Insights 事件的目的地事件資料存放區。

  1. 登入 AWS Management Console 然後在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,開啟 Lake 子選單,然後選擇 Event data stores (事件資料存放區)。

  3. 選擇 Create event data store (建立事件資料存放區)。

  4. 設定事件資料存放區頁面上的一般詳細資訊中,輸入事件資料存放區的名稱。名稱為必填。

  5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail 湖泊成本.

    以下為可用的選項:

    • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。366 天之後,延長保留將按 pay-as-you-go 價格提供。此為預設選項。

      • 預設保留期:366 天

      • 最長保留期:3,653 天

    • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。

      • 預設保留期:2,557 天

      • 最長保留期:2,557 天

  6. 指定事件資料存放區的保留期間 (以天為單位)。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。事件資料存放區會在指定的天數內保留事件資料。

  7. (選擇性) 若要啟用加密 AWS Key Management Service,選擇使用我自己的 AWS KMS key。 選擇「新建」以擁有 AWS KMS key 為您建立,或選擇「現有」以使用現有的KMS金鑰。在輸入KMS別名中,以格式指定別名 alias/MyAliasName。 使用您自己的KMS金鑰時,您必須編輯KMS金鑰原則,才能加密和解密 CloudTrail記錄。如需詳細資訊,請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 還支持 AWS KMS 多區域鍵。如需有關多區域金鑰的詳細訊,請參閱在 AWS Key Management Service 開發人員指南

    使用您自己的KMS密鑰會產生 AWS KMS 加密和解密的成本。將事件資料倉庫與KMS金鑰相關聯後,無法移除或變更該KMS金鑰。

    注意

    若要啟用 AWS Key Management Service 對於組織事件資料存放區進行加密,您必須使用管理帳戶的現有KMS金鑰。

  8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 Lake 查詢聯合中選擇啟用。同盟可讓您檢視與中的事件資料存放區相關聯的中繼資料 AWS Glue 資料目錄並針對 Athena 中的事件資料執行SQL查詢。儲存在中的資料表中繼資料 AWS Glue 資料目錄可讓 Athena 查詢引擎知道如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

    若要啟用 Lake 查詢聯合,請選擇啟用,然後執行下列動作:

    1. 選擇要建立新角色或使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的權限。當您使用 CloudTrail 主控台建立新角色時, CloudTrail 會自動建立具有所需權限的角色。如果您選擇現有角色,請確認該角色的政策可提供必要的最低許可

    2. 如果您要建立新角色,請輸入名稱以識別角色。

    3. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。

  9. (選用) 在 Tags (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需有關如何使用IAM原則根據標籤授權對事件資料存放區的存取權的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需有關如何在中使用標籤的詳細資訊 AWS,請參閱標記您的 AWS標記中的資源 AWS 資源使用者指南

  10. 選擇 Next (下一步) 以設定事件資料存放區。

  11. 「選擇事件」頁面上,選擇 AWS 事件,然後選擇 [CloudTrail見解事件]。

  12. CloudTrail 深入解析事件中,執行下列動作。

    1. 如果您想要為組織的委派管理員授予存取此事件資料存放區的權限,則選擇允許委派管理員存取權。僅當您使用的管理帳戶登入時,此選項才可用 AWS Organizations 組織。

    2. (選用) 選擇記錄管理事件的現有來源事件資料存放區,並指定您想要接收的 Insights 類型。

      若要新增來源事件資料存放區,請執行下列動作。

      1. 選擇新增來源事件資料存放區

      2. 選擇來源事件資料存放區。

      3. 選擇您想要接收的 Insights 類型

        • ApiCallRateInsight— In ApiCallRateInsight sights 類型會分析每分鐘針對基準API呼叫量彙總的唯寫管理API呼叫。若要接收 ApiCallRateInsight 上的 Insights,來源事件資料存放區必須記錄寫入管理事件。

        • ApiErrorRateInsight— In ApiErrorRateInsight sights 類型會分析導致錯誤碼的管理API呼叫。如果API通話不成功,則會顯示錯誤。若要接收 ApiErrorRateInsight 上的 Insights,來源事件資料存放區必須記錄寫入讀取管理事件。

      4. 重複前兩個步驟 (ii 和 iii),以新增任何您想要接收的其他 Insights 類型。

  13. 選擇 Next (下一步) 以檢閱您的選項。

  14. Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 Create event data store (建立事件資料存放區)。

  15. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

  16. 如果您在步驟 10 中未選擇來源事件資料存放區,請依照 若要建立會啟用 Insights 事件的來源事件資料存放區 中的步驟來建立一個來源事件資料存放區。

若要建立會啟用 Insights 事件的來源事件資料存放區

此程序將向您說明如何建立會啟用 Insights 事件並記錄管理事件的來源事件資料存放區。

  1. 登入 AWS Management Console 然後在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,開啟 Lake 子選單,然後選擇 Event data stores (事件資料存放區)。

  3. 選擇 Create event data store (建立事件資料存放區)。

  4. 設定事件資料存放區頁面上的一般詳細資訊中,輸入事件資料存放區的名稱。名稱為必填。

  5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail 湖泊成本.

    以下為可用的選項:

    • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。366 天之後,延長保留將按 pay-as-you-go 價格提供。此為預設選項。

      • 預設保留期:366 天

      • 最長保留期:3,653 天

    • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。

      • 預設保留期:2,557 天

      • 最長保留期:2,557 天

  6. 指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。

    CloudTrail Lake 會檢查事件是否在指定eventTime的保留期間內,以決定是否要保留事件。例如,如果您指定 90 天的保留期,則 CloudTrail 會在事件超過 90 天時移除事件。eventTime

  7. (選擇性) 若要啟用加密 AWS Key Management Service,選擇使用我自己的 AWS KMS key。 選擇「新建」以擁有 AWS KMS key 為您建立,或選擇「現有」以使用現有的KMS金鑰。在輸入KMS別名中,以格式指定別名 alias/MyAliasName。 使用您自己的KMS金鑰時,您必須編輯KMS金鑰原則,才能加密和解密 CloudTrail記錄。如需詳細資訊,請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 還支持 AWS KMS 多區域鍵。如需有關多區域金鑰的詳細訊,請參閱在 AWS Key Management Service 開發人員指南

    使用您自己的KMS密鑰會產生 AWS KMS 加密和解密的成本。將事件資料倉庫與KMS金鑰相關聯後,無法移除或變更該KMS金鑰。

    注意

    若要啟用 AWS Key Management Service 對於組織事件資料存放區進行加密,您必須使用管理帳戶的現有KMS金鑰。

  8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 Lake 查詢聯合中選擇啟用。同盟可讓您檢視與中的事件資料存放區相關聯的中繼資料 AWS Glue 資料目錄並針對 Athena 中的事件資料執行SQL查詢。儲存在中的資料表中繼資料 AWS Glue 資料目錄可讓 Athena 查詢引擎知道如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

    若要啟用 Lake 查詢聯合,請選擇啟用,然後執行下列動作:

    1. 選擇要建立新角色或使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的權限。當您使用 CloudTrail 主控台建立新角色時, CloudTrail 會自動建立具有所需權限的角色。如果您選擇現有角色,請確認該角色的政策可提供必要的最低許可

    2. 如果您要建立新角色,請輸入名稱以識別角色。

    3. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。

  9. (選用) 在 Tags (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需有關如何使用IAM原則根據標籤授權對事件資料存放區的存取權的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需有關如何在中使用標籤的詳細資訊 AWS,請參閱標記您的 AWS標記中的資源 AWS 資源使用者指南

  10. 選擇 Next (下一步) 以設定事件資料存放區。

  11. 「選擇事件」頁面上,選擇 AWS 事件,然後選擇CloudTrail事件

  12. CloudTrail 事件中,保持選取「管理」事件

  13. 若要讓您的事件資料儲存庫從中的所有帳戶收集事件 AWS Organizations 組織中,選取 [針對我組織中的所有帳號啟用]。您必須登入到組織的管理帳戶,才能建立會啟用 Insights 的事件資料存放區。

  14. 展開其他設定以選擇是否要讓事件資料儲存庫收集所有人的事件 AWS 區域,或僅目前 AWS 區域,然後選擇事件資料儲存庫是否擷取事件。依預設,您的事件資料存放區會從帳戶的所有區域收集事件,而且會在建立時開始擷取事件。

    1. 如果您希望僅包括目前區域中記錄的事件,請選擇在我的事件資料存放區中僅包含目前區域。如果未選擇此選項,則您的事件資料存放區將包含來自所有區域的事件。

    2. 維持選取擷取事件

  15. 選擇您想要包含在事件資料存放區內的管理事件類型。您可以選擇讀取寫入,或兩者。至少需要選取一個。

    注意

    若要在API呼叫磁碟區上記錄 Insights 事件,事件資料存放區必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件,事件資料存放區必須記錄readwrite管理事件。

  16. 您可以選擇排除 AWS Key Management Service 或來自您API事件RDS資料存放區的 Amazon 資料事件。如需關於這些選項的詳細資訊,請參閱 記錄管理事件

  17. 選擇啟用 Insights

  18. 啟用 Insights 中,選擇記錄見 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 若要建立會記錄 Insights 事件的目的地事件資料存放區

  19. 選擇 Insights 類型。您可以選擇API通話率API錯誤率或兩者。您必須記錄寫入管理事件,以記錄API通話速率的見解事件。您必須記錄讀取寫入管理事件,才能記錄 Insights 事件的API錯誤率

  20. 選擇 Next (下一步) 以檢閱您的選項。

  21. Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 Create event data store (建立事件資料存放區)。

  22. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

    從此開始,事件資料存放區將擷取與其進階事件選取器相符的事件。在來源事件資料存放區首次啟用 CloudTrail Insights 之後,如果偵測到異常活動,最多可能需 CloudTrail 要 7 天的時間,才能將第一個 Insights 事件傳送至目的地事件資料存放區。

    您可以檢視 CloudTrail Lake 儀表板,以視覺化方式呈現目標事件資料存放區中的 Insights 事件。如需有關 Lake 儀表板的詳細資訊,請參閱 使用 CloudTrail 主控台檢視 CloudTrail Lake 儀表板

在 CloudTrail 湖泊擷取見解事件需要支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需 CloudTrail 定價的相關資訊,請參閱 AWS CloudTrail 定價